logo

planet 33 Login & Support Center

Hier haben Sie direkten Zugriff auf die wichtigsten planet 33 Login & Support Bereiche:
TeamViewer planet 33 Remote Support
planet 33 phonetotal Portal
planet 33 Kundenportal & Support
Busylight Registrierung
support@planet33.com
01805 33 51 33
``Die Zahlen der Cyberangriffe steigen täglich - die Ausgaben für IT Sicherheit nicht``
Am 11.11.2021 war es endlich soweit: Unser planet 33 WEBINAR zum Thema ``Social Engineering`` mit Keynote Speaker und Ethical Hacker Immanuel Bär fand statt. Im Nachgang gab es einige Fragen an die Speaker und die haben wir hier zusammengetragen, für alle Teilnehmer und die, die es verpasst haben.
Immanuel Bär hat uns gezeigt welche verschiedensten Angriffsarten es in der Cyberkriminalität gibt, wie oft der Faktor Mensch die Schwachstelle ist und worauf man als User -egal ob privat oder beruflich- achten sollte. Sascha Martens wiederum hat den Passwortmanager Password Safe von MATESO vorgestellt, seine Funktionen erklärt und gezeigt warum ein Passwortmanager die meisten Risiken ausschaltet.

Immanuel Bär (Pro-Sec)

Sascha Martens (MATESO)

Emanuel Gulba (planet 33)

Emanuel Gulba

Diana Velican (planet 33)

Hier die Antworten der Referenten auf Fragen der Webinar-Teilnehmer, welche als Transskript empfangen wurden.
``Warum tragen alle Hacker Hoodies?``
``Warum tragen alle Hacker Hoodies?``

Eigentlich ist es tatsächlich eher ein Ding, das aus der Filmwelt kommt und daher dieses Klischee geprägt hat. Denn es gibt 2021 keinen unmittelbaren Bezug mehr zwischen Hoodies und Hackern, denn sind wir mal ehrlich das ist genauso überholt wie das Klischee, dass alle Hacker/Nerds dick, unsportlich oder introvertiert sind. Ich denke eher, dass da wirklich Hollywood & Co. noch die sind, die dieses Klischee oben halten. Ich persönlich trage zwar gerne Hoodies, aber ich glaube die würde ich auch tragen, wenn ich als Berater unterwegs wäre.

``Hi, Hacker haben sicher die Möglichkeit MFA zu umgehen. Was können Sie dazu sagen?``
``Hi, Hacker haben sicher die Möglichkeit MFA zu umgehen. Was können Sie dazu sagen?``

Wie alles in der IT Sicherheit, ist auch die Zwei-Faktor oder Mehrfaktor-Authentifizierung nicht 100%ig sicher, denn es gibt keine hundertprozentige Sicherheit. Aber es ist schon eine enorme Hürde für jeden Hacker und ein guter Sicherheitsstandard für jedes Unternehmen eine MFA einzuführen, weil es uns als Angreifern das Leben wesentlich schwerer macht. Mehrfaktor-Authentifizierung kann man primär nur dann umgehen, wenn man quasi das Gerät als Hacker schon ``übernommen hat`` auf welchem z.B. die smsTAN als zweiter Faktor übertragen wird. Das heißt, man ist als Hacker im Browser, bekommt per SMS den zweiten Faktor und auch dieser zweite Faktor kann mit einem ``Man-in-the-middle-Angriff`` abgegriffen werden. Dieses Szenario zeigt natürlich, dass auch eine MFA hackbar ist, aber sind wir mal ehrlich: Für den Ottonormalverbraucher und KMUs bietet die Mehrfaktor-Authentifizierung schon ein hohes Maß an Sicherheit.

``Wie kann man sich privat schützen vor Hackern, die das Handy angreifen wollen beispielsweise?``
``Wie kann man sich privat schützen vor Hackern, die das Handy angreifen wollen beispielsweise?``

Die Frage ist insofern schon wichtig, weil das Handy einer der Hauptangriffsvektoren ist, da dort die meisten Informationen zusammenlaufen. Wie bei so vielem kann ich auch nur sagen, der beste Schutz ist eine Art „digital awareness“, das heißt sich überhaupt bewusst zu machen, was benutze ich alles – ergo, wo habe ich demnach auch Schwachstellen? Hier ist es weniger allein das Ziel einen tollen Virenschutz auf dem Handy installiert zu haben, es ist vielmehr die Art wichtig, wie man das Handy absichert: also dass die Authentifizierung mit einem Code und dem Fingerabdruck passiert. Ein weiterer wichtiger Punkt ist, dass man beispielsweise seine Accounts, die auf dem Handy laufen – minimiert. Auch hier ist ein Sicherheitsmerkmal das Gebot der Datensparsamkeit, d.h. installiere möglichst wenig auf deinem Gerät und dann kann von diesem Gerät auch wenig abgegriffen werden. Auch das sogenannte Geräte-Management ist wichtig, das heißt, dass man das Handy beispielsweise so konfiguriert, dass bei Verlust die Daten auch aus der Ferne gelöscht werden können. Es gibt noch viele Punkte mehr, aber grundsätzlich sollte man sich bewusst sein, was hat man auf seinem Endgerät, also seine eigenen Angriffsvektoren kennen. Beachtet man dann auch noch das Gebot der Datensparsamkeit und hat Dinge installiert wie „Daten löschen aus der Ferne“, dann hat man schon sehr viel getan als private Person.

``Wie oft soll man die Passwörter ändern und wie sicher sind die Face IDs als Passwort?``
``Wie oft soll man die Passwörter ändern und wie sicher sind die Face IDs als Passwort?``

Grundsätzlich gilt, wenn ein sicheres Passwort erstellt wurde (siehe Link) und dieses eine Passwort für den Passwortmanager gilt, ist man auf der sicheren Seite. Es sollte eher heißen, wie viele Passwörter sollte ich haben, anstatt wie oft soll ich ein Passwort ändern. In dem Kontext Face ID z.B. als Passwort generell zu nutzen, gilt: eine Mehrfaktor Authentifizierung teilt sich bestenfalls auf in etwas was man weiß (wie ein Passwort), etwas das man besitzt (wie ein Sicherheitstoken) und etwas das man ist (also etwas von mir darstellt, so wie den Fingerabdruck- oder der Iris-Scan). Ich glaube jeder hat es vielleicht auch schon mal in einer Krimi-Serie gesehen, wo von einem Leichnam der Finger genommen und damit das Handy entsperrt wird. Es gibt auch Beispiel vom Chaos Computer Club, wo man damals einen Bundestagsabgeordneten ein Glas hingestellt hat und hat dieses dann über eine befreundete Putzfrau in die richtigen Hände gespielt und dann wurde der Fingerabdruck vom Glas mit einer Art Leim Gemisch von der Oberfläche des Glases genommen. Somit hatte man quasi einen Fingerabdruck eines Abgeordneten und konnte sich damit überall anmelden. Grundsätzlich ist also alles möglich. Ein Fingerabdruck ist zum Beispiel auch relativ leicht fälschbar mit einfachen Mitteln aus dem Baumarkt. Bei anderen Dingen wie Iris-Scanner ist es natürlich schon schwerer. Die Kunst und die Zukunft von Mehrfaktor-Authentifizierung liegt in möglichst vielen Faktoren und diese intelligent miteinander zu verknüpfen! Jedes Mobilgerät hat beispielsweise bis zu 15-20 Sensoren und wenn man daraus eine Schnittmenge zusammen mit der Stimme macht, dann ist dann fast nicht mehr fälschbar. Das wiederum bedeutet, Mehrfaktor gehört die Zukunft, aber es geht um einen sinnvollen Einsatz und eine intelligente Kombination.

``Wie ist die Haltung eines White-Hat-Hackers gegenüber passwordless Logins via Security Token?
``Wie ist die Haltung eines White-Hat-Hackers gegenüber passwordless Logins via Security Token?``

Also als Beispiel als Passwort benötige ich meine Iris, meine Stimme und dem Gesamtbild meiner Sensoren z.B. im Handy, die daraus eine eineindeutige Charakteristik von mir formen. Solche Dinge werden in Zukunft immer wichtiger gegenüber dem herkömmlichen Passwort, wobei ich sagen muss, der Mensch ist ein Gewohnheitstier und es wird glaube ich noch lange dauern, bis Passwörter gänzlich verschwinden. Denn auch wenn es technologisch möglich ist, entscheidet am Ende des Tages ja immer noch der User. Ich bin also der Meinung, von „passwordless“ sind wir noch weit entfernt, deshalb ist eine MFA mit sicherem Passwort und Security Token auf jeden Fall die bessere Lösung.

``Wo überall kann der Password Safe Passwörter aktiv/automatisch ändern? Nur im AD?``
``Wo überall kann der Password Safe Passwörter aktiv/automatisch ändern? Nur im AD?``

Die Funktion ``Password Reset`` ermöglicht es, Passwörter nicht nur in Password Safe selbst, sondern auch in der Anwendung / an der Website selbst zu ändern. Dieser Reset kann automatisch nach vorher definierten Triggern erfolgen wie etwa dem Aufdecken eines Passworts oder dem Login im Sinne von OTPs.

``Was nutzt ein hochsicheres back end, wenn das front end unter Fremdkontrolle ist?``
``Browser sind beliebte Ziele, add-ins haben (vereinfacht) Vollzugriff. Was nutzt ein hochsicheres Back-end, wenn das Front-end unter ``Fremdkontrolle`` ist?``

Die Gefahr, dass einer unserer Clients im Zuge eines Angriffs kompromittiert wird, ist natürlich etwas, das wir immer mit betrachten – so speichern (cachen) wir niemals Secrets und empfehlen eine möglichst sichere Konfiguration, z.B. durch MFA, auch bei Password Safe. Besonders sensitive Accounts/Credentials können noch zusätzlich durch einen Workflow mit Approval geschützt werden oder via Sichtschutz nur für die automatische Eintragung freigegeben werden.

Custom Font Content
Wie Sie ein wirklich sicheres Passwort erstellen, können Sie hier nachlesen.
Schützen Sie sich vor Hacker-Angriffen, indem Sie die Schwachstellen Ihres Unternehmens aus Sicht eines Hackers kennenlernen. Kontaktieren Sie uns und wir finden Lösungen und Konzepte, die auf Ihr Unternehmen zugeschnitten sind!
Diana Velican (Business Developement planet 33)
Kontaktieren Sie mich!