So arbeitet ein legaler Einbrecher – im Namen der Sicherheit
Könntest du dir vorstellen, jemanden zu engagieren, der bei dir einbricht? Nein? Genau das ist aber in der Welt der Penetration Tester gang und gäbe. Denn, wenn eine Firma ihre Sicherheitsvorkehrungen testen will, dann meldet sie sich zum Beispiel bei der Firma Secmentis. Sogenannte Penetration Tester sammeln dann Informationen und loten die Schwachstellen in einem System aus.
Ob in der digitalen oder in der realen Welt – ein Angriff auf eine Firma kann erheblichen Schaden anrichten. Geheime Dokumente werden gestohlen, Viren platziert und für die Firma kann ein erheblicher Reputationsschaden entstehen. Secmentis testet, wo Kriminelle Zugang finden, welche Informationen ausgenutzt und gestohlen werden können. Dafür versetzen sich die Testerinnen und Tester in die Rolle von Kriminellen. «Es ist wie der Film Ocean's Eleven nur in echt», erklärt der Mitgründer und Leiter der Ableitung Penetration Tester bei Secmentis, Sergio P.
Man braucht definitiv gute Nerven, um Penetration Tester zu werden. Bei physischen Penetration Tests gehen die Tester vor Ort und versuchen tatsächlich, in ein Gebäude einzubrechen. P. erzählt von einem Beispiel: «Bei einem Gebäude haben wir eine Schwachstelle im Zaun gefunden. Dort sind wir dann drüber geklettert. Das war gar nicht so einfach, wie es in den Filmen jeweils aussieht. Wir konnten dann das Schloss einer Tür knacken und kamen so in das Gebäude rein.»
Alles wird geregelt
Das hört sich alles sehr illegal an, ist es aber nicht. Im Vorhinein wird mit den Auftraggebern vereinbart, was erlaubt ist. In einem Vertrag wird alles festgehalten: Wo dürfen die Tester hin? Wo sind Sperrzonen? Dürfen die Tester abgeschlossene Türen knacken?
Im Vertrag wird auch festgehalten, was das Ziel der Tests ist. So soll Secmentis zum Beispiel versuchen, sich Zugang zum Hauptbüro oder zum Büro des CEOs zu verschaffen. Davon machen sie Fotos und erstellen einen Bericht darüber, wie genau sie ins Büro einbrechen konnten.
Unter anderem dienen solche oder ähnliche Werkzeuge Secmentis zum Öffnen von Türen.
Mit dem Wischmopp einbrechen
Das schwächste Glied der Sicherheitskette ist oft nicht ein Schloss, sondern das Personal. Und genau dort setzen Sergio P. und sein Team an. So folgen sie beispielsweise einer Mitarbeiterin in das Gebäude oder sie überzeugen den Rezeptionisten, dass sie einen Termin mit jemandem im Gebäude haben. Solche Praktiken nennt man «Social Engineering», was inhaltlich etwa übersetzt so viel bedeutet wie «soziale Manipulation».
Sergio P. hat auch schon Besucherbadges gefälscht, was bei genauerem Hinsehen sofort aufgefallen wären. Wenn man aber eine glaubwürdige Geschichte erzähle und aussehe, als gehöre man hier hin, dann würden solche Sachen funktionieren. Auch Verkleidungen können helfen. «Einmal haben wir herausgefunden, dass eine Reinigungsfirma immer zu einer bestimmten Zeit vorbeikommt. Wir konnten uns die Kleidung der Firma beschaffen und sind mit einem Eimer und einem Wischmopp reinspaziert», erzählt P.
Solche Aktionen sind übrigens auch der Grund, warum Sergio P. kein Foto von sich zeigt und nicht seinen vollen Namen nennen will. Denn, wenn jede und jeder wüsste, wie er aussieht, würde seine Arbeit enorm viel schwieriger und vielleicht auch gefährlicher werden.
Manchmal geht auch etwas schief und die Tarnung fliegt auf. In einem solchen Fall nutzt Sergio P. seine «Du kommst aus dem Gefängnis frei»-Karte. Er fordert die aufmerksame Person auf, dass Management zu kontaktieren. Die erklären dann, dass es sich um einen legalen Einbruch handelt.
Kriminelles Gewissen
Bei «Social Engineering» hängt alles von der Vorbereitung ab. Die Tester suchen im Internet nach Personen, die in einer Firma arbeiten, informieren sich über Interessen und Hobbys von Zielpersonen und richten einen Angriff genau darauf ab. Mit diesem Hintergrundwissen können gezielt Personen anvisiert und manipuliert werden.
«Ein schlechtes Gewissen haben wir bei solchen Manipulationen nicht. Wenn man sich das erlaubt, dann wären die Tests viel weniger erfolgreich. Man muss sich immer überlegen: Hätte ein richtiger Angreifer ein schlechtes Gewissen beim Stehlen von Geheimnissen?» Wohl kaum. Mit Secmentis entdeckt wenigstens jemand die Schwachstelle, die sich für die Sicherheit einsetzt – so können Mitarbeitende auch entsprechend geschult und sensibilisiert werden. Tipps, wie man sich und seine Firma vor Eindringlingen sicherer macht, die tatsächlich Schaden verursachen wollen, gibt es im zweiten Teil des Interviews.
*Das Interview wurde über Zoom und auf Englisch geführt.
(wan)
