Von denen, die auszogen, das Hacken zu lernen: der Perseus Hacking Day 2022

Einmal in die Haut von Cyberkriminellen schlüpfen? Perseus macht’s möglich. Im Rahmen des Perseus Hacking Day am 23. Februar 2022 hat unser Team alle Mittel und Wege eingesetzt, unser System zu kompromittieren und zum Totalausfall zu bringen. Ob wir’s geschafft haben? Hier ein paar Beispiele unserer Versuche.

Pic Source: Perseus Technologies

Warum eigentlich ein Perseus Hacking Day?

Unsere Mission lautet, Cyberrisiken beherrschbar zu machen. Das bedeutet für uns: Wir sollten die Cyberrisiken für Unternehmen kennen. Warum also nicht beim eigenen anfangen und herausfinden, welchen potentiellen Bedrohungen Perseus ausgesetzt sein könnte, welche Schwachstellen für Cyberangriffe genutzt werden könnten oder auch, wie viele Informationen über Mitarbeitende sich mithilfe von Social Engineering herausfinden ließen, um beispielsweise eine täuschend echte Phishing E-Mail zu versenden. Die Ergebnisse wollten wir nutzen, um unsere eigene Cybersicherheit noch einmal auf den Prüfstand zu stellen – besser geht ja bekanntlich immer – und um diese Erfahrung in unsere Lösungen für mehr Cybersicherheit in Unternehmen mit einfließen zu lassen. Teilnehmen konnten alle Perseus Teammitglieder, die Lust hatten. Das war auch gut so: Denn Cyberkriminaltät hat viele Gesichter, unser Team bringt unterschiedliche Fähigkeiten mit, die weit über Programmieren hinausgehen…und ein bisschen Spaß sollte das Ganze natürlich auch machen.

Social Engineering: Die Basis für personalisierte Cyberangriffe

Einfallstore für Cyberkriminelle gibt es viele. Das Internet und die sozialen Medien erweisen sich jedoch immer wieder als wertvolle Fundgrube für persönliche Daten – und das nicht nur bei Privatpersonen, sondern auch auf Unternehmensebene. Social Engineering hat sich in den vergangenen Jahren als beliebtes Mittel zum Zweck für kriminelle Hacker erwiesen. Bei dieser Methode werden detaillierte Informationen über Unternehmen und einzelne Mitarbeitende für Aktivitäten wie Spear Phishing oder einen möglichen CEO-Fraud gesammelt. Grund genug für uns, ebenfalls zu versuchen, alles über die Mitglieder unseres Management Teams herauszufinden: von Kontaktdaten über Fotos bis hin zur politischen Einstellung. Und tatsächlich sind wir fündig geworden. Aber auch unsere eigenen Social Media Kanäle haben bei genauerem Hinsehen spannende Einblicke gegeben. Nun galt es, diese Informationen entsprechend für den Perseus Hacking Day zu nutzen – und die mögliche Schwachstellen auf unserer Seite gleich zu beheben.

Smishing und Vishing – das Telefon als Einstigstor?

Regelmäßig informieren wir unsere Kundschaft über aktuelle Betrugsmaschen krimineller Hacker. Zwei Häufig genutzte Methoden für Trickbetrug und die Erbeutung sensibler Daten sind Smishing und Vishing, also Phishing Versuche per SMS, Sprachnachricht oder Anruf. Wie unsere eigenen Teammitglieder auf solche Versuche reagieren würden, wussten bis dahin noch nicht. Also versuchten wir unser Glück: Sowohl durch Anrufe bei mehreren Teammitgliedern und Teilen unserer Geschäftsführung sowie über SMS haben wir versucht, sensible Geschäftsdaten herauszubekommen. Leider waren wir damit nicht sonderlich erfolgreich. Zwar bekamen wir von einigen potentiellen Zielpersonen Antworten auf unsere Nachrichten, die erhofften Daten blieben allerdings aus. Schlecht für Cyberkriminelle, aber gut für unser Unternehmen. Übrigens blieb auch ein Phishing-Versuch per Mail erfolglos.

Mit DDoS und Pentesting zum System-Hack? 

Während die Methoden aus den beiden oben genannten Beispielen sehr stark den Faktor Mensch ins Visier nehmen, haben wir uns ebenfalls unsere technische Abwehr auf Herz und Nieren überprüft. Ein beliebte Form von Cyberangriffen sind sogenannte DDoS-Attacken, bei denen so viele Anfragen an ein System gerichtet werden, bis es überlastet ist und zusammenbricht. Im Rahmen des Perseus Hacking Days haben wir die Gunst der Stunde genutzt, um zu überprüfen, wie unser System sich während einer solchen DDos-Attacke verhalten könnte. Das Ergebnis: Nach einigen Versuchen konnten wir feststellen, dass die von unserem Cloud-Provider hinzugefügte Schutzschicht die Versuche blockiert, den Dienst so zu kompromittieren, sodass er überlastet wird.
Ein weiterer Versuch bestand darin, durch Penetration Testing, auch Pentesting genannt, Sicherheitslücken zu erschließen, in dem ein Cyberangriff simuliert wird. Ziel ist es, mögliche Schwachstellen in einem System, einer Anwendung oder einer Organisation aufzudecken bzw. generelle Informationen zum Sicherheitsstatus eines Unternehmens zu erlangen.

Fazit

Was wir bereits wussten, hat sich noch einmal bestätigt. Um ein einen Cyberangriff durchzuführen, sind Programmierkenntnisse zwar gut, aber nicht zwingend notwendig. Oftmals kommt es auf Kreativität, analytisches Denken und Recherchefähigkeiten an – und den nötigen Willen, ein System zu kompromittieren. Der Perseus Hacking Day hat dafür den besten Beweis geliefert und wir können stolz sein: Nicht nur unsere Produkte und Dienstleistungen erzielen einen Beitrag, die Welt täglich cybersicherer zu gestalten – auch unser Team ist mit den Gefahren aus dem Netz bestens vertraut und ist auf keinen der potentiellen Angriffsversuche der anderen Teammitglieder hereingefallen.  Alle Auffälligkeiten konnten wir gleich beheben und so die Cybersicherheit bei Perseus noch etwas erhöhen. Gelernt haben wir also eine ganze Menge.
Dies wird sicher nicht der letzte Perseus Hacking Day gewesen sein. Die Überprüfung auf potentielle Risiken und die Sensibilisierung der Mitarbeitenden zur Erhöhung von Cybersicherheit im Unternehmen sind keine einmaligen Vorgänge, sondern ein fortlaufender Prozess. Wir bleiben dran.