(18.08.2020) Im Frühjahr 2020 wurden weltweit die Daten für den National/Industry/Cloud Exposure Report (NICER) 2020 erhoben. Der Report sieht Deutschland auf dem fünften Platz der von Cyber-Kriminalität bedrohten Länder.

Nur USA, China, Süd-Korea und Großbritannien schneiden schlechter ab. Die Analyse der Internetzugänge und -Dienste in Deutschland deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5% oder 1.776.608 der entdeckten Schwachstellen in exponierten Diensten als stark einzustufen sind.

Viele Organisationen sind dadurch einem höheren Risiko von Cyber-Attacken ausgesetzt, vor allem durch

  • Brute-Force-Angriffe, eine Methode zum Brechen oder „Knacken“ von Passwörtern,
  • Credential Stuffing, also die Verwendung von gestohlenen Konto-Anmeldedaten für unbefugten Zugang zu Benutzerkonten und
  • exploit-basierte Remote-Access-Angriffe durch Software, Daten oder eine Befehlssequenz, mit der unbeabsichtigtes oder unvorhergesehenes Verhalten auf der Computersoftware oder -hardware ausgelöst wird.

Etliche Dienste haben so starke Schwächen, dass ein Einsatz erst gar nicht erwogen werden sollte. Das gilt vor allem bei SMB, Telnet und rsync, bei einfachen E-Mail-Zugängen und FTP. Es ist wichtig, dass die Geschäftsleitung sich hierüber mit der IT-Administration bespricht und Maßnahmen zur Verteidigung umsetzt. Denn dies sind die Gründe:

  • Bei Telnet handelt es sich fast immer um ein Klartextprotokoll, das die Authentifizierung (Benutzername und Passwort) und die Daten einem passiven Lauschangriff aussetzt. Cisco und Huawei, zwei der größten Routerhersteller der Welt, dominieren die Gesamtzahl aller Telnet-Dienste. IT- und IT-Sicherheitsteams sollten den Telnet-Verkehr von und zu ihren Netzwerken verbieten, ein SSH-Server ist zuverlässiger, flexibler und sicherer.
  • SMB (Server Message Block) ist für Netzbetreiber eine Quelle von Herz- und Kopfschmerzen. Unabhängig von der Version und Konfiguration ist SMB für das heutige Internet ungeeignet. Die IT sollten SMBs den Zugang zu oder von ihrer Organisation über alles andere als VPN-verbundene Netzwerke untersagen und ihren bekannten, nach außen gerichteten IP-Adressraum regelmäßig auf falsch konfigurierte SMB-Server überprüfen.
  • Die größte Schwachstelle von rsync ist, dass Benutzer ihn dem Internet aussetzen, entweder ohne Anmeldeinformationen oder mit schwachen und/oder unverschlüsselten Anmeldeinformationen, dicht gefolgt von der Verwendung zur Übertragung sensibler unverschlüsselter Dateien. Es gibt keinen sicheren Weg, rsync für vertrauliche Informationen zu verwenden.
  • E-Mail ist die beliebteste Methode für Phishing-Fans, um Passwörter zu enthüllen und Malware auszuführen. Aktuell gibt es mindestens zwei ernsthafte Schwachstellen in den beliebten Mail-Servern Exim und Microsoft Exchange. Das Ausführen der eigenen E-Mail gehört nach wie vor zu den wirklich schmerzhaften Aufgaben der Netzwerkadministration, da Ausfälle, Patch-Management und redundante Backups selbst in den besten Zeiten knifflig sein können, ganz zu schweigen von der ständigen Beanspruchung der Ressourcen im Kampf gegen Spam und Phishing. IT- und IT-Sicherheitsteams sollten ernsthaft in Erwägung ziehen, zu einem etablierten E-Mail-Anbieter wie Office 365 von Microsoft oder der G Suite von Google zu wechseln.
  • Das Klartext-Protokoll FTP (TCP/21) ist von Natur aus unsicher. Für Dateiübertragungen von System zu System sind die "S"-Versionen (FTPS/SFTP) von FTP oder (vorzugsweise) SCP allesamt sichere und schnellere Alternativen.

Durch die vielen Homeoffices hat Remote Access im Unternehmensalltag eine wichtige Bedeutung: ob Fernzugriff auf nicht browserbasierte Desktop-Anwendungen, auf Intranet-Ressourcen oder die Fernnutzung interaktiver Desktop-Sitzungen. Diese Lösungen erfüllen reale Bedürfnisse und helfen Organisationen, dass die Dinge trotz Corona laufen. Beliebt sind diese zwei Fernzugriffsdienste:

  • Virtuelle Netzwerk-Computing (VNC, TCP/5900)
  • Microsoft Remote Desktop (RDP, TCP/3389)

Die IT sollte alle VNC-Zugänge hinter eine VPN-Verbindung oder einen SSH-Tunnel legen und VNC niemals direkt dem Internet aussetzen. Zu viele Dinge können bei der Einrichtung, Pflege und Fütterung von Hosts mit VNC-Zugang schief gehen, um ihn für die öffentliche Internetnutzung wirklich sicher zu machen. Zudem sollten sie sicherstellen, dass gepatchter VNC-Server-Code mit nicht zuvor genutzten starken Berechtigungsnachweisen verwenden wird, die durch eine Multi-Faktor-Authentifizierung unterstützt werden.
Vor allem wenn das Unternehmen RDP für den GUI-Fernzugriff verwenden möchte, sollte die IT RDP immer hinter ein VPN (Virtual Private Network) stellen. Wenn sie RDP direkt ins Internet stellt, dann sollte das anlassbezogen geschehen. Auch sollte sie sicherstellen, dass alle Systeme, auf denen RDP zur Verfügung steht, gepatcht sind, dass RDP so stark wie möglich konfiguriert ist und durch eine Multi-Faktor-Authentifizierung unterstützt wird.

Die Branchen Technologie und Telekommunikation, Finanzen, Pharma, Bauindustrie und Maschinenbau sowie Bergbau und Baustoffe haben in den letzten zwölf Monaten die meisten Schlagzeilen über Sicherheitsverletzungen und Lösegeldforderungen bekommen. Es ist daher nicht allzu überraschend, dass sie besonders anfällig für Attacken aus dem Internet sind. Doch wer die hier aufgeführten Empfehlungen konsequent umsetzt, der hat schon einen großen Schritt in Richtung eins sicheren Unternehmens gemacht.

Über den Autor:
Tod Beardsley, Forschungsdirektor bei Rapid7, Quelle: Rapid7Tod Beardsley ist Forschungsdirektor bei Rapid7. Er verfügt über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations- und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.

Cookies erleichtern die Bereitstellung unserer Dienste. Klicken Sie auf OK, wenn Sie mit dem Einsatz von Cookies einverstanden sind.
Weitere Informationen