James Bond, von Berufs wegen

Thomas Hackner von HACKNER Security Intelligence GmbH
Thomas Hackner, HACKNER Security Intelligence GmbH im Interview mit Business Upper Austria. © HACKNER Security Intelligence GmbH

14.09.2018

Thomas bricht gerne bei Ihnen ein. Vielleicht merken Sie es nicht einmal. Keine Sorge, er und sein Team dürfen das, weil Sie sie damit beauftragt haben. Unternehmen lassen die Wirksamkeit ihrer Sicherheitsmaßnahmen von HACKNER Security Intelligence prüfen. Schwachstellen werden aufgedeckt und können so präventiv vor einem echten Angriff geschlossen werden. Im Interview erzählt er uns mehr über seine Arbeit.

Kannst du uns etwas zu deinem eigenen Hintergrund erzählen?
Ja, natürlich. Aber ich sage jetzt nicht, dass mein Nachname bereits meine Bestimmung war, das höre ich öfters. Begonnen hat meine Begeisterung für das Thema Sicherheit und der Ideologie der damaligen Hacker-Szene bereits in meiner Jugend. In meiner HTL-Zeit wurde ich durch meine Lehrer auch in dieser Richtung gefördert und so war es nur ein logischer Schritt, um sowohl Bachelor- als auch Masterstudium an der FH in Hagenberg zu absolvieren. Durch das Studium „Sichere Informationssysteme“, aber auch durch zahlreiche Nebenprojekte, wie die Gründung der Hacking Group Hagenberg oder der österreichischen Lockpicking-Sportverein OpenLocks.at, hatte ich die Möglichkeit, bereits während des Studiums sowohl Wissen als auch Erfahrung in den Bereichen IT-Security und physische Sicherheit zu sammeln. Ich wollte diese Themenbereich unbedingt in Form von Security Assessments vereinen.  Nachdem ich keine Firma in Europa finden konnte, die zu diesem Zeitpunkt derartige ganzheitliche Assessments anbot, stand auch die Firmengründung 2010 fest. Ich bin stolz darauf, nun mit ausgesprochen talentierten Leuten zusammen arbeiten zu dürfen. Gemeinsam setzen wir meinen Traum einer sehr hochwertigen Spezialeinheit um, die für private Unternehmen Spionageüberprüfungen (oft auch Tiger Team bzw. Red Team Assessments genannt) durchführt. Übrigens: wir erweitern laufend unser Team, Initiativbewerbungen sind willkommen.

Wer sind eure Ansprechpartner in den Unternehmen?
Das hängt meist sehr stark vom Ziel des Assessments ab. Wenn wir Teilbereiche, wie bestimmte IT-Projekte auf Angriffsmöglichkeiten überprüfen, wird dies oft durch Projektleiter oder das Security-Team initiiert. Red Team Assessments hingegen werden meist aus dem C-Level-Management oder der Konzernrevision heraus beauftragt.

Wie läuft die Planungsphase ab?
Die Planung ist wahrscheinlich die wichtigste Phase des Red Team Assessments. Wenn wir hier unseren Job gut machen, dann ist die Durchführung eine relativ leichte Übung. Im ersten Schritt versuchen wir so viele Informationen über das Unternehmen, wie möglich zu sammeln. Dazu gehören beispielsweise Firmendaten, Jobausschreibungen, Mitarbeiterdaten, Urlaube, interne Richtlinien und Informationen zur physischen Sicherheitsinstallation. Parallel dazu erfolgt bereits eine erste Evaluierung der IT-Sicherheit, als auch die Zusammenstellung von möglichen physischen Angriffsmöglichkeiten auf die Standorte, sowohl über Bilder aus dem Internet, als auch durch ein verdeckte, physische Besuche. Darauf aufbauend wird zusammen mit Informationen aus dem Threat Intelligence ein sogenannter Red Team Testplan entwickelt, welcher mit dem Auftraggeber und ggf. dessen Betriebsrat abgestimmt wird. Der Mitarbeiter ist zu jeder Zeit geschützt. Wenn der Plan freigegeben wurde kommt es zur Durchführung. Meist eine Kombination aus einem physischen Zugriff und anschließend verdeckten Angriffen im IT-Netzwerk, um zu testen, ob das Unternehmen derartige Angriffe erkennen würde und wie es darauf reagiert.

