Datenklau durch PDF

11 Feb

  • in DSMS
  • von
  • 0

 

Datenklau bzw. Datendiebstahl bezeichnet grundsätzlich den Tatbestand, dass sich jemand unbefugt geheime oder personenbezogene Daten beschafft. Nur ist der Begriff des Klauens/Diebstahls in der digitalen Welt eigentlich fehl am Platz, da Daten üblicherweise gar nicht entwendet, sondern meist nur unbefugt kopiert bzw. genutzt oder auch manipuliert werden. Häufig geschieht dies durch Social Engineering, Phishing und/oder gefälschte Internet-Seiten bekannter Dienste, um illegal an die Daten zu gelangen.

Im Büroalltag hat sich zwischenzeitlich das PDF-Format (Portable Document Format) als ein Standard durchgesetzt, um Dokumenteninhalte, unabhängig von der genutzten Plattform, gleichbleibend darzustellen und diese auf einem einfachen Weg vor Manipulation zu schützen.
PDF-Dateien können in der Regel nur mit spezieller Software verändert werden. Aus diesem Grunde versenden Behörden oder Unternehmen Dokumente meist als PDF. So kann weitgehend ausgeschlossen werden, dass z.B. Vertragsunterlagen oder wichtige Dokumenteninhalte verändert werden. Auch die kostenlose Bereitstellung einer Software zur Darstellung von PDF-Dokumenten verhalf dem Datei-Typ PDF zu einer schnellen Verbreitung.

Aber nun das, auf der Black Hat 2020,  einer Security Konferenz, die jedes Jahr in Las Vegas (USA) stattfindet und Regierungsbeamte, Mitarbeiter von Security-Firmen und Hacker zusammenbringt, um Sicherheitslücken öffentlich zu machen, hat sich der Sicherheitsforscher Jens Müller, wissenschaftlicher Mitarbeiter der Ruhr-Universität Bochum, mit dem PDF-Standard beschäftigt. Er hat zahlreiche Implementierungsprobleme vom manchmal nicht eindeutigen Standard sowie Sicherheitsfallen im täglichen Gebrauch gefunden. Hierzu wurden PDFs mit einem Editor manipuliert. So konnten mit simplen Endlosschleifen, die beim Öffnen die CPU-Last in die Höhe treiben oder mit in den PDF eingebetteten und wenige Byte großen ZIP-Bomben, die nach dem Öffnen jedoch mehrere Gigabytes des Arbeitsspeichers in Anspruch nehmen, sogenannte DoS-Angriffe (Denial of Service) durchgeführt werden. Außerdem hatte er es geschafft, dass eingegebene Daten, zum Beispiel von Formularen, an eine externe URL gesendet wurden. Schlimmer noch, er konnte zudem auf Dateien des Anwenders zugreifen und diese im Netz veröffentlichen. Darüber hinaus könnten Hacker auch alle Dateien, für die der Benutzer eine Schreibberechtigung besitzt, mittels PDF-Dateien manipulieren.

 

 

 

Bedeutet das nun das Ende der PDF?

Sicher nicht, wenn die allgemein gültigen und (hoffentlich auch) bekannten Sicherheitsregeln für die Informationssicherheit eingehalten werden.
Vertrauen Sie nur Dateien von Ihnen bekannten Absendern und minimieren bzw. vermeiden Sie die Nutzung von PDF-Formularen und enthaltenen aktiven Inhalten!

Darüber hinaus empfiehlt das Kommunikations-, Informations-, Medienzentrum (KIM) der Universität Koblenz die Nutzung der optionalen Geschützten Ansicht in Adobe Acrobat Reader (DC), diese ist ab der Version XI verfügbar und deaktiviert alle Features, die nicht für das Betrachten einer PDF-Datei notwendig sind.

 

Nutzen wir diesen Newsletter doch noch für einen kleinen Ausflug in die Terminologie der IT

Sind Sie auch ein wenig über den Titel der Security-Konferenz „Black Hat“ gestolpert? Mir jedenfalls ging es so und falls es Ihnen auch so ergangen ist, lesen Sie ruhig weiter. Es folgen ein paar kurze Erklärungen:

White Had/ Black Hat
Als White Hats werden Hacker bezeichnet, die ihr technisches Wissen und ihre Fähigkeiten konstruktiv nutzen, Sicherheitslücken aufdecken und zur Verbesserung der IT-Sicherheit beitragen.
Black Hat ist im Gegenzug ein Begriff für kriminell agierende Hacker, die etwa Diebstähle begehen oder absichtlich Schaden anrichten.
Die Begriffe werden meist auf eine Konvention in bestimmten Westernfilmen aus dem 20. Jahrhundert zurückgeführt: Helden trugen dort weiße Hüte und die Bösewichte schwarze. Aber VORSICHT: Bestimmte Begriffe der IT-Welt befeuern die Streitfrage, ob diese diskriminierend sind – dies gilt aktuell auch für diese beiden Hacker-Bezeichnungen.

