Wie man ein globales Unternehmen in zwei Tagen hackt

Wie schnell Eindringlinge vollen Zugang zum Netzwerk einer global agierenden Firma erschleichen können, zeigen Security-Analysten in einem Penetrationstest.

Artikel verschenken

14

30.09.2019, 10:27 Uhr

Lesezeit: 9 Min.

iX Magazin

Von

Stephan Sekula

Wie man ein globales Unternehmen in zwei Tagen hackt
- Einfallstor: veralteter Webserver
Angriff über Firmen-Laptop
Ein Skript als Sprungbrett
Strategien, um Angriffen vorzubeugen

Artikel in iX 10/2019 lesen

Noch vor einigen Jahren reichte es, das eigene Firmennetzwerk ausschließlich durch eine externe Firewall zu schützen. Heutzutage kommen die meisten Angriffe jedoch von innen, beispielsweise von unzufriedenen Mitarbeitern oder durch gelungenes Phishing. Dennoch legen viele Unternehmen immer noch nicht genug Wert auf interne IT-Sicherheitsmaßnahmen.

Um zu sehen, wie es um die eigene Sicherheit bestellt war, beauftragte ein weltweit agierendes Unternehmen ein professionelles Pentester-Team. Das Szenario umfasste die Simulation sowohl eines externen als auch eines internen Angriffs auf das Firmennetzwerk und die darin gespeicherten Daten. Die Basis für den Testangriff von außen bildeten die von der Firma bereitgestellten IP-Adressen und die dort erreichbaren Dienste. Für die Attacke aus den eigenen Reihen überließ der Auftraggeber dem Testteam einen Firmenlaptop. Hier sollten die Tester die Übernahme eines typischen Arbeitsplatzrechners simulieren, zum Beispiel durch einen Remote-Access-Trojaner. Sie wollten damit ausloten, wie weit sich ein solcher Schädling im Firmennetzwerk bewegen und auf welche Daten er zugreifen kann.

Einfallstor: veralteter Webserver

Gibt der Auftraggeber eine Reihe von über das Internet zugänglichen IP-Adressen an, ist der erste Schritt typischerweise ein Portscan. Damit lässt sich in Erfahrung bringen, welche Dienste erreichbar sind. Daraufhin testet das Penetrationsteam diese Dienste gezielt auf Angriffsmöglichkeiten.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

Die Ukulele gilt als unkompliziertes Instrument. Im Test zeigen die drei Lern-Apps Kala, Ukulele lernen für Anfänger und Harmony City Stärken und Schwächen.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Die DJI Avata 2 setzt neue Maßstäbe bei First-Person-View-Drohnen: mit verbesserter Bildqualität, optimierter Brille und längerer Flugzeit.

DJI Mini 4 Pro im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wie man ein globales Unternehmen in zwei Tagen hackt

Einfallstor: veralteter Webserver

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

UpdateLadetarife für Elektroautos im Vergleich

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.