Back
Products new

Lösungen

Entdecken Sie unser Angebot an personalisierten Security Awareness-Schulungen, um Ihr Team gegen moderne Cyberbedrohungen zu stärken und weiterzubilden. Vom Policy Management bis hin zu Phishing-Simulationen – mit unserer Plattform bekommen Ihre Mitarbeiter das Wissen und die Fähigkeiten, die zum Schutz Ihres Unternehmens notwendig sind.

Automatisierung der Security Awareness

Planen Sie Ihre jährliche Awareness-Kampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie auf der Stelle Phishing-Angriffe dank preisgekrönter Phishing-Software

E-Learning Cyber Security

E-Learning zur Cyber Security: Entdecken Sie unsere preisgekrönte E-Learning-Bibliothek, maßgeschneidert für jede Abteilung

Policy Management

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutzmanagement

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Incident Management

Übernehmen Sie die Kontrolle über interne Vorfälle und beseitigen Sie die wichtigsten Probleme

Back
Industry

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiebereich bis hin zum Gesundheitswesen – erfahren Sie, wie unsere Lösungen in verschiedenen Branchen Wellen schlagen.

Finanzdienstleistungen

Erste Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine beliebte Security Awareness-Lösung für Regierungen

Unternehmen

Eine Lösung für Security Awareness-Schulung bei großen Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur der Security Awareness – auch zu Hause

Bildungssektor

Ansprechende Security Awareness-Schulung für den Bildungssektor

Arbeitskräfte im Gesundheitswesen

Entdecken Sie unsere maßgeschneiderte Lösung zur Security Awareness für Arbeitskräfte im Gesundheitswesen

Technologiebereich

Transformation der Security Awareness-Schulung im Technologiebereich

NIS2-Compliance

Unterstützen Sie Ihre Anforderungen zur NIS2-Compliance mit Awareness-Initiativen für Cyber Security

Back
Resources

Ressourcen

Von Plakaten und Richtlinien bis hin zu vollständigen Leitfäden und Fallstudien – nutzen Sie unsere kostenlosen Informationsmaterialien, um die Awareness für Cyber Security in Ihrem Unternehmen zu stärken.

Awareness für Cyber Security für Dummies

Eine unverzichtbare Ressource um eine Kultur der Cyber Awareness zu schaffen

Leitfaden für Dummies zum E-Learning Cyber Security

Der ultimative Leitfaden für die Implementierung von einem effektiven E-Learning zur Cyber Security

Ultimativer Leitfaden gegen Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Awareness-Plakate

Laden Sie diese kostenlosen Plakate herunter, um die Wachsamkeit Ihrer Mitarbeiter zu erhöhen

Anti-Phishing-Richtlinie

Schaffen Sie eine sicherheitsbewusste Kultur und fördern Sie die Awareness für Cyberbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, ein positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cyber Security von A-Z

Ein Glossar der wichtigsten Begriffe zur Cyber Security

Reifegradmodell für das Verhalten im Bereich Cyber Security

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Material

Laden Sie unsere kostenlosen Awareness-Materialien herunter, um die Awareness für Cyber Security in Ihrer Organisation zu stärken

Back
About

Über uns

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung im Sektor Cyber Security und Compliance und bietet eine innovative Lösung für die Awareness der Mitarbeiter für die Informationssicherheit und die Automatisierung von Incident Management. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cyber Security, Datenschutz und Compliance zu erfüllen.

Wie wir Ihnen helfen.

Erfahren Sie, warum MetaCompliance der vertrauenswürdige Partner für Security Awareness-Schulungen ist

Spezialisten für Employee Engagement.

Wir ermöglichen es, Mitarbeiter einzubinden und eine Kultur der Cyber Awareness zu schaffen

Automatisierung der Security Awareness

Einfache Automatisierung von Security Awareness-Schulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Backdoor Zugriff auf verschlüsselte Daten: Alles, was Sie wissen müssen

Luke Noonan

Cyber Security Awareness
backdoor

Als Backdoor (dt. Hintertür) bezeichnet man Teile eines Computersystems, die einen meist versteckten Zugriff auf das System oder dessen Daten ermöglichen, ohne dass die regulären Zugangswege erfüllt sein müssen. Die meisten Backdoors befinden sich auf Software-Ebene, aber es gibt auch Hardware mit eingebauten Backdoors. Der Zweck einer Backdoor ist es, sich einen Fernzugriff auf ein System zu verschaffen oder verschlüsselte Daten auslesen zu können, ohne dass reguläre Nutzende des Systems davon erfahren oder sich dagegen wehren können. Dabei muss nicht unbedingt in böser Absicht gehandelt werden. Fest eingebaute Master-Passwörter können zum Beispiel dazu dienen, einer bzw. einem Entwickelnden einen Wartungszugriff auf ein System zu ermöglichen. Backdoors können jedoch auch von Geheimdiensten oder Hackenden ausgenutzt werden, um sich unbefugten Zutritt zu verschaffen.

Backdoor: Legitime Zugangswege und Sicherheitsrisiken

Als bildliche Analogie kann man sich hier die buchstäbliche Hintertür eines Gebäudes vorstellen. Auf einem Konzert zum Beispiel gibt es den regulären Vordereingang für die Gäste. Dieser ist meistens durch Sicherheitspersonal und eine Ticketkontrolle geschützt. Von den Künstler:innen würde man aber natürlich nicht erwarten, dass sie nur durch den Vordereingang und mit einem Ticket zu ihrem eigenen Auftritt kommen können. Sie können durch einen eigenen Hintereingang Zutritt bekommen. Wer den Hintereingang kennt und sich durch entsprechende Kleidung als Personal ausgibt, könnte sich durch den Hintereingang ebenfalls Zugang zum Konzert verschaffen, ohne Geld für ein Ticket ausgeben zu müssen.

Bei dieser beschriebenen Hintertür würde es sich also um einen völlig legitimen Teil des Gebäudes handeln, der den reibungslosen Betrieb sicherstellt und von böswilligen Akteur:innen ausgenutzt wird. Es gibt allerdings auch immer wieder den Fall, dass eine Backdoor mit einer rein schädlichen Ausrichtung im Nachhinein in ein System integriert wird. Eine Analogie wären hier zum Beispiel die Bankraubenden, die sich einen Tunnel in den Tresorraum einer Bank graben.

Bekannte Backdoors

Die Möglichkeit von Backdoors (damals noch Trapdoors genannt) wurde schon Ende der 60er Jahre von Computerexpert:innen diskutiert. So ist es auch nicht verwunderlich, dass im Laufe der Zeit immer wieder neue Backdoors enthüllt wurden. Hier einige Beispiele:

  • Im Datenbanksystem Interbase der Firma Borland gab es eine von den Entwickelnden fest-gecodete Backdoor. Mit dem Benutzernamen “politically” und Passwort “correct”, konnte man sich über eine Netzwerkverbindung anmelden und die komplette Kontrolle über die Datenbanken erhalten.
  • Ein weiterer Fall waren ungefähr 22 Millionen Musik-CDs des Labels Sony BMG, welche Ende 2005 in Umlauf gebracht wurden. Um illegale Kopien der CDs zu verhindern, wurde beim Einlegen einer CD in einen Computer eins von zwei versteckten Programmen installiert, welche das Betriebssystem modifizierten und ihre Existenz versteckten. Durch beide Programme wurden Backdoor-Schwachstellen erzeugt, die von anderer Malware ausgenutzt werden konnten, und die Programme konnten nicht ohne weiteres deinstalliert werden. Eines der Programme wurde installiert, selbst wenn man dem Endbenutzenden-Vertrag nicht zustimmte, und schickte anschließend ausgiebige Berichte über die Musikgewohnheiten der Nutzenden an Sony BMG. Nach dem Bekanntwerden dieser Backdoor-Programme wurde von Sony BMG ein “Uninstaller” für eines der Programme herausgebracht. Dieser sorgte allerdings lediglich dafür, dass das Programm nicht mehr versteckt war, und installierte im Gegenzug weitere versteckte Software und erzeugte neue Schwachstellen.
  • Der Cryptowurm WannaCry aus dem Jahr 2017 nutzte die kurz zuvor bekannt gewordene Backdoor DoublePulsar, um sich auf weitere Computer in einem Netzwerk fortzupflanzen.
  • Apple plant aktuell einen Nacktbildfilter für seinen iMessage-Dienst. Der Filter soll Kinder und Jugendliche mit Apple-Familienaccounts vor Nacktbildern schützen und die Eltern informieren, wenn sie solche Inhalte erhalten oder teilen. Da hiermit das Prinzip der Ende-zu-Ende-Verschlüsselung des Dienstes aufgehoben wird, agiert der Filter über eine Backdoor in den iMessages.
  • Auch in der Fiktion werden Backdoors dargestellt: Im Film “WarGames – Kriegsspiele” gibt es zum Beispiel eine Backdoor im “WOPR”-Computer. Durch ein festes Passwort im Code können sich die Protagonist:innen Zugang auf den Militärcomputer verschaffen.

Backdoors und Geheimdienste

Auch staatliche Geheimdienste haben ein großes Interesse an Backdoors, um sie zur versteckten Informationsgewinnung einzusetzen. Allen voran die NSA, der Inlandsgeheimdienst der USA, setzt sich immer wieder dafür ein, dass Software-Hersteller Backdoors in ihre Programme einbauen oder Verschlüsselung auf einem geringen Niveau halten, womit sich die NSA Zugang zu ansonsten verschlüsselter Kommunikation sichern möchte. So sollte zum Beispiel der von der NSA speziell entwickelte Clipper-Chip die Telefonkommunikation leichter überwachbar machen. Der Chip sollte von Telekommunikationsanbietenden zur Verschlüsselung eingesetzt werden und enthielt eine Möglichkeit für die NSA, die verschlüsselte Kommunikation mitzuhören.

