Anatomy Of A Break-In

Eine meiner Lieblingssession von Jesper Johansson ist Anatomy of a Hack: How A Criminal Might Infiltrate Your Network. Wer die Gelegenheit hat, auf einer Konferenz diese Session zu sehen, sollte sich das nicht entgehen lassen. Sie zeigt, wie SQL Injection-Angriffe und schwache interne Sicherheitsvorkehrungen sowie schlampige Administration dazu führen können, daß ein Angreifer unbemerkt das gesamte Netzwerk übernimmt. Fast alle der dort aufgeführten Schwachstellen und Fehler in der Administration sind mir bei nahezu allen Neukunden begegnet, egal wie groß oder klein das Netz oder das Budget waren.

Eine ähnliche Publikation Anatomy Of A Break-In legt den Augenmerk auf die physikalische Sicherheit, welche in vielen Unternehmen sträflich unterschätzt wird. Ira Winkler zeigt, wie einfach es ist, in Firmen Zugang zu sensitiven Inforamtionen zu bekommen.Sie dringt mit einem Team in das Hauptgebäude ein, belegt ein leeres Büro, gibt sich als CIO gegenüber dem Empfang aus und bekommt klaglos Zugangsbadgets ausgestellt, die auch den Zugriff auf den Serverraum ermöglichen.

Wer beide Artikel liest, kann ja mal während der Lektüre überprüfen, ob die jeweils aufgeführten Schwachstellen auch im eigenen Netzwerk vorhanden sind und ob die direkte oder eine ähnliche Vorgehensweise im eigenen Unternehmen wirklich zu einem Sicherheitsalarm führen würde.

Defense in depth ist daher kein Marketing-Schlagwort, sondern notwendiger denn je, wie die bittere Realität aufzeigt! Sicherheit wird nicht durch das Ausgeben von teilweise beträchtlichen Geldbeträgen für Sicherheits-Produkte erreicht, sondern nur durch einen umfassenden Prozeß, der immer wieder neuen Erkenntnissen angepaßt werden muß: Raising the security bar, or...