top of page

Security Pilot Weekend Briefing Nr. 15 - Von Bildschirmsperren und Kuchenmails


Es sollte Bestandteil jeden Security-Trainings sein - die Bildschirmsperre. Das erste wirksame Hindernis gegen Account-Missbrauch und Fremdzugriff auf Daten. Warum wird sie trotzdem nicht immer angewandt? Und wie kann man das Training praktisch unterstützen?


Die Bildschirmsperre


Die Bildschirmsperre, auch Displaysperre (insbesondere auf Mobilgeräten) genannt, ist ein Mechanismus, der verhindern soll, dass Fremde Zugriff auf mein Endgerät bzw. die darauf gespeicherten Daten erhalten.

Je nach Betriebssystem und Endgerät gibt es verschiedene Arten, die Bildschirmsperre auszulösen

  • auf Windows-Geräten z.B. mit der Kombination WIN+L

  • auf MacOS-Geräten mit der entsprechenden Taste auf der Tastatur oder TouchID (Versions- und Geräteabhängig)

  • bei Android und IOS über die Ein/Aus-Taste, sofern die Sperre eingerichtet ist

  • das Herausziehen einer Smartcard oder eines USB-Keys


Um sich dann wieder anzumelden, gilt es bei Windows und MacOS das Passwort einzugeben, bei Mobilgeräten kann es eine PIN, ein Passwort, Biometrie, Muster usw. sein, bzw. die Smartcard oder den USB-Key wieder in das Gerät zu stecken.


Eine sehr smarte Variante, die ich schon gesehen habe, ist, dass der Laptop vom Smartphone entsperrt wird und entfernt man das Smartphone vom Laptop (NFC oder Bluetooth-Verbindung), dann wird der Rechner wieder gesperrt. Abgesehen von ein paar nervigen Spielchen im Büro ist das noch eine recht coole Variante, denn aus welchen Gründen auch immer, wandert das Smartphone zu 99% mit dem User mit, egal wohin dieser geht.


Jetzt fragt man sich natürlich, wieso sieht man immer wieder nicht gesperrte Geräte - insbesondere im öffentlichen Raum?


Wenn das Sperren so einfach ist, warum werden regelmäßig Fotos aus Zügen und anderen öffentlichen Räumen gepostet, in denen Laptops verlassen herumstehen, ohne dass der Bildschirm gesperrt ist?

Ich habe Experten befragt und die Antworten waren:


"Fehlendes Sicherheitsbewusstsein"
"Vergesslichkeit"
"Der Glaube, es seien keine wichtigen Daten auf dem Gerät"
"Wird schon nichts passieren"
"Da würde nie jemand dran gehen - vor allen anderen Leuten"
"Es nervt"

Damit wäre das also auch geklärt - es gibt keinen vernünftigen Grund.


Eigentlich sollte diese Maßnahmen auch in allen Sicherheitstrainings erwähnt werden und in Form von Security Policies geregelt sein. Ist das bei Euch auch so?


Was könnte aber passieren, wenn jemand an den ungesperrten Rechner geht?


Hier gibt es ganz unterschiedliche Möglichkeiten für einen Angreifer - auch abhängig von den Nutzerrechten, zum Beispiel:


  • Kopieren von Dateien (auf einen Stick oder Netzwerkspeicher, wenn Gerät online)

  • Löschen von Dateien

  • Installieren von Trojanern oder anderer Schadsoftware

  • Ausführen von Skripten (kurz den USB-Stick angestöpselt und ausgeführt)

  • Software deinstallieren

  • Treiber löschen

  • Netzwerkeinstellungen ändern (z.B. für eine Man-in-the-Middle-Attacke)

  • Kontakte, Kundendaten bzw. ganze Firmen-Adressbücher kopieren

  • Zusätzliche User anlegen, mit Remote-Zugangsrechten

  • Secrets auslesen, wie VPN-Daten, Userdaten, Netzwerkdaten

  • Smartcard abziehen, die zum Anmelden erforderlich ist, damit war es das mit dem Zugang für den Rest der Reise


Vieles davon lässt sich mit Skripten binnen weniger Sekunden erreichen, der Angreifer wartet nur auf die Gelegenheit.


Schlussendlich ist auch die Festplatte entschlüsselt, so dass auch ein Diebstahl in Frage käme, da die Verschlüsselung (sofern hoffentlich vorhanden) nur greift, wenn das Gerät ausgeschaltet ist.


Ich weiß ehrlichgesagt nicht mehr genau, woher ich es habe - es muss noch aus meiner Admin-Zeit sein - aber wenn wir ungesperrte und verlassene Rechner entdeckt haben, sind wir hin, Mailprogramm öffnen, den größten Verteiler nehmen und eine freundliche Einladung für ein Stück Kuchen versenden. Gern mit dem Hinweis, dass diese Mail von einem ungesperrten Rechner versandt wurde.


Der Inhaber des Mailaccounts hat regelmäßig über die vielen Rückmeldungen gestaunt, es gab wenig später tatsächlich Kuchen und es kam längere Zeit im gesamten Umfeld nicht mehr vor. Das war die Kuchenmail. Ich habe das häufiger gemacht - egal welchen Status der User hatte. Manchmal wird man auch erwischt, das gehört zum Risiko 😉


Wie motiviert Ihr Eure User sich an die Richtlinien zu halten und die Bildschirme zu sperren, wenn das Gerät verlassen wird?


Fazit


Die Bildschirmsperre ist ein mächtiges Werkzeug, um die eigenen Daten und alle, auf die man Zugriff hat, vor unberechtigtem Zugriff zu schützen. Außerdem schützt es den Rechner selbst.

Gerade im öffentlichen Raum empfehle ich, den Rechner stets herunterzufahren, wenn man ihn verlassen muss, denn nur dann greift die Festplattenverschlüsselung, was im Falle eines Diebstahls von nicht unerheblicher Bedeutung ist.

Im Büro ist das eher nicht erforderlich. Abhilfe kann noch ein sogenanntes Kensington-Schloss bringen, mit dessen Hilft das Gerät mit Tisch, Stuhl oder einem anderen fixen Gegenstand fest verbunden werden kann. Das macht es Dieben schwerer - aber schnell aus dem Zug springen wird damit auch schwerer.


Der Beitrag hat Euer Interesse geweckt?

Bei der BLUE HELI InfoSec GmbH & Co. KG bieten wir Beratung zu allen Security-Themen an. Sei es ein Schulungs-Update, eine Aktualisierung Eurer Richtlinien oder weitere technische Möglichkeiten.

Das klingt interessant?


Dann komm auf mich zu!

0 Ansichten0 Kommentare

Opmerkingen

Beoordeeld met 0 uit 5 sterren.
Nog geen beoordelingen

Voeg een beoordeling toe
bottom of page