This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
Aktuelles:

Man-in-the-middle-Szenarien

16. Februar 2018

EIN probates Mittel im Krimi der Cyber-Security, um Unternehmen und Institutionen und viele weitere von Innen und/oder Außen zu schädigen, um diese unter gewissen Umständen an den Rand des Ruin zu treiben.

Aus diesem Grund möchten wir die Gelegenheit zur wiederholten Sensibilisierung nutzen und auf die Wichtigkeit einer Investition im Bereich IT-Sicherheit hinweisen. Wir versuchen alle unsere Leser und Mandanten daher zu motivieren und dafür zu werben, ein hohes Augenmerk für den IT-Sicherheitsbereich zu entwickeln, auch wenn dies zunächst mit einer beträchtlichen Investition einhergeht.

Es ist wichtig, dass Unternehmen, welche täglich mit den Vorzügen moderner Technik arbeiten, sich bewusst werden, welcher Schaden durch unzureichende IT-Sicherheit entstehen kann. Wir wollen mit diesem Beitrag somit neben der Sensibilisierung auch Argumente zur Hand geben, warum es sich lohnt, nicht jede Warnmeldung im Browser, mir nichts dir nichts zu bestätigen. Statements zum Thema IT-Sicherheit: „Vorsicht bei öffentlichen Netzen!“ „Keine unverschlüsselten Daten über öffentliche Netzte transportieren!“ etc. sind jedem bekannt. Die Bedeutung dieser Hinweise und die Möglichkeiten, welcher ein Angreifer in Netzwerken heut zu Tage hat (z.B. Spoofing oder Man-in-the-Middle Angriffe), sind jedoch für viele weiterhin nicht greifbar. Aus diesem Grund schauen wir immer wieder in erstaunte und betroffene Gesichter, wenn aufgezeigt wurde, wie einfach Angriffe möglich sind und wie schnell sich Sicherheitsvorkehrungen, auch bei vorsichtigen Mitarbeitern, aus dem Weg räumen lassen.

Voraussetzung für einen Angriff ist, dass Cyberkriminelle Zugriff auf das Netzwerk haben – ob von Außen oder aber von Innen. In einem typischen Netzwerk, sei es LAN oder Wireless-LAN, ist ein Router an das Internet angeschlossen. Ein "normaler" Internetrouter hat mindestens zwei unterschiedliche IP-Adressen: Eine öffentliche, aus dem Internet erreichbar, und eine Private. Router reichen Pakete vom internen Netzwerk, z.B. die von Max Mustermann, an das Internet weiter und ordnen die Antworten der Server aus dem Internet wieder diesen Nutzern zu. Hierbei werden die Quell- und Ziel-IP-Adressen durch den Router dynamisch ausgetauscht ("NAT", Network Address Translation).

In einem fiktiven Szenario würde Max Mustermann beispielsweise gerne die verschiedenen Passwörter von Lieschen Müller erfahren, wissen wollen, was sie mit ihrem Browser alles sucht, den Zugang für Online-Banking herausbekommen oder auf das Unternehmensnetzwerk ihres Arbeitgebers zugreifen. Ein potentieller Angreifer möchte natürlich auch die Möglichkeit erhalten, Daten auf dem Weg von Lieschen Müller zu einem Server abzufangen um diese zu "manipulieren".

Um nun nachvollziehen zu können, wie Angriffe durchgeführt werden, muss lediglich festgestellt werden wie in einem Netzwerk die Komponenten miteinander kommunizieren. Zum einen gibt es IP-Adressen, zum anderen MAC-Adressen. Eine MAC-Adresse ist eine einmalige Adresse einer Hardwarekomponente, wie etwa einer Netzwerkkarte. Eine MAC-Adresse lässt sich leicht manipulieren zudem ist ohne weiteres möglich, über eine Netzwerkkarte unzählige MACs zu simulieren. Zu jeder IP-Adresse gehört immer eine MAC-Adresse. Fast jede aktive Komponente im Netzwerk besitzt eine Art "interne Tabelle" (die "ARP-Tabelle") in dem die Zuordnungen der IP-Adressen zu MAC-Adressen gespeichert werden. Unter Windows kann eine solche Tabelle mit speziellen Kommandos in der Kommandozeile angezeigt werden. Dieses Szenario werden wir aus Sicherheitsgründen nicht darstellen.

Fassen wir kurz zusammen: Hinter jeder IP-Adresse steckt eine MAC-Adresse. Die Zuordnungen von IP-Adressen zu MAC-Adressen werden in einer ARP-Tabelle zwischengespeichert. Wird eine IP außerhalb des lokalen Netzwerks angesprochen, wird die MAC des nächsten Routers verwendet. Das heißt, die Schwachstelle der ganzen Sache liegt im Punkt "Ermittlung der MAC-Adresse". Hier setzt ARP Spoofing an und sorgt dafür, dass der Client eine MAC-Adresse des Angreifers zur IP-Auflösung verwendet. Da MAC-Adressen für alle sichtbar öffentlich im Netzwerk abgefragt werden, ist dies, auch in einem geswitchten Netzwerk, nicht sonderlich schwer.

An dieser Stelle beenden wir unseren Exkurs in die Welt von möglichen Attacken, da wir keine Anleitung zur Datenmanipulation aufzeigen wollen! Es ist jedoch ein leichtes solche Attacken zu lancieren, da jeder Zugriff auf eineindeutige Quellen hat, die solche Angriffe à Detail erklären. Ferner kommt unserer Meinung nach die nicht zu unterschätzende Gefahr der Attacken von Innen (frustrierte Mitarbeiter, gekündigte Mitarbeiter, Mitarbeiter die innerlich bereits gekündigt haben und jene, die es sich zum Hobby gemacht haben, ihre interne IT-Abteilung zu „ärgern“).

Fazit:
Bedauerlicherweise wird der IT-Sicherheit in vielen Unternehmen oftmals nicht der Stellenwert entgegengebracht, welchen sie dringend benötigt und das bis heute, im Zeitalter der permanenten Attacken auf Unternehmensnetzwerke. Neben fachlichen und wirtschaftlichen Themen fehlt diesem Bereich, IT-Sicherheit, oft der Zuspruch, die finanzielle Ausstattung oder beides. Welche Folgen dieser Zustand mit sich bringen kann, konnten jüngst Mitarbeiter der BDO IT GmbH eindrucksvoll demonstrieren, da Mandanten aus unterschiedlichsten Branchen die BDO IT mit entsprechenden Penetrationstest beauftragt hatten. Es hat unsere Mandanten wie auch uns erschrocken, wie offen und unbedarft mit wichtigen Daten und im Besonderen mit dem Thema IT-Sicherheit umgegangen wird: frei nach dem Motto: „Unsere IT macht das schon“. Dem ist nicht so!

Deshalb unser Standpunkt: Safe-the-Production!

Gerne stellen wir unserer Expertise zur Verfügung.