Sascha Giese

ITAwards 2019

Posted by Sascha Giese Employee Oct 30, 2019

Hallo Zusammen!

 

Erinnert ihr euch noch, vor ein paar Monaten hatte ich hier gebeten, für SolarWinds bei den ITAwards der Vogel Medien abzustimmen, und ich erwähnte:

 

Ich war noch nie in Augsburg. *zaunpfahl*

 

Und jetzt war ich tatsächlich da zur Zeremonie, toll!

 

Mir war gar nicht klar, dass Augsburg die drittälteste Stadt in Deutschland ist und vor über 2000 Jahren gegründet wurde. Dementsprechend ist alles voller Tradition und man kann die Geschichte quasi spüren.
Das Restaurant, das ich am ersten Abend besucht hatte, wurde vor 550 Jahren gegründet, und Goethe und Mozart haben dort diniert. Das lokale Bier wird seit 600 Jahren gleich um die Ecke gebraut.

Unglücklicherweise hatte ich zu viel zu tun und keine Zeit für Sightseeing, aber ich habe mir einen Spaziergang zur Mittagszeit nicht nehmen lassen, um zumindest ein paar Impressionen aus der Stadt zu sammeln.

Das Weberhaus sieht sehr interessant aus:

 

 

Überall gibt es viele Details zu sehen, wie hier:

 

 

Ich hätte so gerne das Museum der Puppenkiste besucht – ein andermal vielleicht.
Wichtiger war ohnehin das Event am Abend:

 

 

Die Zeremonie selbst war wirklich professionell aufgezogen, und der Gastgeber hat auch beim Nachtisch nicht enttäuscht, das war schon High-End:

 

 

Vogel Medien betreibt acht „Insider“ Portale, und die jeweils drei populärsten Hersteller bzw. Produkte bei der Leserschaft aus insgesamt 43 Kategorien wurden zum Event eingeladen.

Wir waren nominiert in der Kategorie Security als beste SIEM Lösung mit unserem Security Event Manager. Es war schon nach elf Uhr am Abend, als ich hierfür auf die Bühne gebeten wurde:

 

 

Leider ging das alles so schnell und es war keine Zeit, sonst hätte ich gerne die Rede abgehalten, an der ich so lange gearbeitet habe („Danke für alles, Mamma“). Immerhin war ich gleich fünfmal in diesem Foto:

 

 

Fotos, Fotos, Fotos…

 

 

OK. Also, wer hat uns einen Platz auf dem Treppchen besorgt? IHR.
SolarWinds kann derartige Events genießen, weil ihr, die Benutzer, unsere Produkte so schätzt. Und das wiederum ist das Resultat daraus, dass wir zuhören und die Produkte nach eurem Input programmieren. Wir könnten das tatsächlich nicht ohne euch.

 

An alle, die für uns abgestimmt haben: VIELEN DANK!

Lasst und das nochmal machen nächstes Jahr. Schließlich muss ich noch in die Puppenkiste.

 

Bis dahin, macht es gut!

Hallo Zusammen!

 

Seit dem 08.10. haben wir ein neues Werkzeug für euch: SolarWinds Identity Monitor (IM).
IM überwacht Emailkonten und -Domänen auf „Account Takeovers“, auf Deutsch einfach der Identitätsdiebstahl.

 

Wie kommt es zu einem Identitätsdiebstahl?

 

Leider sehr schnell. Jeden Tag geben wir irgendwo unsere Daten ein, und meistens ist es eine Kombination aus Emailadresse und einem gewählten Passwort. Laut meinem Passwort-Manager habe ich Konten in über 60 verschiedenen Systemen wie Hotels, Fluggesellschaften, Rezeptsammlungen, aber auch bei Support oder Community-Pages verschiedener Hard- und Softwareanbieter. Das ist nichts Besonderes, und an sich auch erst einmal kein Problem.

 

Die Probleme fangen an, wenn es bei einer dieser Seiten zu einem Breach gekommen ist und Kundendaten „auf Wanderschaft“ gehen, was leider zu häufig passiert. Meistens denkt man sich nicht viel dabei, und ein Einbruch bei meiner favorisierten Kochrezepte-Sammlung gibt Hackern Einsicht darauf, welches mein bevorzugtes Pasta Rezept ist.

 

Aber, was passiert, wenn ich das gleiche Passwort auch bei einer Shoppingseite mit Instant-Delivery nutze?

Oder die Zugangsdaten sind die gleichen wie beim Emailkonto des CEOs, oder des Github Repository eines Scrum-Masters mit Zugriff auf den Quellcode eines Produktes?

IM zeigt an, ob ein Konto bzw. eine Identität kompromittiert wurde, inklusive der Information wann, wodurch, und welche Daten öffentlich gelegt wurden.

