Rechenzentren, Banken, Weltkonzerne: Andreas Heideck hackt sie alle

Einbrechen, Datenklau, Server löschen? Nichts ist unmöglich.

Vom Informatiker zum Berufs-Hacker: Andreas Heideck, Gründer von „Impossible Security“, treibt die Neugier an: Schafft er es wieder, unerkannt in ein Unternehmen einzudringen? Die Antwort lautet: ja. Unser Top-Speaker beim LWsystems Professional Day gewährt einen Blick hinter die Kulissen seiner spannenden Arbeit …

Andreas Heideck, Inhaber Impossible Security

Herr Heideck, Ihr Business ist der professionelle Einbruch: Was steckt dahinter?

„Mein Hauptfokus liegt darauf, physisch in Bereiche eines Unternehmens einzudringen, in die ich als Fremder keinen Zutritt haben sollte – wobei ich auch digitale Methoden nutze. So decke ich auf, wo die Schwachstellen und Eintrittstore für Hacker liegen. Beim Physical Assessment Test könnte meine Mission lauten: Kann ich bis in den Serverraum vordringen? Komme ich an den Rechner eines Mitarbeiters ran? Gelingt es mir, ins Büro des CEOs zu spazieren? Oder sogar sein Notebook zu stehlen?“

Wer bucht Ihre Angriffe?

„Energieversorger, Rechenzentren, Banken, Automobilhersteller: Vom Kleinstunternehmen bis zum namenhaften Weltkonzern bin ich schon überall eingebrochen. Es ist immer wieder überraschend, wo man sich überall Zutritt verschaffen kann.“

Was sind Ihrer Erfahrung nach die größten Einfallstore für Kriminelle?

„Digital wie vor Ort ist die größte Sicherheitslücke der Mensch. Mitarbeiter fallen auf meine gefälschten Firmen-E-Mails rein, lassen sich am Telefon mit Social Engineering manipulieren oder im Unternehmen abwimmeln. Klassische Orte, über die man am einfachsten ins Gebäude kommt, sind Neben- und Lieferanteneingänge, Tiefgaragen oder Türen, vor denen Mitarbeiter Pause machen und rauchen.“

Klingt spannend! Plaudern Sie doch mal aus dem Nähkästchen …

„Ein Auftrag eines Unternehmens aus der Finanzbranche lautete: Dringe in ein hochgesichertes Gebäude mit Vereinzelungsschleuse ein. Die Vereinzelungsschleuse war keine Option. Die Wache hätte sehr naiv sein müssen, um mich mit der Ausrede ´Ich habe meinen Ausweis vergessen`, dort durchzulassen. Also habe ich eine andere Schwachstelle gefunden. Der Angriff war erfolgreich, ich hatte es in das Gebäude geschafft. Anschließend wurde diese Schwachstelle ausgemerzt. Dann hieß es: Versuch noch einmal in das Gebäude hineinzukommen.“

Hoffentlich ist Ihnen das kein zweites Mal gelungen?

„Doch. An dem Tag des nächsten Eindringens war zufälligerweise ein Kamerateam vor Ort. Mein Kollege und ich haben uns der Gruppe angeschlossen und so getan, als würden wir zu ihnen gehören. So konnten wir die Vereinzelungsschleuse umgehen und wurden mit dem Kamerateam ins Haus gelassen.“

Das klingt wie im Krimi …

„Definitiv … In dem Gebäude selbst mussten wir rund zwei Stunden suchen, bis wir das hausinterne Rechenzentrum fanden. Wir hatten vorab keinen Lageplan vom Kunden bekommen. Die Tür war wegen Bauarbeiten nur angelehnt. Mein Kollege wurde von Mitarbeitern, die dort die Anmeldung machten, angesprochen. Er ist nicht aufgeflogen, weil er eine Ausrede hatte, wurde aber aus dem Bereich hinausbegleitet. Mich hatten die Mitarbeiter nicht gesehen, da ich vorausgegangen war und sie in ein Gespräch vertieft waren. Daher konnte ich ins Rechenzentrum spazieren.“

Welche Folgen hätten Ihre Erfolge, wenn Sie kriminell wären?

„Sobald man in einem Unternehmen drin ist, gehen die meisten Mitarbeiter davon aus, dass man autorisiert ist. Das heißt oft: Ich habe freie Hand. Vom Abschalten eines Energieversorgers bis zum Infiltrieren des Firmennetzwerkes über eine Netzwerkdose im Meetingraum ist dann Vieles möglich.“

Beim LWsystems Professional Day werden Sie noch tiefere Einblicke in Ihre Arbeit geben. Ist es so einfach, in Unternehmen einzudringen?

