Criminal Minds: Denken wie ein Hacker kann Data Governance verbessern

von Andy Green Was können wir aus lernen, wenn wir die Hacking-Angriffe der erfolgreichsten Hacker-Organisation auswerten, die bisher vor Gericht gebracht wurde? Vergangene Woche hat die US-Staatsanwaltschaft in New Jersey Anklage gegen...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

von Andy Green

Was können wir aus lernen, wenn wir die Hacking-Angriffe der erfolgreichsten Hacker-Organisation auswerten, die bisher vor Gericht gebracht wurde? Vergangene Woche hat die US-Staatsanwaltschaft in New Jersey Anklage gegen eine überwiegend russische – ein amerikanischer Mittäter wurde ebenfalls benannt – Bande an Cyperkriminellen erhoben, denen der Diebstahl von mehr als 160 Millionen Kreditkartennummern und ein daraus entstehender Verlust von mehr als 300 Millionen USD im Verlauf von sieben Jahren vorgeworfen wird. Betrachtet man die Anklage genauer, gewinnt man den Eindruck, dass diese Bande über grundsolides Geschäftsmodell verfügt, das ihre Ziele mehr als übererfüllte und, dass sich die Bande an die Grundsätze der IT-Sicherheit gehalten hat – verglichen mit den Opfern.

Den Ermittlungen der Staatsanwaltschaft zufolge, die vor allem auf Online-Chats zwischen den Hackern selbst basierten, wurden die Kreditkartennummern über Großhändlernetze verkauft: Amerikanische Nummern wurden zu einem Preis von 10 $, kanadische für 15 $ und europäische für 50 $ gehandelt. Die Hacker-Bande, die von der Staatsanwaltschaft berechtigterweise als Organisation bezeichnet wurde, bot dabei sogar Mengenrabatte an – d. h. festgelegte Zahlungspläne. Das Vertriebsnetz verkaufte die gestohlenen Daten im Anschluss über eigene Kanäle an die Endnutzer.

Dabei akzeptierte die Hacking-Organisation übrigens keine Kreditkarten als Bezahlung für ihre Dienste, sondern ausschließlich Überweisungen und Western Union. Ein extrem guter Schachzug, denn Kreditkartennummern können schnell ja bekanntlich auch mal gestohlen werden!

Das tatsächliche Hacking-Talent war kaum ausgereifter als das von ganz gewöhnlichen Cyberkriminellen. Sie arbeiteten vor allem mit SQL-Injection-Angriffen um Webseiten zu Knacken, weniger mit reinen Passwort-Rate-Attacken. Die Opfer rekrutieren sich aus Einzelhandel, Finanzwesen und Kreditkartenbranche und belegen einmal mehr die Statistik aus Verizons Datenschutzbericht über die am häufigsten von Hacking-Angriffen betroffenen Bereiche. In einigen Fällen entschieden sich die Hacker aufgrund der verwendeten Verkaufs- oder POS-Ausstattung für Einzelhändler, da sie hier speziell konfigurierte Schnüffel-Software installieren konnten, um unverschlüsselte Kartennummern einfach auszuschleusen. Dabei handelte es sich um Einzelhändler aus dem Lebensmittel- und Bekleidungssektor, die PCI-konform waren!

Nach dem gelungenen Einbruch wartete mit der eigentlichen Suche nach den Kreditkartennummern und weiteren personenbezogenen, identifizierbaren Informationen das nächste Problem auf die Hacker. Im Hacker-Jargon die sogenannte „Post-Exploitation“.

Um diese Post-Exploitations-Verfahren besser zu verstehen, müssen Sie auf die dunkle oder zumindest halbdunkle Seite wechseln. Aus diesem Grund entschied ich mich dafür, einen Blick in die Archive der Defcon zu werfen – „der ältesten und größten illegalen Hacking-Konferenz“.

