Nach dem Diebstahl der Kontaktlisten ihrer wichtigsten Kunden wurde die Security-Consultant-Firma CQUR IT von der NZSDBG AG (Name zum Schutz der Betroffenen geändert) mit der Ausführung einer Sicherheitsanalyse beauftragt.
Wie wir feststellten, war das Funk-LAN (WLAN) des Kunden ungesichert und innerhalb einer Entfernung von ca. 170 Metern um das Bürogebäude zugänglich. Unentdeckt drangen wir in das Netz ein und riefen eine Kopie der Hauptkunden-Kontaktlisten ab.
Unsere nächste Aufgabe war es, unserem Kunden diese Nachricht zu überbringen und ihm zu sagen, was man verkehrt gemacht hatte und wie dem Abhilfe geschaffen werden konnte.
Nachdem wir die Schwachstellen des WLAN identifiziert hatten, setzten wir unverzüglich das Senior Management Team (SMT) von deren Wichtigkeit in Kenntnis. Am folgenden Tag trafen sich fünf der sechs SMT-Mitglieder zur Besprechung der Sicherheitsanalyse in ihren Geschäftsräumen. Der CEO (Geschäftsführer) schloss den CIO (IT-Manager) von diesem Treffen aus, damit die Ergebnisse rückhaltlos besprochen werden konnten.
Nachdem wir uns vorgestellt hatten, entnahmen wir unserer Aktentasche einen Laptop, öffneten ihn auf dem Konferenztisch und stellten diese rhetorische Frage: „Würden Sie irgendeinem Menschen mit einem Laptop erlauben, hier einfach hereinzuspazieren und sich in Ihr Netz einzuklinken?“
Das SMT saß mit amüsierten Mienen am Konferenztisch, bis der CEO mit einem wissenden Schmunzeln erwiderte: „Natürlich nicht. Aber ich vermute, dass Sie diese Präsentation nicht grundlos mit dieser Frage eröffnet haben.“
Wir erwiderten sein Lächeln drehten unser Laptop – und demonstrierten unsere Fähigkeit, auf die Daten des Kunden einschließlich der erbeuteten Kontaktlisten zuzugreifen. Dem folgte ein Schweigen, das nach etlichen Momenten durch den Geschäftsführer unterbrochen wurde mit den Worten: „Irgendwie habe ich das Gefühl, dass uns in dieser Besprechung noch schlimmere Nachrichten bevorstehen.“
Das halbherzige Gelächter und die ernsten Gesichter zeigten uns, dass wir unser Ziel erreicht hatten – nämlich zunächst einmal ihre Aufmerksamkeit zu erregen und unsere Bedenken bezüglich der aktuellen Sicherheit ihres Netzes zu äußern.
Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…
Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.
Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.