Wenn über Cyber-Security gesprochen wird, sind auch die beiden Begriffe „Red Team“ und „Blue Team“ nicht weit. Die beiden Teams kommen bei einem aktiven Angriff auf die Systeme eines Unternehmens zum Einsatz. Allerdings zur gewollten Überprüfung vorhandener Sicherheitssysteme. Das „Red Team“ stellt bei einem solchen Angriffsszenario eine unabhängige Gruppe dar, welche das Unternehmen angreift. Dabei ist ihr Vorgehen dasselbe, wie bei echten Angriffen. Das „Blue Team“ besteht üblicherweise aus unternehmensinternem IT-Sicherheits-Personal. Es kann bei Bedarf aber auch durch externe Kräfte verstärkt werden. Dabei ist es in Bereitschaft, um komplexe Angriffe in weiser Voraussicht erkennen, bekämpfen und abschwächen zu können. Es stützt sich dabei auf Informationen aus der IT-Forensik, um Bedrohungen identifizieren zu können und somit die besten verfügbaren Abwehrmaßnahmen ergreifen zu können.

Es ist auch mit Aufgabe des Blue Teams Verfahren, Richtlinien und Dokumente in regelmäßigen Abständen anzupassen und zu aktualisieren. Das ist insbesondere nach Sicherheitsereignissen, wie Angriffen oder regelmäßigen Tests wichtig. Dadurch kann gewährleitstet werden, dass die Cybersicherheit auf dem aktuellen Stand ist und offene Sicherheitslücken schnellstmöglich geschlossen werden.

 

Nicht nur Schwächen in unterschiedlichen Datei-Typen eröffnen Hackern neue Möglichkeiten – auch das Internet der Dinge (IoT)

So berichten Beiträge von der DEF CON darüber, dass z.B. Millionen von IoT-Geräten im Handumdrehen hackbar und Android-Geräte über Lücken in Snapdragon-Chips ausspionierbar seien.

Da wirkt die Bedrohung durch manipulierte PDFs wie ein Tropfen Wasser im Ozean. Mit der fortschreitenden Digitalisierung steigt auch die Zahl möglicher Bedrohungen durch vorhandene Sicherheitslücken, aber auch durch den „Fehler-Faktor“ Nummer 1 – den Menschen.

Vorrangig ist also unabdingbar, dass Sie bei allen Mitarbeiter*innen das notwendige Bewusstsein für (Informations-)Sicherheit und den korrekten Umgang mit Anwendungen, System und Dateien/Informationen sowie die notwendige Awareness für Ereignisse und deren Erkennung sowie eine positive Meldekultur innerhalb der Organisation schaffen.

Und hier landen wir wieder bei einem Informationssicherheitsmanagementsystem auf Basis der ISO/IEC 27001 oder auch dem IT-Grundschutz. Nutzen Sie die Vorteile eines ISMS und steuern Sie Ihr Unternehmen, Ihre Informationssicherheit und alle dafür notwendigen Maßnahmen/Aufgaben, wie z.B. in Kapitel 8.1 der Norm gefordert.

Wir unterstützen Sie bei der Implementierung eines ISMS. Auch gerne auf Basis eines vorhandenen Managementsystems (z.B. auf Basis ISO 9001). Wir bieten Ihnen maßgeschneiderte Schulungsmaßnahmen zur Awareness in Ihrem Unternehmen an.

 

Schreiben Sie uns Ihre Fragen, Anregungen, Gedanken bitte an:

[email protected]

 

 

 

Urheber: documentation von Sean824 von Getty Image auf Canva

Alle Zugriffe zuletzt am 17.11.2020, 16:00 Uhr:
https://de.wikipedia.org/wiki/Datendiebstahl
https://de.wikipedia.org/wiki/Portable_Document_Format
https://www.heise.de/thema/Black-Hat
https://www.nds.ruhr-uni-bochum.de/chair/people/jmueller/
https://www.heise.de/news/Vom-DoS-bis-zum-Datenklau-Angriffe-ueber-PDF-Dokumente-4866708.html?wt_mc=nl.red.ho.ho-nl-daily.2020-08-11.link.link
https://de.wikipedia.org/wiki/Uniform_Resource_Locator
https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/DoS/dos_node.html
https://www.kim.uni-konstanz.de/e-mail-und-internet/it-sicherheit/sicheres-endgeraet/aktive-inhalte-und-verdaechtige-dateien/geschuetzter-modus-in-acrobat-reader/
https://www.heise.de/news/Whitehat-und-Blackhat-Rassismusdebatte-um-Bezeichnungen-fuer-Hacker-4836543.html
https://www.dr-datenschutz.de/cybersecurity-red-team-vs-blue-team/
https://www.dr-datenschutz.de/gehackt-was-die-it-forensik-im-ernstfall-leisten-kann/
https://www.defcon.org/
https://www.heise.de/news/Def-Con-2020-Millionen-von-IoT-Geraeten-im-Handumdrehen-hackbar-4866178.html
https://www.heise.de/news/Def-Con-2020-Millionen-von-IoT-Geraeten-im-Handumdrehen-hackbar-4866178.html
Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.