Unterwegs mit Penetrationstester Datenklau mit Erlaubnis: Wie sich Firmen besser vor Cyberattacken schützen können

Maximilian Fürstenberg
Bildrechte: MDR/Luca Deutschländer

Sein Ziel ist einfach: Marian Kogler will unbemerkt an die Daten von Firmen kommen – egal ob übers Netz oder vor Ort. Kogler wird dafür sogar extra gebucht. Und verdient Geld damit. Denn: Sein Job ist, Schwachstellen herauszufinden, die zu Cyberattacken mit Datenverlust führen können. Wie er dabei vorgeht und wie man sich am besten schützen kann – Teil 1 des MDR SACHSEN-ANHALT-Schwerpunkts zu Cybersicherheit.

Penetrationstester Marian Kogler läuft durch den Eingang einer Firma. 2 min
Hier können Sie den Beitrag von MDR SACHSEN-ANHALT – Das Radio wie wir zum Thema hören. Bildrechte: MDR/Maximilian Fürstenberg
2 min

MDR SACHSEN-ANHALT Fr 10.06.2022 17:00Uhr 01:50 min

https://www.mdr.de/nachrichten/sachsen-anhalt/audio-cyber-sicherheit-penetration-tester100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio

Wie alle anderen Mitarbeiterinnen und Mitarbeiter läuft Marian Kogler durch den Empfang einer Firma. Freundlich und selbstbewusst grüßt er die Leute, die ihm entgegenkommen. Kogler läuft zu seinem scheinbaren Arbeitsplatz – einem Großraumbüro mit nicht gesperrten Computern.

Dann geht alles ganz schnell. Mails mit Links voller Schadsoftware werden an die Mitarbeitenden verschickt, Dateien werden verschlüsselt und ein Computer nach dem anderen in der Firma übernommen. Marian Kogler verlangt Lösegeld. Nur dann rückt er die Daten wieder heraus.

Schwachstellen herausfinden

Penetrationstester Marian Kogler steht en einem Computer. Er vershclüsselt Dateien.
Marian Kogler ist Geschäftsführer bei syret GmbH in Halle. Bildrechte: MDR/Maximilian Fürstenberg

Das Gute: Die Firma wollte das so. Denn Marian Kogler ist ein sogenannter Penetrationstester und Geschäftsführer der syret GmbH in Halle. Unternehmen, für die er arbeitet, erlauben Kogler, den Cyberraum anzugreifen.

Der Sinn dahinter ist das Aufspüren von Schwachstellen im System. Die werden protokolliert und den Firmen später mitgeteilt. Das Ziel ist dabei immer dasselbe: Unternehmen sollen sich vor Cyberangriffen besser schützen können.

Auf welche Art ein Angriff erfolgen soll, wird zuvor mit Kogler abgestimmt. Möglichkeiten gibt es hier viele, wie der Tester verrät. Mal sollen nur technische Hilfsmittel erlaubt sein, mal sollen auch Menschen auf Schwachstellen geprüft werden.

Deutlich mehr Cybercrime in Sachsen-Anhalt

Dass dabei ein so provokantes Vorgehen wie das von Kogler wichtig ist, zeigen Zahlen des Landeskriminalamts Sachsen-Anhalt. Allein in Sachsen-Anhalt stieg die Zahl der erfassten Fälle von Cyberkriminalität zwischen 2019 und 2021 deutlich an: von knapp 13.000 Fällen auf fast 19.500 Fälle.

LKA-Pressesprecher Michael Klocke sagt, das liege vor allem an der Corona-Pandemie. Denn die Arbeitswelt und das Schulleben haben oder hatten sich im Wesentlichen nach Hause verlagert. Das biete neue Tatgelegenheiten für Cyberkriminelle, sagt Klocke im Gespräch mit MDR SACHSEN-ANHALT.

Auch jüngste Ereignisse wie die Cyberattacke auf die Verwaltung im Landkreis Bitterfeld-Wolfen oder das Fraunhofer-Institut in Halle zeigen, dass solche Ereignisse keine Seltenheit mehr sind – und Sicherheit im Cyberraum ernster genommen werden muss.

Denken wie die Täter selbst

Der Pen-Tester Marian Kogler – das ist die Abkürzung für seinen Job als Penetrationstester – versucht daher, bei seinen Angriffen so vorzugehen, wie Täter es auch tun würden. Wie auch bei den jüngsten großen Angriffen in Sachsen-Anhalt ist bei den meisten Tätern Geld die Motivation der Straftaten, so Kogler.

