Der Feind im Haus: Wenn Mitarbeiter Daten stehlen

Ein beliebtes Objekt für Datendiebstahl sind Zugangsdaten wie Benutzername und Passwort. Das geht so weit, dass manche Mitarbeiter ohne konkreten Anlass versuchen, an Zugangsdaten zu kommen, um sie im "Bedarfsfall" einsetzen zu können. Teilweise gelingt dies mit trivialen Mitteln: Beispielsweise kann ein Mitarbeiter einen eigenen Webserver aufsetzen und auf einem Logon-Screen zur Eingabe von Benutzernamen und Passwort auffordern. Arglose Mitarbeiter geben dabei häufig ihre Firmenpasswörter ein. Früher oder später wird dies jedoch einem Administrator auffallen.

Wesentlich unauffälliger sind Angriffe mit eigens dafür modifizierten Samba-Servern unter Linux. Dazu legt ein Mitarbeiter Dokumente nicht auf einem offiziellen Server des Unternehmens ab, sondern auf einem, den er selbst aufgesetzt hat. Das kann beispielsweise mittels einer virtuellen Maschine geschehen.

Mitarbeitern, die dieses Dokument benötigen, schickt er einen SMB-Link wie \HACKERSERVERSHAREWichtiges Dokument.docx. Auch andere Lockmethoden sind beliebt, etwa das Anbieten von MP3-Dateien im Kollegenkreis.

Windows hat die Eigenschaft, zunächst das Domänen-Passwort des angemeldeten Benutzers bei jedem Server auszuprobieren, sofern der betreffende Share nicht generell ohne Authentifizierung erreicht werden kann. Dazu fragt es beim Benutzer nicht nach.

Die ersten modifizierten Versionen von Samba haben vorgegeben, nur Klartextpasswörter zu akzeptieren. Ältere Windows-Clients haben daraufhin Benutzername und Kennwort unverschlüsselt über das Netz geschickt, die der modifizierte Samba-Server in einer Textdatei abgespeichert hat. Den Zugriff auf den Share hat der Server in jedem Fall gewährt, so dass der arglose Nutzer auf die Datei zugreifen konnte, ohne zu wissen, dass sein Passwort kompromittiert wurde.