Tipps von Sandy Bird, CTO IBM Security
Wie Sie Hacker mit ihren eigenen Waffen schlagen
Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Der Schutz vor Hacker-Attacken gleicht dem bekannten Wettrennen zwischen Hase und Igel. Kaum glaubt man, dass alle Sicherheitslücken geschlossen wurden, haben die Angreifer bereits eine neue Schwachstelle ausgemacht. Um den Vorsprung aufzuholen, empfiehlt Sandy Bird, als CTO von IBM SecuritySecurity verantwortendlich für die strategische Ausrichtung des IT-Konzerns in diesem Bereich, sich die Denkweise von Hackern zunutze zu machen. Hier seine Tipps dazu: Alles zu Security auf CIO.de
1. Das schwächste Glied in der Sicherheitskette stärken
Schwache Passwörter, geringes Risikobewusstsein beim Umgang mit Daten, Neugier und Bequemlichkeit: Die Liste der potenziellen Angriffspunkte, die Mitarbeiter einem Hacker bieten, ist lang. Um bei den Nutzern das Sicherheitsverständnis zu wecken beziehungsweise zu stärken, empfiehlt Bird unter anderem Phishing-Tests. Dabei schickt man eine gefälschte E-Mail mit einem fragwürdigen Link und beobachtet danach, wer aus der Belegschaft darauf reagiert. Allzu gutgläubige Nutzern, die ohne Zögern die Anweisungen auf der Zielseite befolgen und Daten hinterlegen, könnte man in einem ersten Schritt eine Sicherheitsschulung verordnen, so Bird, und im wiederholtem Fall ein verschärftes Risikoprofil verpassen.
- Platz 1: x
Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen. - Platz 2: Zz
Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend. - Platz 3: Start123
Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld. - Platz 4: 1
Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4. - Platz 5: P@ssw0rd
Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation... - Platz 6: bl4ck4ndwhite
"It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung. - Platz 7: admin
Der Klassiker darf natürlich nicht fehlen. - Platz 8: alex
Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex... - Platz 9: .......
Über sieben Punkte musst du gehen... - Platz 10: administrator
... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.
2. White-Hat-Hacker beauftragen
Wer hat mehr Ahnung, welche potenziellen Schwachstellen man bei einem Hacker-Angriff ausprobieren könnte, als ein Hacker? Der IBM-Security-Spezialist rät dabei, nicht auf eine einzige Person zu setzen, sondern den beauftragten White-Hat-Hacker von Zeit zu Zeit zu wechseln, um das eigene Netz auf verschiedene Angriffsszenarien zu testen.
3. Bekannten Code suchen und weitergeben
Auch der Umstand, dass Hacker - wie alle anderen Menschen auch - faul seien, spielt CISOs Bird zufolge in die Hände. So würden die Angreifer ihre Programme nur sehr selten komplett neu schreiben, sondern sich stattdessen generös im Code von bereits existierender Malware bedienen. Unternehmen könnten von dieser menschlichen Schwäche profitieren, indem sie gezielt nach Attributen und Verhalten von bekannter Schadsoftware suchen und Machine Learning zur Malware-Erkennung einsetzen.
Hilfreich ist außerdem, wenn angegriffene Unternehmen ihr Wissen über die Attacke mit der Community teilen, erklärt Bird. Ähnlich wie beim Autodiebstahl würden sich auch Hacker bei Misserfolg dem nächsten, potenziell schwächeren, Opfer zuwenden - in der Hoffnung, dort mit der gleichen Methode Glück zu haben.
- Platz 1: administrator
Der einfache "administrator" kommt in viele Systeme hinein ... - Platz 3: user1
Und sollte der Administrator nichts helfen, bleiben immer noch der einfache Nutzer... - Platz 4: admin
... und die Kurzform des Administrators. - Platz 5: alex
Alexander der Große hätte vielleicht seine Freude gehabt - genau wie bei den Hacker-Passwörten ist "alex" auch bei den Nutzernamen vorne mit dabei. - Platz 6: pos
Weil sich viele der Angriffe auf Point-of-Sale-Systeme (PoS) beziehen, kann man es ja mal versuchen ... - Platz 7: demo
Vielleicht existiert ja so etwas wie ein Musterzugang zu Demonstrationszwecken ... - Platz 8: db2admin
Der DB2 Administration Server der IBM lässt sich mit diesem Kommando verwalten. Kein Wunder also, dass dieser Nutzername in sämtlichen Hacker-Datenbanken auftaucht. - Platz 9: Admin
Wie gehabt. - Platz 10: sql
SQL ist eine Datenbanksprache unter anderem zum Bearbeiten von Datenbeständen. Viele Webserver arbeiten damit - also durchaus verständlich, warum dies auch ein beliebter Nutzername ist.