Dabei stieß ich auf eine sehr hilfreiche Präsentation zum Thema, die von zwei Penetration-Testern (kurz Pen-Testern) zusammengestellt wurde. Hier wird darauf verwiesen, dass sich die Hacker „vor dem direkten Blickfeld verstecken“ müssen. In großen roten Buchstaben heißt es: „Machen Sie sich unsichtbar!“. Auf einer anderen Folie wir darauf verwiesen, dass Root-Zugang nicht unbedingt ein wünschenswertes Ziel für Hacker ist, da dies gleichzeitig auch die Benutzerebene ist, die den stärksten Kontrollen unterliegt.

Das ist grundsätzlich ein guter Rat, allerdings können Hacker nicht langfristig die allgemeinen Verhaltensweisen von Benutzern vorhersagen, und ganz nebenbei gibt es auch eine Software, die untypische Verhaltensmuster im Datenzugriff erkennen kann.

Jedenfalls kommen die beiden Pen-Tester zu dem Schluss, dass man als einfacher Benutzer eindringen und dann selektiv Zugangsdaten und Sitzungen übernehmen sollte. Für welchen Benutzer sollte sich ein Hacker also entscheiden? Der Tipp der Pen-Tester lautet, dass man „die Zielumgebung kennen“ und wissen sollte, „wer worauf Zugriff hat“ um „den Speicherort der Daten“ zu identifizieren.

Warum nur kommen mir diese Anforderungen  so bekannt vor? Genau! Es handelt es sich dabei um die Kernaussage der IT Data Governance, die jeder Systemadministrator in seiner täglichen Arbeit heherzigen sollte. Es klingt wahrscheinlich etwas widersprüchlich, dass wir es einem Pen-Tester verdanken, eine fundierte Präsentation über Post-Exploitation-Verfahren für Data Governance vorliegen zu haben. Aber beim Hacking steht die Welt Kopf und es sind die Cyberkriminellen, die bessere Arbeit darin leisten als die angegriffenen Unternehmen, wenn es darum geht, den Wert ihrer Daten zu erkennen und die entsprechenden IT-Grundsätze anzuwenden.

Sie sollten „kurzen Prozess“ mit denen machen, die den Bereich Data Governance nicht ausreichend ernst nehmen. Letztendlich müssen Sie den Hackern einen Schritt voraus sein und Ihre Daten tatsächlich kennen.

(Die Defcon 21 startet übrigens diese Woche in Las Vegas und es wird schon bald weitere Informationen zum Thema Post-Exploitation geben.)

Bildquelle: Lynndangeorge

 

The post Criminal Minds: Denken wie ein Hacker kann Data Governance verbessern appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

der-unterschied-zwischen-daten-governance-und-it-governance
Der Unterschied zwischen Daten-Governance und IT-Governance
Wir waren in der letzten Zeit so sehr mit Daten-Governance beschäftigt, also damit, wie wir den maximalen Mehrwert aus unseren Daten gewinnen und die nächste große Datenschutzkatastrophe verhindern, dass viele...
56-statistiken-über-datenschutzverletzungen,-die-sie-für-das-jahr-2020-kennen-müssen
56 Statistiken über Datenschutzverletzungen, die Sie für das Jahr 2020 kennen müssen
Datenschutzverletzungen werden größer, Hacker werden geschickter und die Menge kompromittierter Daten wird bedauerlicherweise immer größer. Ein kurzer Blick auf die Trends bei Datenschutzverletzungen zeigt, dass Hacker vor allem des Geldes...
wenn-auch-nicht-unser-leben-–-wenigstens-unsere-daten-können-wir-überprüfen
Wenn auch nicht unser Leben – wenigstens unsere Daten können wir überprüfen
von Manuel Roldan-Vega Vor zwei Wochen kam meine Verlobte von den Weihnachtseinkäufen nach Hause. Beim Auspacken stellte sie fest, dass ihr Handy verschwunden war. Panik brach aus! Die Vorstellung, solche Daten...
was-ist-red-teaming?-methoden-und-tools
Was ist Red Teaming? Methoden und Tools
Beim Red Teaming wird die Sicherheit Ihrer Systeme getestet, indem versucht wird, diese zu hacken. In dieser Anleitung zeigen wir Ihnen, wie Sie diese leistungsstarke Technik nutzen können.