en
de
Zühlke Security Days 2017

Austausch fördert starke IT-Sicherheit

21 November 2017
| |

In Eschborn bei Frankfurt haben sich vergangene Woche gut 50 Entwickler, Software-Architekten und Consultants von Zühlke zu einer IT-Sicherheits-Konferenz getroffen. Ihr Ziel: bestmöglicher Schutz für unsere Kunden und Projekte.

Eine starke IT-Sicherheit ist heute zentral. Viele unserer Projekte beinhalten den Umgang mit sensiblen Kundendaten und -code. Deren Schutz ist oberstes Gebot. Da sich IT-Sicherheit nicht zum Schluss eines Projektes noch hinzufügen lässt, sondern von Anfang an mitgedacht werden muss, haben wir eine zweitägige IT-Sicherheits-Konferenz organisiert, die Zühlke Security Days. An unserem Deutschland-Hauptsitz in Eschborn haben wir uns über die Ländergrenzen hinweg ausgetauscht und gegenseitig geschult. In den zwei Tagen fanden verschiedene Hacking-Workshops sowie technische und businessorientierte Vorträge zum Thema Cyber- und Informationssicherheit statt.

Beispielsweise erklärte Andre Mueller von Zühlke UK, wie man Docker Container absichert. Donat Hauser von Zühlke Schweiz führte Wlan-Angriffe mit Hilfe eines Pineapple Access Point durch. Und wie hackt man die Firmware aller gängigen Geräte? Antworten lieferte der Workshop von Alexander Leupold von Zühlke Deutschland. Und der Autor dieses Blogposts? Erläutert habe ich, warum die heutige Web-Infrastruktur in Gänze unsicher ist und wieso die innovative Lösung der recht jungen Certification Authority (CA) Let’s Encrypt längerfristig erfolgreich sein wird.

Hacken gegen Lücken

Die Keynote zur Eröffnung hielt Sebastian Schreiber. Der berühmte Sicherheitsexperte ist Chef der SySS GmbH, die die Sicherheit von IT-Systemen mit Penetrationstests und Sicherheitsanalysen überprüft. Die Palette dieser Tests reicht von einfachen Attacken auf Webserver über das Hacken von Alarmsystemen bis hin zum Umschiffen von Virenscannern.

«Wenn du dich mit Hacking nicht auskennst, kriegst du dein System nicht sicher», brachte Schreiber die Mission seines Unternehmens auf den Punkt. In seinem Vortrag hat der Sicherheitsspezialist einige der klassischen Einfallstore für Hacker erläutert. Den Anfang machte er mit einer Denial-of-Service-Attacke auf einen öffentlichen Webserver, den er vor dem Publikum in Eschborn mit einem Schwall von Anfragen ausser Gefecht setzte.

Drahtloses Sicherheitsrisiko

Ein beliebtes Einfallstor für Hacker sind drahtlose Tastaturen. Schreiber zeigte, wie sich die verschlüsselte Verbindung einer kabellosen Tastatur von einem deutschen Hersteller aushebeln lässt. Dafür reicht ein USB-Dongle, der zum Preis von 18 Dollar zu haben ist, und die entsprechende Software. Damit lassen sich die Tastatureingaben zwar nicht direkt im Klartext auslesen, doch ist das eingesetzte System verletzlich für Replay-Attacken. Der Angreifer kann also Tastatureingaben aufzeichnen und erneut absenden, um sich Zugang zu einem System zu verschaffen. Einmal drin, ist es ein leichtes, an Passwörter zu kommen.

Eine weitaus grössere Gefahr ist die Option, über die drahtlose Tastatur einen Trojaner einzuschleusen; auch einen solchen Angriff führte Schreiber vor. Ähnliche Angriffe lassen sich auch über kabellose Mäuse oder über Presenter wie jenen von Logitech realisieren – letzterer bringt nicht mal eine Verschlüsselung mit, was es Eindringlingen besonders einfach macht.

Mehr Sicherheit für Zühlke

Wenn Schreibers Unternehmen Schwachstellen in Systemen findet, informiert es die Hersteller darüber. Nicht alle reagieren darauf mit Dank: Im Fall der drahtlosen Tastatur beispielsweise drohte der Hersteller mit einer Klage, sollte die Lücke publik gemacht wird. Taten liess der Hersteller seiner Drohung allerdings keine folgen. Stattdessen entfernten sie das Label „AES Security“ auf dem Keyboard, ohne die Lücke zu stopfen und senkten einfach den Preis des Produkts.

In weiteren Demos zeigte Schreiber, wie sich SMS mit gefälschtem Absender versenden lassen, wie sich Virenscanner mit vergleichsweise einfachen Mitteln austricksen lassen oder wie man eine Smartwatch dafür benutzen kann, um einen Einbruchalarm ausser Gefecht zu setzen. Die Fähigkeiten von Schreiber und SySS werden bald auch bei Zühlke für mehr Sicherheit sorgen. Wir haben unlängst eine Zusammenarbeit mit dem Unternehmen vereinbart.

Austausch über Ländergrenzen hinweg

Unser zentrales Anliegen für die Zühlke Security Days war es, unsere Entwickler der verschiedenen Standorte an einen Tisch zu bringen. Der Austausch ist essentiell, um sicheres Design und sichere Entwicklung in unseren Kundenprojekten zu realisieren. Nur wer den Austausch fördert, jüngste Forschungsergebnisse und Erfahrung aus zahlreichen Kundenprojekten miteinbezieht, kann am Markt bestehen und Lösungen schaffen, die langfristige Sicherheit für alle Beteiligten bieten.

Ein solides und ganzheitliches Sicherheitskonzept ist ein entscheidender Wettbewerbsvorteil. Wer nicht in die nachhaltige Absicherung seiner Lösungen investiert, wird früher eine Attacke erleben und möglicherweise seine Glaubwürdigkeit am Markt verlieren. Darum investieren wir viel, um den wachsenden Anforderungen im Rahmen der Digitalisierung gegenüberzutreten und unseren Kunden und Mitarbeitern den bestmöglichen Schutz zu bieten.

Senior Information Security Consultant

Raphael Reischuk

Wissenschaftler und Consultant in Information-Security, IoT-Security, Cyber-Security, Web-Security und Network-Security.

Kommentare (0)

×

Updates

Schreiben Sie sich jetzt ein für unsere zwei-wöchentlichen Updates per E-Mail.

This field is required
This field is required
This field is required

Mich interessiert

Select at least one category
You were signed up successfully.