Was vor einiger Zeit noch undenkbar schien, ist heutzutage harte Realität. Grossfirmen, aber auch KMUs werden tagtäglich durch Internetkriminalität bedroht. Spyware, Ransomware, Trojanische Pferde und Advanced Persistent Threads sind nur eine kleine Auswahl von Bedrohungen, die auf Firmen einprallen. Aus diesem Grund ist es besonders wichtig zu wissen, welche Vorkehrungen getroffen werden müssen, um es potentiellen Angreifern so schwer wie nur irgendwie möglich zu machen.

Die grösste Gefahr für private sowie geschäftliche Benutzer sind sogenannte Injections. Mit Hilfe solcher können Menschen gezielt getäuscht werden. Die bekannteste Art davon sind die SQL-Injections. Dabei werden Schwachstellen in SQL-Datenbanken bzw. der Schnittstelle zwischen Datenbank und Webseite ausgenutzt.

Cross-Site Scripting, kurz XSS ist eine weitere Möglichkeit Benutzer zu täuschen. Dabei können Skripts ausgeführt, Sessions übernommen, Webseiten verunstaltet oder Umleitungen zu anderen Webseiten eingerichtet werden, ohne dass der Benutzer etwas davon bemerkt. Für ihn sieht es so aus, als sei er auf der korrekten Webseite. Eine trügerische Sicherheit.

Mittels Man-in-the-Middle Attacken wird die Kommunikation zwischen Benutzer und Server mitgelesen, so dass der Angreifer die Möglichkeit hat, Daten auszulesen oder sogar Daten zu manipulieren. Zertifikate und andere Sicherheitsvorkehrungen spielen hier eine wichtige Rolle. Achten Sie daher immer auf das Schloss im Browser, zu finden neben der Internetadresse.

Heutzutage werden die technischen Sicherheitsmassnahmen immer ausgefeilter und es wird immer schwieriger, auf rein technischem Weg ein System zu hacken. Hier kommt Social Engineering ins Spiel. Dabei wird die fehlende Awareness der Menschen ausgenutzt, um an vertrauliche Daten wie Passwörter oder ähnlichem zu gelangen. Viele der erfolgreichen Attacken basieren in der heutigen Zeit auf Social Engineering. Leider kann fast täglich davon in der Fachpresse gelesen werden.

Zu jedem dieser Angriff gehört für den Hacker auch eine gewisse Vorbereitung. Beim Information Gathering werden sämtliche öffentlich verfügbare Informationen gesammelt, um eine solide Grundlage für den bevorstehenden Angriff zu erstellen. Verschiedenste Plattformen und Tools kommen hier zum Einsatz. Auch spezielle Suchmaschinen existieren bereits. Wie bei Google können so Hintergrundinformationen wie aktuelle Stelle und Funktion, Stelleninserate, Referenzberichte und ähnliches gefunden werden.

Zu den oben genannten Themen und noch weiteren hat die Firma goSecurity GmbH den Kurs «Hack to Protect» entwickelt. Hier schlüpfen Sie in die Rolle eines Hackers. Sie hacken sich, unter Anleitung unserer Sicherheitsexperten, in diverse Systeme im eigens realistisch aufgebauten Lab und übernehmen diese bis zur vollständigen Kontrolle. Erleben Sie alle Schritte, die auch ein Hacker machen muss und erfahren Sie so, wie Sie sich selber schützen und Ihre IT-Infrastruktur sicherer machen können.

Der Hack to Protect-Kurs ist die perfekte Gelegenheit um einmal in die Haut eines Hackers zu schlüpfen. Um die Übungen möglichst bequem und effizient durchführen zu können, erhalten Sie zusätzlich noch ein Tablet, welches Sie anschliessend behalten dürfen. So haben Sie die Kursunterlagen und Anleitungen stets griffbereit.

Weitere Inforamationen und Anmeldung unter www.h2p.ch.

Informationen zum Autor
Andreas Wisler
Autor: Andreas Wisler
Im Jahre 2001 habe ich meinen Beruf zugunsten meines Hobbys aufgegeben. Seit dieser Zeit widme ich mich leidenschaftlich meiner Firma, die ich im Jahre 1999 mit zwei Studienkollegen gegründet hatte. Als Mehrheitsteilhaber, CEO, Verkaufsleiter und Senior Security Consultant ist mein Aufgabenbereich abwechslungsreich und spannend. Die Begleitung von kleinen bis mittelgrossen Firmen zur ISO 27001-Zertifizierung erfüllt mich ganz besonders und spornt mich immer wieder zu Höchstleistungen an. Zudem gebe ich mein umfassendes Security-Know-how und meine grosse Erfahrung als Dozent an der FHNW an (wissens-) durstige Studenten weiter. Für diverse Online- und Print-Medien schrieb ich schon unzählige Artikel zum Thema IT-Security. Des Weiteren bin ich Autor und Co-Autor von mehreren Büchern. Für Sie als Kunde, für meine Mitarbeiter und für meine Firma gebe ich jeden Tag 120%.