Ist die Ausführung der physischen Einbruchsversuche mit Nervenkitzel verbunden?
Das kann man wohl sagen. Wobei ich gestehen muss, dass mit der Zeit gewisse Situationen leichter werden.

Gab es skurrile Situationen?
Ja, mehr als genug. Bei einem Assessment kam ich mir vor wie im Film. Es war nach Mitternacht und die Security Guards machten ihre Runden. Wir waren in ein Research Lab mit Glastüren mittels Lockpicking eingebrochen und konnten die Walkie Talkies der Guards hören, wie sie in unsere Richtung kamen. Ein Kollege musste aufgrund des Rundgangs bereits seinen Posten verlassen und wir mussten uns zu zweit unter einen Tisch mit gedimmten Notebookschirmen kauern, um uns zu verstecken, aber dennoch parallel den Source Code vom Server stehlen zu können. In der nächsten Sekunde huschte dann auch schon der Lichtschein der Taschenlampe durch das Zimmer, bevor wir wieder aufatmend mit einer Kopie des Source Code auf dem Notebook das Werksgelände verlassen konnten.

Aus eurer Erfahrung: welche Schwachstellen identifiziert ihr bei Unternehmen am häufigsten?
Wenn für einen Einbruch wenig Zeit zur Verfügung steht, würde ich den physischen Angriffsvektor für den Zugriff auf das interne Netzwerk wählen. Unternehmen haben meist viel in den IT-Perimeterschutz zum Internet investiert, sind aber in vielen Fälle gerade im Bereich der Mitarbeiter-Awareness und der physischen Schutzeinrichtungen einfach angreifbar. Einmal im Unternehmen ist es sehr unwahrscheinlich als Fremder noch angesprochen zu werden. Die internen Netzwerke bieten meist relativ geringen Widerstand, wenn man sich mit dem Notebook im Intranet befindet. Positiv hervorzuheben ist, dass sich die Sicherheit in internen Netzwerken in den letzten Jahren vor allem in Zusammenhang mit Security Operation Center (SOCs) stark verbessert hat, allerdings stehen die Unternehmen hier gerade erst am Beginn. Und viele der Unternehmen sind derzeit noch relativ blind gegenüber Angreifern, die bereits Zugriff in das interne Netzwerk erlangt haben.

Hat sich das Sicherheitsbedürfnis der Unternehmen in den letzten Jahren verändert?
Absolut, vor 8 Jahren war wir mit den Red Team und Tiger Team Assessments alleine und mussten erklären, was wir machen. Mittlerweile sind IT Penetration Tests zum Standard geworden und die Nachfrage an Red Team Assessments ist so hoch wie nie. Die Medien, aber auch die Gesetzeslage, haben einiges dazu beigetragen, dass bewusster mit dem Thema Sicherheit umgegangen wird. Deswegen begrüßen wir auch Initiativen wie das Information Security Network zur Steigerung der Awareness und Vernetzung von Unternehmen mit Anbietern.  Auch unterschiedlichste Werkzeuge und Dienstleistungen zur Absicherung wurden in den letzten Jahren entwickelt, sodass hier beinahe keine Wünsche offen bleiben. Nun liegt es neben den Unternehmen vor allem auch bei den Herstellern und Dienstleistern, dass nicht blind Produkte verkauft werden, sondern die Kunden gut beraten werden, um jene Lösungen zu finden, die für das jeweilige Unternehmen auch den größten Mehrwert bieten.

Kontaktdaten
Thomas Hackner, MSc
Geschäftsführer HACKNER Security Intelligence GmbH
t.hackner@hackner-security.com | +43 205 230 201 | www.hackner-security.com


Das könnte Sie auch interessieren: