Wie ein Handyfoto eine ganze Firma ruinieren kann

Während die Sicherheitsbranche auf der RSA Security Conference in San Francisco die ausgeklügeltsten Hacker-Angriffsszenarien und Cyberwar-Tools diskutierte, ließ Larry Ponemon, Leiter des Ponemon Institute, mit verblüffenden Erkenntnissen zum Thema "Visual Hacking" aufhorchen. Dabei werden vertrauliche und private Informationen, wie Passwörter, Zugangsdaten, aber auch Dokumente von einer in der Nähe befindlichen Person "abgeschaut" bzw. mit der Handykamera abfotografiert. Gefährliche Orte sind neben öffentlichen Verkehrsmitteln Großraumbüros, öffentliche Plätze, aber auch Warteräume bei Ärzten.

Perfider Low-tech-Angriff

"Da es kaum nachweisbar ist, wenn jemand im Flugzeug oder Zug über die Schulter schaut und bei dieser Form von Attacke keine komplizierte Technologie zum Einsatz kommt, wurde visuelles Hacking bisher weder von der Sicherheitsbranche, als auch von Unternehmen wirklich Ernst genommen", erklärt Ponemon im Gespräch mit der futurezone. Das Ignorieren dieses Phänomens ist Ponemon zufolge aber nicht angebracht. So seien mehrere Fälle bekannt, bei denen Geschäftsleute in der Business-Klasse im Flugzeug gezielt ausgespäht wurden. In einem anderen Fall fotografierte eine Bank-Managerin, die ihren Arbeitgeber wechselte, Kundenblätter vom Bildschirm ab.

In einem Feldversuch konnte Ponemon zudem zeigen, dass die überwiegende Mehrheit von Unternehmen - egal ob aus der Finanz-, Dienstleistungs-, Juristen- oder gar IT-Branche - solchen Low-tech-Attacken völlig schutzlos ausgeliefert sind. Bei 38 von 43 Bürostandorten gelang es der als vorübergehender bzw. externer Mitarbeiter eingeschleusten Person, völlig problemlos an sensible Unternehmensdaten zu gelangen - ohne auch nur eine Schublade oder einen Bürokasten zu öffnen.

In wenigen Minuten zum Ziel

Abgesehen davon, dass der Hack erfolgreich war, obwohl der Angreifer nur durchs Büro schlenderte, wurden sensible Informationen in knapp der Hälfte der Fälle bereits in weniger als 15 Minuten entwendet. Als größte Schwachstellen erwiesen sich Bildschirme ohne Schutzfilter, unbesetzte Schreibtische mit auf Papier verzeichneten Log-in-Informationen und vertraulichen Dokumenten sowie der Bereich des Drucker und Kopiergerätes - dabei insbesondere der Papierabfall.

"Je aufwändiger die Sicherheitsmaßnahmen werden, desto häufiger setzen Angreifer auf einfache Social-Engineering-Maßnahmen, um an sensible Informationen zu gelangen. Statt Maschinen und Systeme zu hacken, werden Personen gehackt", erklärt Ponemon. "Auch die umfassendsten Firmenhacks beginnen meist nur mit einer Schwachstelle, mit einer kompromittierten Person, einem geklauten Zugangscode ins Netzwerk. Auch deshalb sollte man das Thema nicht auf die leichte Schulter nehmen", so Ponemon.

Fotografieren kein Problem

Dass das Bewusstsein von Mitarbeitern diesbezüglich kaum vorhanden ist, zeigt laut dem Sicherheitsexperten auch der Umstand, dass die vom Institut engagierten "Angreifer" in drei von vier Fällen selbst dann völlig unbehelligt blieben, wenn sie mit ihrer Handykamera im Büro zu fotografieren begannen. "Selbst in den Fällen, wo die Angreifer aufgefordert wurden, das Fotografieren zu unterlassen, gelang es diesen im Schnitt immer noch fast drei verschiedene vertrauliche Informationen oder Dokumente zu ergattern", sagt Ponemon.

Neben Schulungen von Mitarbeitern, um zu verhindern, dass aufgeschriebene Passwörter und vertrauliche Dokumente frei zugänglich auf Schreibtischen landen oder im Kopierer vergessen werden, gibt es auch einige Hilfsmittel, die zu mehr Sicherheit beitragen. Für Reisen, aber auch in Großraumbüros empfiehlt sich laut Ponemon, Schutzhüllen für Displays zu verwenden. Schredder-Geräte bei Kopierern und Druckern sind unerlässlich, manche Firmen koppeln den Druck von Dokumenten an eine Chipkarte, die beim jeweiligen Gerät eingesetzt werden muss, um den Druckvorgang zu starten.