 

Eine kurze Tour durch das Produkt

 

Auf dem Dashboard direkt nach dem Login sehen wir eine Timeline von bekannten Breaches, und das Chart an sich ist schon interessant:

 

Die Frequenz von Data-Leaks nimmt seit Ende 2015 zu. Ein Mouse-Over bei einer der Kugeln zeigt erste Details:

 

In der Navigation links klicke ich auf „Email Addresses“

 

Zuerst füge ich meine Geschäfts-Email hinzu

 

Das System erwartet, dass die Adresse vom Inhaber bestätigt wird:

 

Das wird schnell erledigt:

 

Und sofort ändert sich der Status und die angezeigten Informationen:

 

Ein Klick auf die Adresse zeigt links die Breaches:

 

Und rechts steht, für mich wichtig, dass kein Passwort gestohlen wurde:

 

Ganz rechts ist ein Knopf, der alle gesammelten Daten anzeigt („View Raw Data“):

 

Die dort entwendeten Informationen sind öffentlich zugänglich, auch mein LinkedIn Profil ist kein Geheimnis. Aber wenn man dies zum ersten Mal sieht, beginnt man mit der Reflektion. Wer genau sind diese Typen, die meine Daten gesammelt und derart aufbereitet haben?

Auch diese Fragen werden, soweit rechtlich vertretbar, beantwortet:

 

Um an mehr Daten zu kommen, nutze ich meine private Emailadresse, die ich seit über 20 Jahren verwende. Die Liste an Breaches ist „geringfügig“ länger und erstreckt sich über mehrere Seiten, hier ein Auszug:

 

Leider finden sich hier auch Passwörter:

 

Beim Klicken auf das Auge wird das Password so angezeigt, wie es aufgefunden wurde. Manchmal als nicht entschlüsselter Hash, manchmal im Klartext. Glücklicherweise ist es in meinem Fall ein sehr altes Passwort, das nicht mehr in Benutzung ist – dazu gleich mehr.

 

Im Produktivbetrieb bei einem Unternehmen gibt man selbstverständlich keine Hunderte von Emailadressen manuell ein, sondern direkt die Domain.

Mein Beispiel, das tatsächlich auch Beispiel heisst:

 

Ein Mausklick auf Corporate Records zeigt mir die entsprechenden Details wie erwartet an:

 

Ebenso lassen sich wichtige IP Adressen überwachen, um benachrichtigt zu werden, falls diese in einem Botnet sitzen oder neu auftauchen.

Das Ganze funktioniert nicht nur mit historischen Daten.
Solange eine Emailadresse aufgelistet ist, wird sie gegenüber allen neuen Breaches getestet und im Falle eines Treffers erfolgt eine Meldung an den Inhaber des Kontos, damit weitere Schritte eingeleitet werden können. Was mich dann weiterbringt zu…

 

Was tun bei einem Identitätsdiebstahl?

 

Die Sofortmaßnahme ist selbstverständlich, dass Passwort beim jeweiligen Anbieter zurückzusetzen und zu ändern. Je nach Plattform empfiehlt es sich, zu schauen ob es Logins gab bzw. Dienste genutzt worden sind, die man nicht erkennt oder als seine eigenen identifiziert.
In den meisten Fällen sind Kontodaten zwar veröffentlicht, aber nicht benutzt worden.
Hacker verfügen über Listen mit „high-value targets,“ Namen von Politikern, Prominenten, und Führungspersonen großer Unternehmen. Neue Kontensammlungen werden automatisch nach diesen Datensätzen durchsucht und im erfolgsfalle entweder selbst genutzt oder sofort weiterverkauft. Da die meisten von uns nicht auf diesen Listen zu finden sind, ist das tatsächliche Missbrauchsrisiko eher gering, aber definitiv nicht zu vernachlässigen.

 

Dennoch ist der nächste Schritt ebenfalls notwendig, wenn auch komplizierter:
Wurde das gleiche Passwort an anderer Stelle verwendet? Auch dort muss es geändert werden.
Bei zehnfach verwendetem Passwort ist ein einzelner Breach einem zehnfachen Breach gleichzusetzen. Dieser Schritt kostet leider Zeit und Nerven.

 

Passwort-Management ist keine Raketenforschung

 

Ein Passwort-Manager hilft beim Aufsetzen sicherer, zufallsgenerierter Passwörter.
Es gibt verschiedene Strategien beim Passwort Management, so ist z.B. eine Idee, Webseiten zu klassifizieren und bei wirklich sensiblen Systemen in jedem Fall MFA zu nutzen, so dass jeder Login von einem Authenticator bestätigt werden muss. Kandidaten hierfür sind off-site Logins zum Emailsystem oder Intranet des Unternehmens.
Bei weniger riskanten Seiten sollte ein sicheres und unbedingt einzigartiges Passwort verwendet werden.

 

Was mache ich jetzt mit meiner Rezepte-Sammlung? Wenn ich auf allen derartigen Seiten das Passwort „SaschaK0chtGerneMit***“ verwendet habe, ist das zwar ein fantastisches Passwort, und außer meinem Geschmacksprofil gibt es keinerlei Daten, aber ein SecurityAdmin würde trotzdem das mehrfach verwendete Passwort bemängeln.

Zu Recht!

 

Macht's gut!   

SolarWinds uses cookies on its websites to make your online experience easier and better. By using our website, you consent to our use of cookies. For more information on cookies, see our cookie policy.