profile

Michael Mayer

Dein Threat-Model ist nicht mein Threat-Model

Published about 1 month ago • 4 min read

Letzte Woche haben wir über die Theorie von Vertrauen und Risiken sinniert, heute geht's ans Eingemachte und wir befassen uns mit der Praxis. Keine Angst, wir tun Sissi nichts an – vorerst! 👸

Die Medien sind voll von Berichten über hochspezialisierte Angriffe auf Konzerne, Banken und öffentliche Einrichtungen. Man könnte meinen, dass Geheimdienste jede IT-Umgebung so einfach aufmachen können, wie ein Sackerl Chips.

Viele Leute haben mich schon gefragt, wie man sich gegen NSA-Attacken schützen kann. Die Frage ehrt mich jedes Mal aufs Neue, aber die Antwort ist in den meisten Fällen sehr hart und sehr kurz: Nichts!

Es geht weniger darum, was man tun kann, sondern was man bereit ist, aufzugeben. Die NSA hat 20.000 Mitarbeiter und ein jährliches Budget von mehr als 3,6 Milliarden USD. Klar, das sind jetzt keine 20.000 Super-Hacker, sondern auch viel Personal drum herum, aber selbst bei nur 1 % "Hacker-Budget" bleiben da noch 36 Millionen USD übrig.

Wir haben jetzt den passenden Kontext und daher stelle ich die Frage noch einmal: Investierst du jedes Jahr mehr als 36 Millionen USD in die IT-Sicherheit?

Wenn du mit dem Panikschieben fertig bist und nicht mehr durch die braune Papiertüte atmest, können wir uns jetzt um dein persönliches Threat-Model kümmern.

Das Gras auf der anderen Seite ist nicht grüner, nur anders

Vielleicht ist es sogar dunkelblau, oder beige, oder vielleicht ist die andere Seite auch asphaltiert … jede Branche, Industrie und Firma ist anders. Nur weil eine Strategie woanders funktioniert, heißt das nicht, dass sie bei dir auch funktioniert.

Microsoft hat da vor ein paar Jahren ein gutes Beispiel geliefert. Sie haben damals empfohlen, Kennwörter nicht mehr regelmäßig zu ändern. Die Medien haben die Aussage aus dem Kontext gerissen, die Abhängigkeiten nicht verstanden und die Botschaft in der Luft zerfetzt.

Die Zeiten, in denen man alle 30 Tage sein Kennwort ändert, hinten einfach nur eine Zahl austauscht und dann wieder sicher … äh … "compliant" war, sind vorbei.

Damit der Computer weiß, dass du auch wirklich du bist, benutzt du ein Kennwort. Wenn du das Kennwort deines Kollegen kennst, kannst du seine Identität annehmen und auch seine Berechtigungen erhalten. Wenn man das Kennwort regelmäßig ändert, dann hat der Identitätsdiebstahl ein Ablaufdatum.

Die Idee das Kennwort nie zu ändern, kam daher, dass man sich lieber ein langes und sehr sicheres Kennwort wählt, anstatt es regelmäßig nur um eine Stelle anzupassen. Das gilt aber nur, wenn …

  • Das Kennwort niemals wissentlich geteilt wird
  • Es nicht in die falschen Hände gerät (Zettel unter dem Keyboard)
  • Es einzigartig ist und an anderer Stelle nicht wiederverwendet wird, auch nicht privat
  • Die Geräte, über die man sich anmeldet, vertrauenswürdig sind
  • Der Account nicht kompromittiert wird

Das sind für mich echt viele "Wenns", um diesen Fall zu rechtfertigen. Viele Firmen setzen inzwischen auf Single Sign-On (SSO). Sie nutzen also eine zentrale Identity-Mangement-Lösung, wie Active Directory oder Entra ID, um Mitarbeitern einen einzigen zentralen Account zu geben, der für alle verknüpften Systeme und Portale gültig ist. Der Vorteil ist, dass man diese eine Identität besser schützen kann und das Kennwort für alle Systeme ident ist. Ändert man das Kennwort an einer Stelle, dann ist es sofort überall geändert.

