Das Team der EDV-Unternehmensberatung Floß GmbH
Gefahr aus der Luft
Drohnen können die Sicherheit in Unternehmen gefährden. Die ferngesteuerten Flugobjekte sind nämlich in der Lage, unbemerkt Daten aufzuzeichnen. Wie Unternehmen sich schützen können, erklärt Thomas Floß, Geschäftsführer der EDV-Unternehmensberatung Floß GmbH.
Gefahren durch Drohnen: Die unbemannten Flugobjekte können großen Schaden anrichten und zum Beispiel unbemerkt Passworteingaben filmen. Foto: Floß
Würden Sie ein Passwort eingeben, wenn jemand hinter Ihnen steht oder eine Kamera auf Sie gerichtet ist? Vermutlich nicht! Doch was ist, wenn die Eingabe unbemerkt gefilmt wird und somit sensible Daten in die falschen Hände geraten? Daten und Informationen sind das größte Kapital eines Unternehmens. Gehen sensible Daten durch Diebstahl oder technische Pannen verloren, kann der entstandene Schaden existenzbedrohende Ausmaße annehmen. Doch wie können diese Eingaben unbemerkt aufgezeichnet werden? Die Antwort ist heutzutage einfach: Drohnen – unbemannte und für diesen Zweck meist ferngesteuerte Flugobjekte mit einer hochauflösenden Kamera. Dazu ein von außen durchs Fenster sichtbarer Monitor und der Weg für Hacking, Social Engineering und einhergehende Industriespionage ist frei.
Die Möglichkeiten sind vielfältig
Das Filmen von Passworteingaben ist nur der erste Schritt und auch nur eine Nutzungs-Möglichkeit der Drohne von vielen. Interessant ist zudem, wie die vorhandenen Informationen weiter genutzt werden. Hier gibt es durchaus sehr vielfältige Szenarien. Ein Beispiel ist sehr plakativ und einfach nachzuvollziehen: Sie melden sich bei einem großen Online-Händler an und bekommen nicht mit, dass dieser Vorgang von einer Drohne mitgefilmt wird. Der Hacker weiß durch die Aufnahmen zum einen bei welchem Händler Sie sich angemeldet und zum anderen mit welcher E-Mail-Adresse Sie dies gemacht haben. Kurz darauf erhalten Sie eine täuschend echte E-Mail, in der von Ihnen die Bestätigung der Anmeldung mit einem Link verlangt wird. Sie ahnen nichts Böses, da die E-Mail im direkten Zusammenhang mit der Anmeldung steht und aussieht, als käme sie direkt von dem Online-Händler. Hinter den manipulierten Links in der Mail verbergen sich dann häufig Viren, Würmer und Trojaner. Weiter könnte man sich mit den aufgenommenen Zugangsdaten des E-Mail-Postfachs über die Webmail-Funktion direkten Zugriff auf all Ihre E-Mails verschaffen. In diesen ist mit ziemlich hoher Wahrscheinlichkeit auch sensibles Material vorhanden. Auch in die E-Mail-Konversationen kann so eingegriffen werden.
Neben dem Abgreifen der direkten Passworteingabe ist es auch möglich, Schwachstellen auf dem Firmengelände zu entdecken und dann auszunutzen. So ist eine nicht verschlossene Lüftung des Serverraums oder ein offener, außenliegender Verteilerschrank ein perfektes Ziel. Auch diverse Einbruchsmöglichkeiten können ausgekundschaftet werden.
Die Drohne wird darüber hinaus auch als Transportmittel eingesetzt. Mit ihrer Hilfe können WLAN-Hot-Spots auf dem Unternehmensdach oder einem Hoteldach abgesetzt werden und der Hot-Spot übernimmt die Bezeichnung und Anmeldeinformationen des internen WLANs. Benutzer loggen sich dann in den Hot-Spot und nicht in das Unternehmens/Hotel-WLAN ein. Auch hier können Passwörter ausgekundschaftet oder E-Mails abgefangen werden.
Drohnen fernhalten
Um Drohnen vom Betriebsgelände fernzuhalten, gibt es passive und aktive Abwehrtechniken. Ein Drohnenerfassungssystem ist eine passive Technik, die bei Eindringen eines fremden Objektes direkt Maßnahmen wie das Herunterfahren von Jalousien in sensiblen Bereichen veranlassen kann. Mit aktiven Maßnahmen wird beispielsweise die Funkverbindung zur Fernsteuerung unterbunden oder ein Seilwerfer bringt die Drohne zur Landung.
Schwachstellen-Analyse klärt auf
Damit Hacker erst gar keine Möglichkeit erhalten, sich Zugang zu Passwörtern mit Drohnen zu verschaffen, ist es wichtig, Schwachstellen zu erkennen und diese zu beheben. Diese sind im Rahmen des IT-Sicherheitsaudits, auch mittels Drohne zu ermitteln. Nur so werden potenzielle Risiken aufgedeckt, analysiert und daraus eine sichere IT-Infrastruktur entwickelt. Diese darf aber keine einmalige Aktion sein, sondern muss regelmäßig wiederholt werden.
Weiterhin werden durch eine plastische und realitätsnahe Darstellung von Bedrohungen Mitarbeiter sensibilisiert und können so nachvollziehen, warum es wichtig ist, wachsam und gerade bei gefälschten E-Mails skeptisch zu sein. Denn die Technik kann noch so gut geschützt sein. Der größte Risikofaktor ist weiterhin der Mensch. Und wer möchte schon sensible Informationen preisgeben? Sie sicher nicht!
Weitere Informationen: www.floss-consult.de
