eamesBot – Shutterstock.com
Verschlüsselte Dateien und eine Textdatei mit einer Erpresser-Nachricht zeigen klar und deutlich: Ein Unternehmen ist einer Cyberattacke zum Opfer gefallen. Dabei ist das nur das Ende einer langen Angriffskette. Die Tätergruppe bewegt sich oft seit mehreren Wochen oder Monaten ungehindert und unbemerkt im Netzwerk. IT-forensische Analysen zeigen zudem, dass sehr viele Angriffe mit grundlegenden und einfachen Sicherheitsmaßnahmen deutlich vor der Verschlüsselung unterbrochen werden könnten. Diese zehn Probleme erleichtern Bedrohungsakteuren solche Angriffe.
1. Ungepatchte Sicherheitslücken
Das Problem: In den vergangenen Jahren gab es immer wieder Sicherheitslücken in Anwendungen oder Betriebssystemen, die Cyberkriminelle direkt ausgenutzt haben. Insbesondere Unternehmen, die Systeme von Fortinet, Citrix oder Microsoft einsetzen, können ein Lied davon singen. Viele Firmen patchen selbst kritische Lücken nicht zeitnah. Besonders risikoreich sind sogenannte Zero-Day-Exploits. Diese Schwachstellen sind dem Hersteller in der Regel unbekannt, sodass zunächst kein Patch verfügbar ist. Die bloße Verwundbarkeit eines Systems führt jedoch nicht direkt zu einer Kompromittierung.
Die Lösung: Ein engmaschiges Monitoring zur Früherkennung von Anomalien ist ein guter Ansatz, um tiefergehende schädliche Aktivitäten schnell einzudämmen. Darüber hinaus sollten die Verantwortlichen Patch-Prozesse etabliert und ein gutes Asset Management aufgebaut werden. Dadurch erhalten Sie einen Überblick über Ihre Systemlandschaft und den jeweiligen Patch-Status. Nicht patchbare oder veraltete Systeme sollten isoliert betrieben werden. Zum Beispiel sind in Krankenhäusern viele medizinische Geräte im Einsatz, die aus technischen Gründen auf veralteten Betriebssystemen basieren. Diese dürfen dann nicht mit dem restlichen Netzwerk kommunizieren und schon gar nicht aus dem Internet erreichbar sein.
2. Einfallstor: Schwache Passwörter
Das Problem: Schwache Passwörter erleichtern Cyberkriminellen immer wieder den Weg in ein Unternehmensnetzwerk. Ein Domain-Administrator-Passwort mit sechs Zeichen oder ein lokales Administrator-Ppasswort mit nur zwei Zeichen stellt für die Täter kein Hindernis dar. Es ist mehr als deutlich, dass dieses Thema in der Praxis oft vernachlässigt wird, obwohl die Anforderungen an sichere Passwörter längst überall bekannt sein sollten.
Die Lösung: Um Bedrohungsakteuren den Zugang zu erschweren, braucht es strikte Passwort-Richtlinien. Dafür hält das BSI Tipps für sichere Passwörter bereit. Sämtliche Zugänge, die auch über das Internet erreichbar sind, sollten zusätzlich mit einer Multifaktor-Authentifizierung abgesichert sein. Dazu zählen insbesondere VPN-Zugänge. Mit einer steigenden Zahl der Benutzer steigt auch die Wahrscheinlichkeit, dass eine Person oder mehrere Personen schwache oder mehrfach genutzte Passwörter verwenden. Ein gutes Beispiel mit schwer zu kontrollierenden Benutzergruppen sind etwa Universitäten oder Hochschulen.
3. Mangelhafte Account-Hygiene
Das Problem: Angreifergruppen gelingt es häufig, sich mit wenig Aufwand höhere Zugriffsrechte in einem Netzwerk zu beschaffen. Eine beliebte Vorgehensweise: Mit einem kompromittierten lokalen Administratorkonto lesen sie zwischengespeicherte Passwort-Hashes aus dem Arbeitsspeicher aus, da Passwort-Hashes bei jeder Anmeldung zwischengespeichert werden. Das betrifft sowohl die Anmeldung mit Benutzer- oder Administrations-Accounts als auch Service-Konten. Oftmals kann der Passwort-Hash direkt genutzt werden, ohne dass die Kenntnis des eigentlichen Passwortes nötig ist, um sich als eine andere Person anzumelden. Fachleute sprechen hier von einem “Pass the Hash”-Angriff.
Wenn sich dann – häufig – aus Bequemlichkeit Administratoren mit domänenspezifischen Admin-Rechten auf einem einfachen PC anmelden, wird dieser höchstprivilegierte Log-in lokal zwischengespeichert und gelangt so unkompliziert in den Besitz der Cybergangs.
Die Lösung: Um solche Risiken zu minimieren, braucht es eine Account-Trennung. Ein gutes Beispiel dafür beschreibt Microsoft in ihrem Tiering-Modell. Die Idee dahinter ist, Systeme in verschiedene Stufen (Tiers) einzuteilen und für jede Stufe ein eigenes Administratorkonto zu verwenden. Dieses Vorgehen verhindert, dass die Angreifer bei der Kompromittierung einer niedrigen Stufe Zugangsdaten für Systeme einer höheren Stufe erlangen. Dadurch können sie ihre Berechtigung nicht einfach erweitern, um Zugriff auf sensible Teile der Infrastruktur zu erhalten.
4. Netzwerksegmentierung? Fehlanzeige!
Das Problem: Viele Unternehmen nutzen noch immer große flache Netzwerke oder vergessen, dass eine Netzwerksegmentierung nur dann einen Sicherheitsgewinn bietet, wenn die Übergänge reglementiert sind. Ansonsten müssen sich Verantwortliche nicht wundern, wenn Cyberkriminelle sich schnell im Netzwerk ausbreiten können.
Die Lösung: Mit durchdachter Netzwerksegmentierung lassen sich deutliche Hindernisse für Bedrohungsakteure aufbauen, die nur schwer zu überwinden sind. So sollten Firmen Server- und Client-Netzwerke strikt trennen und ausschließlich explizit notwendige Verbindungen zulassen. Genauso wichtig ist die Trennung von Operational Technology (OT) und IT. Produktions- und Steueranlagen haben beispielsweise in einem reinen Büronetz nichts zu suchen. Insbesondere Unternehmen mit kritischen Infrastrukturen wie etwa Stadtwerke müssen sicherstellen, dass keine Zugriffe möglich sind. Darüber hinaus sind auch Quick-Wins wie beispielsweise ein Managementnetz realisierbar. Hier erhalten ausschließlich administrative Accounts Zugang, die jeweils über ein VPN mit einem zweiten Faktor abgesichert sind. Dies bringt einen hohen Sicherheitsgewinn, ohne die alltägliche Arbeit der normalen Anwenderinnen und Anwender zu beinträchtigen.
5. Unzureichende Backups
Das Problem: Ein Backup zu haben, ist nicht alles, wenn es um den Verlust von Daten geht. Es muss auch wiederherstellungsfähig sein. Hinzu kommt: Cyberkriminelle suchen sehr gezielt nach Backups, um diese zu löschen oder ebenfalls zu verschlüsseln. Dadurch steigt der Druck auf Unternehmen, Lösegeld zahlen zu müssen.
Die Lösung: Grundsätzlich sollten Backups vom Netz und Internet getrennt sein. Das bedeutet: Keine Anbindung ans Active Directory und in einem eigenem abgeschotteten Netzsegment speichern, damit sie nach einer Ransomware-Attacke einsatzfähig sind. Immer wieder brechen Tätergruppen ihre Angriffe ab, wenn sie die Backup-Server nicht finden oder nicht darauf zugreifen können. Dann verlieren sie das Druckmittel, um ihre Forderungen durchzusetzen. Gleichzeitig gilt: Je länger sie das Backup suchen, desto mehr Zeit haben Firmen, den Angriff zu entdecken.
Eine gute Backup-Strategie beinhaltet also auch eine sicher aufbewahrte Offline-Kopie aller Informationen. Als Best Practice hat sich das ”3-2-1-Prinzip“ für Datensicherungen erwiesen. Danach werden drei getrennte Sicherungskopien erstellt, von denen zwei auf unterschiedlichen Medien (zum Beispiel Festplatte & LTO-Band) gespeichert werden und eine davon off-site aufbewahrt wird. Zusätzlich sollten Verantwortliche sowohl die Funktionsfähigkeit als auch das Einspielen der Back-ups regelmäßig testen.
Übrigens: Schwierig wird es, wenn die Backups passwortgeschützt sind, das Kennwort aber in einem Passwortmanager gespeichert ist, der von den Tätern verschlüsselt wurde.
6. Überlastetes IT-Personal
Das Problem: In vielen Unternehmen ist es Alltag, dass sich „die IT“ um alle Aufgaben kümmern muss – vom User-Support und das Installieren von Druckertreibern über die Netzwerkadministration. Aber auch Wartung und Pflege der Serverlandschaft bis hin zu IT-Sicherheit. Diese läuft oft nebenbei und im schlimmsten Fall ist sie auch noch regulatorisch verpflichtend. Für elementare und strategische Aufgaben, wie den Aufbau einer durchdachten Netzwerkinfrastruktur, mangelt es dann sowohl an fachlichem Know-how als auch an zeitlichen Ressourcen.
Die Lösung: Die Erfahrung zeigt, dass in mittelständischen Unternehmen um die fünf Prozent der Mitarbeitenden in der IT angestellt sein sollten. Außerdem braucht es eigene Angestellte für IT-Sicherheit, weil sie sonst im Tagesgeschäft untergeht – mit fatalen Folgen. Wichtig dabei ist: Eine wettbewerbsfähige Bezahlung ist ein zentrales Mittel im Kampf um Fachkräfte.
7. Schlechte IT-Dienstleister
Das Problem: Zahlreiche Unternehmen lagern ihre IT ganz oder teilweise aus und kompensieren so fehlende Fachkräfte. Dabei steckt hier der Teufel im Detail, was die Kompetenzen und das Know-how beim Dienstleister betrifft.
Die Lösung: Ein guter IT-Dienstleister kann die eigene IT-Abteilung mit Fachexpertise unterstützen, die an dieser Stelle im eigenen Unternehmen fehlt. Allerdings sind bei der Auswahl eines Dienstleisters mit Blick auf die IT-Sicherheit ein paar Dinge zu beachten. Wichtige Kriterien bei der Wahl sind etwa Service Level Agreements inklusive Reaktionszeiten von Dienstleistern. Im Notfall ist Zeit ein entscheidender Faktor. Wer mit seinem Dienstleister eine 24-Stunden-Überwachung an sieben Tagen in der Woche über das gesamte Jahr vereinbart hat, etwa im Rahmen einer Managed Extended Detection and Response (MXDR), sollte im eigenen Unternehmen auch Ansprechpersonen festlegen, die rund um die Uhr erreichbar sind. Es ist niemandem geholfen, wenn der Dienstleister um 22:00 Uhr einen Sicherheitsvorfall meldet, aber niemand mehr darauf reagiert.
Darüber hinaus sollte die gesamte IT-Infrastruktur regelmäßig überprüft werden, etwa mit einem Penetrationstest. Bei solchen Prüfungen sollte auch die durch den IT-Dienstleister bereitgestellte IT-Infrastruktur einbezogen werden. Eine gemeinsame Notfallübung kann Aufschluss über die IT-Sicherheitskompetenzen geben. Hierbei können ebenfalls Meldeketten und Notfallprozesse geübt und getestet werden.
8. Fehlendes Security Monitoring
Das Problem: Die meisten Vorfälle könnten deutlich früher erkannt und damit auch gestoppt werden. Aber die Meldungen aus den eingesetzten Security-Lösungen werden übersehen, gehen in einer Vielzahl irrelevanter Meldungen unter oder werden aufgrund mangelnden Fachwissens falsch interpretiert. So finden Fachleute bei IT-forensischen Analysen immer wieder sehr eindeutige Warnmeldungen, die (bewusst oder unbewusst) ignoriert oder falsch interpretiert wurden.
Die Lösung: Wer ein solches Szenario vermeiden will, muss dediziertes Personal für IT-Sicherheit abstellen. Wer das selbst nicht leisten kann oder will, sollte Managed Security Services in Betracht ziehen, wie etwa ein Security Operation Center. Dabei ist jedoch ein Aspekt bedeutsam: die Meldeketten. Es braucht einen reibungslosen Meldeprozess, damit gemanagte Sicherheitslösungen ihre volle Wirksamkeit entfalten können.
9. Technische Schulden – Veraltete Systeme als Einfallstor
Das Problem: Technische Schulden sind oftmals auch eine Folge von fehlendem Personal. Ein Paradebeispiel dafür liefern leider öffentliche Verwaltungen. Hier finden sich immer wieder deutlich veraltete IT-Infrastrukturen. Aber auch falsch gesetzte Prioritäten begünstigen solche Konstellationen.
Die Lösung: Verantwortliche sollten sich nicht ausschließlich auf neue Systeme oder Sicherheitsprodukte als Lösungen fokussieren, sondern auch regelmäßig technische Schulden aufarbeiten. Das ist in der Regel das Erste, was bei Zeit- und Ressourcenmangel vernachlässigt wird, aber auch eine Einladung für Cyberkriminelle.
10. Panikmodus im Ernstfall
Das Problem: Nach der Entdeckung einer schwerwiegenden Cyberattacke herrscht bei vielen Unternehmen oft Panik. Angestellte, sowie die Führungsebene agieren hektisch, machen dabei aber wenig Zielführendes. Wichtige Entscheidungen und Arbeiten werden verzögert, was den Schaden erhöht. Dieses Phänomen wird liebevoll als „Headless Chicken Mode“ bezeichnet.
Die Lösung: Erfahrene Expertinnen und Experten eines Incident Response Teams sorgen für Ruhe und Struktur. Erst dann können alle gemeinsam den Fall aufarbeiten und die Systeme wieder zum Laufen bringen. Zwingend erforderlich ist dabei ein Notfallplan. Dieser sollte bereits im Vorfeld offline vorliegen – und nicht unerreichbar auf einem verschlüsselten Server. In diesem Notfallplan sind insbesondere Zuständigkeiten und Verfahrensweisen für den Notfall geregelt. Wer trifft welche Entscheidungen, wer informiert Angestellte, Kunden oder Stakeholder und wer spricht mit den Ermittlungsbehörden. Ansonsten verlieren Unternehmen bei Diskussionen über Verantwortlichkeiten wertvolle Zeit.
Ein weiterer Punkt: System-Priorisierung. Also die Frage, welches System zuerst überprüft werden muss und wieder anlaufen soll. Welche Systeme sind erforderlich, damit meine Infrastruktur überhaupt wieder läuft? Welche Systeme sind geschäftskritisch, damit Gehälter überwiesen werden können oder die Produktion am Laufen gehalten wird?
Dann hilft es natürlich auch, einen guten internen Response-Dienstleister auf der Kurzwahl-Taste einzuspeichern. Wenn man erst die Liste des BSI über qualifizierte Dienstleister abtelefonieren muss, dauert das länger und man gerät nicht immer an den am besten qualifizierten Dienstleister. Im Idealfall haben die Verantwortlichen bereits Kontakt zu Fachleuten hergestellt und sogar einen Incident-Response-Retainer-Vertrag abgeschlossen. Damit haben Unternehmen die Gewissheit, dass ihr Fall auch tatsächlich sofort bearbeitet wird.
Absichern vor Ransomware-Attacken
Auf das Prinzip Hoffnung sollte sich kein Unternehmen einlassen. Früher oder später finden Cyberkriminelle den Weg ins Netzwerk einer Firma. Wer aber die genannten zehn Punkte beachtet und umsetzt, hat viele Instrumente, Angriffsversuche frühzeitig zu erkennen, um Gegenmaßnahmen einzuleiten. Idealerweise sind die Maßnahmen so wirkungsvoll, dass Tätergruppen den Angriff frühzeitig abbrechen oder dieser zeitnah entdeckt wird. (jm)