Auch der damals verbreitete Zufallszahlengenerator Dual_EC_DRBG enthielt eine Möglichkeit für die NSA, die erzeugten Zufallszahlen leicht vorherzusagen und somit Verschlüsselung zu brechen, die mit diesem Generator erzeugt wurde.

Diese Politik wird von Datenschützenden immer wieder kritisiert, da die den Geheimdiensten bekannten oder von ihnen erzeugten Backdoors auch in falsche Hände geraten können. Dies war zum Beispiel bei WannaCry der Fall. Die entsprechende Sicherheitslücke war der NSA jahrelang bekannt, bevor die Informationen von Hackenden gestohlen wurden. Die Krise hätte also leicht durch eine offene Kommunikation verhindert werden können.

Backdoor und Trojanisches Pferd

Als Trojanisches Pferd oder Trojaner wird ein Programm bezeichnet, das nach außen einem bestimmten Zweck zu dienen scheint, intern aber eine ganz andere Funktion hat. Dabei ist es für die Klassifizierung als Trojaner nicht wichtig, ob der äußere Scheinzweck wirklich erfüllt wird oder nicht. Ein Trojaner kann dazu dienen, eine Backdoor auf dem System zu installieren. Es kann auch vorkommen, dass eine Backdoor Teil eines Trojaners ist und nur so lange wirksam ist, wie das Trojaner-Programm ausgeführt wird. Aber nicht jeder Trojaner muss eine Backdoor beinhalten und nicht jede Backdoor wird über einen Trojaner geöffnet. Die beiden Begriffe sind daher getrennt voneinander zu betrachten.

Schutz vor Backdoors

Sich effektiv vor Backdoors zu schützen, ist leider gar nicht so einfach, da ihre Funktion zu einem Großteil darin besteht, dass sie den Nutzenden nicht bekannt ist.
Backdoors, die in ausgelieferter Software enthalten sind, können nur schwer erkannt werden. OpenSource-Software kann hier ein gutes Mittel sein. In diesem Fall ist der Quellcode öffentlich einsehbar und jede:r mit ausreichend Knowhow kann sich vergewissern, dass die Software keinen Schaden anrichten wird. Die öffentliche Verfügbarkeit des Quellcodes stellt allerdings nicht unbedingt sicher, dass eventuelle Sicherheitslücken auch wirklich erkannt werden. Außerdem ist es nicht einfach möglich, zu überprüfen, ob das ausführbare Programm, welches man von den Entwickelnden erhält, auch wirklich mit dem einsehbaren Quellcode erstellt wurde. Um dies sicher zu stellen, könnte man jede Software selbst kompilieren. Das ist allerdings nicht besonders komfortabel und für Lai:innen nicht unbedingt zu empfehlen. Und auch dieser Schritt kann keinen endgültigen Schutz bieten, da es theoretisch möglich ist, dass das Kompilationsprogramm selbst kompromittiert ist und beim Kompilieren eine Backdoor hinzufügt.

Wenn man seine Software nicht selbst kompilieren möchte, sollte man selbstverständlich immer darauf achten, dass nur Software aus vertrauenswürdigen Quellen zum Einsatz kommt. Weitere Maßnahmen sind die Verwendung von Anti-Malware-Software, um bekannte Backdoors aufzuspüren und der Einsatz von Firewalls, um unbefugten Netzwerkzugriff zu vermeiden. Wer noch weiter auf Nummer sicher gehen möchte, kann mit speziellen Analyse-Tools sämtlichen Netzwerk-Traffic inspizieren und auf verdächtige Aktivitäten hin untersuchen.

Schützen Sie Ihre Mitarbeiter vor Cyber Security Bedrohungen

Sichern Sie Ihre Mitarbeiter vor Cyber Security Bedrohungen, indem Sie mehr über unsere Phishing Simulation Software MetaPhish und unsere Cyber Security E-Learning-Plattform MetaLearning erfahren.

ANDERE ARTIKEL ZU CYBER SECURITY AWARENESS TRAINING, DIE SIE INTERESSIEREN KÖNNTEN

Image 2
Cyber Security Awareness
Computer Security Training: Entwicklung eines Sensibilisierungsprogramms für Cybersicherheit

Erfahren Sie, wie Sie ein effektives Computer Security Training für die Cybersicherheit entwickeln. Tipps und Strategien für Ihre Sicherheitsmaßnahmen.

Mehr erfahren

Luke Noonan

20. Mai 2024

cybersicherheit und digitalisierung im gesundheitswesen
Cyber Security Awareness
Cybersicherheit im Gesundheitswesen: Bedeutung und wie man sie verbessern kann

Erfahren Sie mehr über die Bedeutung der Cybersicherheit im Gesundheitswesen und erhalten Sie wertvolle Einblicke, wie Sie diese effektiv verbessern können.

Mehr erfahren

Luke Noonan

20. Mai 2024

banner