Der Nachteil dabei ist nur, dass nicht jede Software und nicht jedes Web-Portal SSO unterstützt und man dadurch wieder separate Accounts benötigt. Selbst wenn man dasselbe Kennwort benutzt, ist es nicht verbunden mit der zentralen Identität. Wenn das externe Web-Portal gehackt wird und die Kennwörter geleakt werden, kann sich ein Angreifer Zugriff auf Firmendaten verschaffen, ohne dass die zentrale Identity gehackt wurde.

Deshalb sind zusätzliche Schutzfaktoren wie Multi-Faktor-Authentisierung (MFA) so wichtig. Selbst wenn der Angreifer mein Passwort kennt, kommt der nicht rein, weil ihm der Code fehlt, der sich ständig ändert.

Copy-Pasta kann sogar schädlich sein 🍝

Wenn du kein MFA einsetzt und nicht überall SSO verwendest, dann erhöhst du sogar dein Sicherheitsrisiko, wenn die Anwender ihre Kennwörter nicht regelmäßig ändern. Es braucht also nur einen kleinen Hauch und dein Security-Kartenhaus fällt zusammen.

Es gibt viele Methoden und Best-Practices, die in den meisten Umgebungen funktionieren, aber nicht in allen. Eine auf dich und deine Bedürfnisse zugeschnittene Sicherheitsstrategie ist deshalb das A und O. Man kann sich zwar an den großen Konzernen und Vorreitern orientieren, aber alles blind zu kopieren, ist nicht klug.

Wenn man dir in der Schule gesagt hat, dass "Laufen am Gang" verboten ist, dann war das vielleicht ätzend, aber nachvollziehbar. Wenn Usain Bolt in den Medien verkündet, dass er durch "Laufen am Gang" zum schnellsten Menschen der Welt wurde, dann klingt es rückwirkend vielleicht auch plausibel, aber klug ist es trotzdem nicht.

Zuerst denken, dann handeln

Wenn du zum Beispiel die Accounts der Mitarbeiter sichern möchtest, dann musst du erst einmal wissen, welche Accounts deine Mitarbeiter haben.

  • Nutzen sie die Firmen-E-Mail-Adresse, um sich bei LinkedIn anzumelden?
  • Falls ja, wie kannst du das herausfinden?
  • Und wie stellst du sicher, dass sie nicht dasselbe Kennwort wie im Firmen-Netzwerk verwenden?
  • Verlässt du dich da ganz auf die Security Awareness Schulung von vor 2 Jahren, wo sie das richtige Kreuzchen gesetzt haben?
  • Stellst du "Hacken Verboten" Schilder im Serverraum auf?

Es gibt auch Unternehmen, in denen die meisten Mitarbeiter keine eigenen IT-Accounts haben. Jeder hat andere Prioritäten und andere Voraussetzungen. Überlege dir also, wovor du dich schützen möchtest, bevor du einfach blind irgendwelche Maßnahmen ergreifst!

Du darfst die Firmen-IT ruhig wie ein Gebäude sehen, das du vor einem Einbrecher schützen möchtest. Sind immer alle Fenster verriegelt? Hast du an den Türen Sicherheitsschlösser angebracht? Sind alle Leute, die in das Gebäude kommen namentlich bekannt und ausgewiesen? Bezahlst du dein Reinigungspersonal auch ordentlich, dass man sie mit 10.000 Euro nicht bestechen kann, um Angreifer reinzulassen? Und wie sieht es mit der Tür zum Serverraum aus – hält sie einer Panzerfaust stand? Die Flugabwehr am Dach gegen raketenbestückte Helikopter ist auch perfekt gewartet? Ist das Firmen-Gebäude nicht in Küstennähe, um Haien mit Lasern am Kopf keine Chance zu geben? 🦈

Fazit

Wenn du dich vor der NSA schützen willst, dann mach das. Niemand wird dich daran hindern, außer natürlich die NSA selbst. Aber denk dran, panzerhemmende Türen sind echt schwergängig. Und klar, das Ganze kostet auch eine Stange Geld.

Am besten ist es, wenn du zuerst deine größten Bedrohungen in Angriff nimmst und dich dann Schritt für Schritt bis zur NSA vorarbeitest. Denn auch die NSA liebt Challenges!

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen. Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂 Was sind Honeypots genau?...

about 8 hours ago • 3 min read

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

7 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

14 days ago • 3 min read