„Das Wichtigste ist die Vorbereitung! Ich gehe nie in eine Firma, ohne eine glaubhafte Geschichte oder logische Ausreden parat zu haben. Dafür recherchiere ich im Internet und im Darknet. Häufig ist mein Mitarbeiterausweis gefälscht, ich habe eine ähnliche Kleidung wie der Lieferant an undsoweiter. Allerdings stehen mir für diese Vorbereitungen nur rund ein bis zwei Wochen Zeit für Verfügung oder nur wenige Tage. Richtige Angreifer dagegen haben Monate oder Jahre.“

Kleinere Unternehmen denken häufig, dass es nur die Großen trifft. Aktuelle Studien widerlegen dies. Wie ist Ihre Wahrnehmung?

„Das kenne ich auch aus der Praxis. Es herrscht das Vorurteil: Wir sind eine Klitsche mit 20 Mann, was soll es hier zu holen geben? Meine Antwort darauf: ´Also haben Sie kein Problem damit, wenn Sie mir Ihre Daten geben oder ich Ihre Server lösche?` Theoretisch ist nahezu jeder für einen Hacker interessant. Es ist ein bekanntes Vorgehen, dass Angreifer gezielt Lieferanten oder kleinere Unternehmen hacken, um diese als Sprungbrett für Angriffe auf größere Firmen zu nutzen.

Endlich unabhängig werden

WEITERE NACHRICHTEN

  • 01 10/2024
    Rechenzentren, Banken, Weltkonzerne: Andreas Heideck hackt sie alle

    Im Interview erzählt IT-Security-Experte Andreas Heideck, wer ihn engagiert und wie er es schafft, in jedes Unternehmen einzudringen – physisch, vo...

    Weiterlesen
  • 04 09/2024
    Endlich zurück! LWsystems Professional Day 2024

    Am 7. November trifft sich das Who-is-Who der IT-Branche bei unserem #LPD2024. Seien auch Sie dabei. Alle Infos, Tickets und das vollständige Program...

    Weiterlesen
  • 31 07/2024
    KI MyLens AI: Was kann die Künstliche Intelligenz visuell leisten?

    IT-Experte Ansgar Licher macht den Test: Wie gut visualisiert MyLens AI Daten? Alle Ergebnisse und Visualisierungen auf einen Blick....

    Weiterlesen
  • 02 07/2024
    Künstliche Intelligenz: Chance oder Gefahr?

    IT-Experte Ansgar Licher ordnet aktuelle Trends bei Künstlicher Intelligenz ein und zeigt Möglichkei-ten und Gefahren auf....

    Weiterlesen
  • 03 06/2024
    IT-Angriffe: Diese 5 Mythen begegnen uns immer wieder

    Im Bereich Cybersecurity und -attacken sind Mythen, Binsenweisheiten und Co. schlechte Ratgeber. Diese Mythen halten sich hartnäckig und schaden Unte...

    Weiterlesen
  • 30 04/2024
    Wie Sie mit Mailarchivierung auch Ihre Geschäftsprozesse optimieren

    Die richtige Software zur Mailarchivierung kann mehr als nur Mails rechtskonform archivieren! Mit diesen Tipps optimieren Sie auch Ihre Geschäftsproz...

    Weiterlesen
  • 02 04/2024
    Darum lohnt sich digitale Souveränität für Ihr Unternehmen

    Einfach erklärt: Was bedeutet digitale Souveränität? Wie lässt sie sich umsetzen? Und warum profi-tieren Sie davon?...

    Weiterlesen
  • 07 03/2024
    Social Enginering: So hacken Cyberkriminelle Ihre Psyche

    Die sicherste IT-Infrastruktur nützt nichts, wenn ein Mitarbeiter das Ziel ist. Doch Sie können sich vor Social Engineering schützen! So geht´s...

    Weiterlesen
  • 31 01/2024
    Stress mit Microsoft

    Es gibt 3 Pain Points, auf die jeder Administrator bei Microsoft immer wieder stößt. Die gute Nach-richt: Es gibt eine Lösung!...

    Weiterlesen
  • 02 01/2024
    Für Sie getestet: Wie sicher und datenschutzkonform ist die Android-Variante CalyxOS?

    Wir wollten herausfinden, ob das Betriebssystem CalyxOS hält, was es verspricht: Es soll laut Anbieter besonders datenschutzfreundlich sein. Unser So...

    Weiterlesen

NEWSLETTER

Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.