Auch er sucht dann gezielt nach Daten, die zu Geld gemacht werden können:

Das heißt: Täter versuchen Daten zu stehlen und dann zu verkaufen oder sie wollen Daten verschlüsseln und dann ein Lösegeld erpressen.

Marian Kogler Penetrationstester | syret GmbH

Es dauert nur Sekunden, um einen Account zu übernehmen

Wie das aussehen kann, führt Kogler nun vor. Für den Test dient ihm ein gewöhnlicher Dienstrechner – ungesperrt. Auf diesem geht er systematisch alle möglichen Schwachstellen durch.

Penetrationstester Marian Kogler steht en einem Computer. Er vershclüsselt Dateien.
Es dauert nur Sekunden, bis Marian Kogler einen Account übernimmt. Ziel ist das Finden von Daten, die verkauft werden können. Bildrechte: MDR/Maximilian Fürstenberg

Dass die Eingabeberechtigung vom Admin deaktiviert ist, stört ihn nicht weiter. "Das ist nicht der einzige Weg, ich kann noch die Tastenkombination Windows+R drücken.", erzählt er. Gesagt, getan. Auf dem Bildschirm ploppt ein Fenster mit einer Meldung auf. Auch hier ist Kogler nicht berechtigt, etwas einzugeben. So weit, so gut.

Doch dann kommt ein sogenanntes Skript zur Hilfe, das er über irgendeine Seite herunterlädt. Millisekunden später ist der Account übernommen. Die Daten sind verschlüsselt, der Desktophintergrund zeigt: "All your importent files are stolen and encrypted." So schnell geht es also.

Mitarbeiter sensibilisieren

Aktuell kann Kogler mit dem Account noch nicht viel machen, verrät er. Denn er hat keine Administratorenrechte: "Ich habe nicht Zugriff auf alles, aber ich habe Zugriff auf alle Daten, auf die der Nutzer Zugriff hat. Jetzt könnte ich über technische Aspekte versuchen, mir den Zugriff auszuweiten."

Penetrationstester Marian Kogler steht en einem Computer. Er vershclüsselt Dateien.
So könnte ein Word-Dokument mit versteckter Schadstoffsoftware aussehen. Bildrechte: MDR/Maximilian Fürstenberg

Bedeutet: Er könnte dann Mails an alle Kollegen schicken, beispielsweise mit einem verschlüsselten Word-Dokument. Im Word-Dokument steht, dass dieses mit einer alten Version geschrieben wurde und nur geöffnet werden kann, über die Eingabe "Inhalt aktivieren". Kogler erklärt dazu: "Word meint damit aber, dass ein Programm, das in diesem Dokument enthalten ist, ausgeführt werden soll. Heißt, wenn der Empfänger das macht, kann man den Rechner übernehmen."

Grundregeln zum Schutz vor Cyberkriminalität

Kogler will mit solchen gezielten Attacken die Mitarbeiter eines Unternehmens sensibilisieren. Doch wie kann man sich schon im Vorfeld am effektivsten schützen? Kogler nennt ein paar, wie er es nennt, "Grundregeln":

  • Kommt einem eine Mail merkwürdig vor, sollte nicht sofort etwas geklickt werden, sondern der Inhalt sollte auf anderem Wege verifiziert werden. Das geht ganz einfach: Der (vermeintliche) Absender der Mail sollte einfach gefragt werden, ob diese wirklich von ihm stammt.

  • Auch sollte das Passwort nicht bei allen Accounts dasselbe sein. Denn sollte doch mal das Passwort an einer Stelle abhanden kommen, sind die anderen Accounts noch sicher, erklärt Kogler.

  • Das Wichtigste, sagt er, sind allerdings Updates. Ihmzufolge werden viele Schwachstellen nämlich selbst von Software oder Hardware behoben. "Man sollte Updates wirklich durchlaufen lassen, auch zeitnah, um nicht mit einer Schwachstelle gehackt zu werden, die eigentlich schon längst behoben ist."

Hundertprozentige Sicherheit gibt es laut dem Pen-Tester dennoch nicht. Man sollte aber versuchen, es den Tätern so schwer wie möglich zu machen.

Mehr zum Thema: Cybersicherheit in Sachsen-Anhalt

MDR (Maximilian Fürstenberg)

Dieses Thema im Programm: MDR SACHSEN-ANHALT HEUTE | 12. Juni 2022 | 19:00 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/044d33a6-e937-4d2b-a0e4-62ed28afe878 was not found on this server.

Mehr aus Sachsen-Anhalt

SAH_Ottonenlauf 3 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK