Jede Kette ist nur so stark wie ihr schwächstes Glied: Angreifer müssen nur eine einzige Schwachstelle finden, während die „Verteidiger“ ein oft heterogenes Gesamtsystem überblicken und gleichmäßig gut absichern müssen. Diesen Startvorteil machen sich Cyber-Kriminelle seit dem Jahreswechsel 2021 zunutze: Statt individuelle Schwachstellen bei einzelnen Unternehmen ausfindig zu machen, werden weit verbreitete Monitoring- und Remote-Access-Werkzeuge für möglichst großflächige Infiltrationen missbraucht.
Der Solarwinds-Zwischenfall, bei dem mit einem Update unwissentlich gehackter Code verteilt wurde, hat geschätzte 20.000 Unternehmen betroffen. [1] Die dahinterliegende Strategie wurde inzwischen für die Verteilung von Ransomware adaptiert. Als „Transportmittel“ und mögliches Einfallstor direkt im Juli machte sich eine Schwachstelle der Software von „Kaseya“ zunutze, um tausende Systeme zu befallen. [2]
Absichtliche Backdoors ins Unternehmensnetzwerk?
Sei es die Covid-19 Pandemie, der verstärkte Trend zu Home-Office oder der oft unverzichtbare externe Zugriff auf Spezialsysteme: Während Firewalls & Co. im Einsatz sind, um den Fremdzugriff abzuwehren, sollen Remote-Access-Tools diesen wieder „einfach“ ermöglichen.
Es gilt, diese Kanäle gut zu überwachen und zu dokumentieren. Im schlimmsten Fall hebeln sie die gesamte IT-Security aus. Ein prominentes Beispiel war der Vorfall bei einem Wasserwerk in Florida im Februar 2021, der über einen unsicher ausgeführten Teamviewer-Zugang stattfand. [3]
5 Tipps für einen sicheren Remote-Zugang
Die nachfolgenden Beispiele bieten erste Anhaltspunkte, um Cyber Security für die Fernwartung zu verbessern:
- Inventarisierung & Dokumentation aller externen Zugänge
Tools zur Fernwartung können zu unkontrollierten Dauerlösungen werden, die dem Sicherheitsradar entgehen. Alle solche Lösungen müssen daher dokumentiert und kontrollierbar gemacht werden. Informieren Sie Mitarbeitende, dass diese Zugänge Risiken beinhalten und hoher Verantwortung bedürfen. - Sichere Protokolle, aktuelle Verschlüsselung und regelmäßige Updates
Unsichere Zugänge können interne Daten und Account-Informationen unverschlüsselt übertragen und damit höchst vertrauliche Informationen für Dritte zugänglich machen. Ausschließlich aktuelle, sichere Software-Lösungen dürfen für Fernwartung eingesetzt werden. Regelmäßige Updates sind eine Grundvoraussetzung. - Spezifische Benutzerkonten & 2-Faktor-Authentifizierung
Eine häufige große Schwachstelle ist die Verwendung gemeinsamer Passwörter und bekannter Remote-Management-Zugänge. Ein gemeinsamer Allgemeinzugang ist nahezu unmöglich zu kontrollieren. Die Verwendung von 2FA für jeden Benutzer ist ein Muss – gerade auch bei der Integration externer Mitarbeiter, die nicht unter der direkten Kontrolle des Unternehmens stehen. - Principle of least privilege & Need to know
Jedes individuelle Fernwartungskonto soll nur Zugriff auf die absolut notwendigen Systeme ermöglichen, die zur Ausführung der Tätigkeit notwendig ist. Abweichungen können so leichter festgestellt und mögliche Ausbreitungen einfacher verhindert werden. Besonders wichtige Systeme sollen nur über zusätzliche Sprung-Server erreichbar sein. - Monitoring & Logging
Eine lückenlose Überwachung externer Zugriffe hilft, Unregelmäßigkeiten schneller nachzuweisen und effizienter aufzuspüren. Fehlversuche einzelner Zugänge sollen aktiv überwacht werden und zu einer Sperre der Accounts führen.
Die Absicherung von Remote Management-Tools verlangt höchste Priorität. In Beobachtung der Vorfälle der letzten Monate ist davon auszugehen, dass kommende Ransomware-Angriffe sich diese oft vorhandenen Remote-Access-Schwachstellen zunutze machen werden.
Sie wünschen ein ganzheitliches Sicherheitskonzept und technische Schutzmaßnahmen gegen Ransomware-Angriffe? Wir beraten Sie gerne unter sales@ikarus.at oder Tel. +43 1 58995-500!
Lesenswert:
Verhaltensanalysen, Anomalieerkennung und Sichtbarkeit: Zusatzschutz vor Ransomware
Betriebstechnologien vor Ransomware-Angriffen absichern
Quellen: