Unternehmensnetzwerke: Die 5 häufigsten Konfigurationsfehler

[English]Auch wenn Cyberkriminelle immer anspruchsvollere Angriffstechniken nutzen, um in Unternehmensnetzwerke einzudringen, haben Hacker oft leichtes Spiel. Sicherheitsverletzungen sind oft auf vermeidbare, häufig übersehene Fehlkonfigurationen zurückzuführen.


Anzeige

Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian, ist mir eine Übersicht der fünf häufigsten Konfigurationsfehler in Netzwerken zugegangen. Diese Fehler gilt es für Unternehmen zu vermeiden. Um Hackern nicht Tür und Tor auf sensible Daten und IT-Umgebungen zu öffnen, im Folgenden deshalb die fünf häufigsten Konfigurationsfehler, die es für Unternehmen zu vermeiden gilt.

1. Standard-Anmeldeinformationen

Nicht konfigurierte Standard-Benutzernamen und -Passwörter von Geräten, Datenbanken, und Installationen sind vergleichbar mit dem Hinterlassen des Schlüssels in einer verschlossenen Tür. Selbst Hobbyhacker können hier mithilfe frei verfügbarer Tools einem Unternehmen weitreichenden Schaden zufügen. Standard-Anmeldedaten auf Netzwerkgeräten wie Firewalls, Routern oder sogar Betriebssystemen ermöglicht es Angreifern, simple Passwort-Checkscanner zu verwenden, um einen direkten Zugang zu erhalten. Bei etwas ausgeklügelteren Attacken führen Hacker eine Reihe von Skriptangriffen aus, um Geräte mit roher Gewalt zu knacken, indem sie sich entweder auf Standardbenutzernamen und -passwörter oder einfache Kennwörter wie "qwerty" oder "12345" konzentrieren.

2. Mehrfachverwendung von Passwörtern

Werden in einer Flotte von Endpunkten auf jedem Gerät dasselbe Benutzerkonto und Passwort verwendet, gibt dies Cyberkriminellen die Möglichkeit, jede Maschine anzugreifen, selbst wenn nur eines der Geräte einen Sicherheitsverstoß erlitten hat. Von dort aus können Angreifer Credential-Dumping-Programme verwenden, um die Passwörter oder sogar die Hashes selbst in die Finger zu bekommen. Unternehmen sollten deshalb die Wiederverwendung von Passwörtern um jeden Preis vermeiden und nicht benötigte Konten deaktivieren.

3. Offene Remote Desktop Services und Standard-Ports

Dienste wie Remote Desktop Protocol (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, bieten Administratoren eine Schnittstelle zur Fernsteuerung von Computern. Zunehmend haben Cyberkriminelle dieses offene Protokoll missbraucht, wenn es nicht richtig konfiguriert war. Beispielsweise kann Ransomware wie CrySiS und SamSam Unternehmen über offene RDP-Ports ansprechen, sowohl durch Brute Force als auch durch Dictionary-Angriffe. Jedes nach außen gerichtete Gerät, das mit dem Internet verbunden ist, sollte deshalb durch einen mehrschichtigen Schutz abgesichert werden, um Zugriffsversuche wie etwa einen Brute-Force-Angriff zu bekämpfen. Administratoren sollten eine Kombination aus starken, komplexen Passwörtern, Firewalls und Zugriffskontrolllisten nutzen, um die Wahrscheinlichkeit eines Sicherheitsverstoßes zu reduzieren.


Anzeige

4. Verzögerte Software-Updates

Oft machen Zero-Day-Bedrohungen Schlagzeilen, doch die häufigsten Schwachstellen, die durch Cyberkriminelle ausgenutzt werden, sind in der Regel digitale Fossilien. Daher ist die Aktualisierung von Betriebssystemen und Patches entscheidend, um einen Sicherheitsverstoß zu verhindern. Auch wenn täglich zahlreiche Exploits und Schwachstellen gefunden werden und es schwierig sein kann, Schritt zu halten, gilt es für Unternehmen, verzögertes Software-Patching zu vermeiden.

5. Ausgeschaltete Protokollierung

Deaktiviertes Logging erlaubt es Angreifern nicht unbedingt, in ein System einzudringen, aber es ermöglicht ihnen, dort unbemerkt zu agieren. Einmal eingedrungen, können sich Hacker seitlich durch das Netzwerk bewegen, um nach Daten oder Assets zu suchen, die sie hinausschleusen wollen. Ohne entsprechende Protokollierung hinterlassen sie dabei keine Spuren. Dies schafft eine Nadel im Heuhaufen für IT-Teams bei der Rekonstruktion eines Sicherheitsvorfalls. Daher sollte die Protokollierung aktiviert sein und an einen zentralen Ort wie eine SIEM-Plattform (Security Information and Event Management) gesendet werden. Diese Daten liefern die Spuren, die forensische Analysten während einer Incident-Response-Untersuchung benötigen, um den Angriff nachzuvollziehen und den Einbruch zu erfassen. Darüber hinaus hilft dies, adäquat auf Bedrohungen zu reagieren, die eine Warnung aufgrund bereits protokollierter Ereignisse auslösen.

Durch Fehlkonfigurationen und das Belassen von Geräten oder Plattformen in ihrem Standardzustand haben Cyberkriminelle leichtes Spiel bei ihren Angriffen. Deshalb sollten Unternehmen die oben genannten Sicherheitsmaßnahmen implementieren, um sich und ihre sensiblen Daten zu schützen.

Digital Guardian ist im Bereich Datensicherheit aktiv. Mehr findet sich auf der Unternehmensseite


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Unternehmensnetzwerke: Die 5 häufigsten Konfigurationsfehler

  1. Dat Bundesferkel sagt:

    Ohne Christoph M. Kumpa zu nahe treten zu wollen, aber die *häufigsten* Konfigurationsfehler beginnen bereits mit der Wahl der Hardware.

    Man wählt keine Netzwerkausrüstung, die a) dem Patriot Act (oder vergleichbar) unterliegt und b) bekannt für mehrfache "Abfang" und "Modifikationsaktionen" bekannt ist (hey, Cisco, alles gut?).

    Dann die Wahl der Systeme und / oder Chipsätze… ich erinnere mich noch an diverse Q6x Chipsätze von Intel, die (ohne vorige Konfiguration) zum LAN-Adapter noch transparent auf den selben Port einen Virtuellen angelegt haben, der selbst in S3 noch erreichbar war – nur zufällig nach einem Netzwerkscan entdeckt…

    Unqualifiziertes und / oder überfordertes IT-Personal… "warten und pflegen, ja nichts ändern, wir machen das immer schon so!" – danke auch!

    Mitarbeiter, die die Systeme nutzen, aber nicht zureichend geschult und lieber als dumm beschimpft werden. "Wie konnten Sie nur den docx Anhang mit Makros öffnen?" – wieso zum Teufel war der Mitarbeiter überhaupt imstande eine solche Datei zu empfangen und warum setzt man auf Dateiformate mit Makros?

    Oder der Klassiker: Kritische Systeme ans Internet lassen (völlig egal, ob eine mehrstufige FW davor ist, oder nicht – die gehören nicht online erreichbar!). Dienste online anbieten, ohne VPN und zusätzliche Authentifizierung via Zertifikate erlauben… groß mit 2FA werben und dann zugehörige Apps auf einem Spyware-OS wie Android verteilen (Hallo PSD2-konforme Banken!)…

    Was sind V-LANs? Honey-Pot? Nie gehört… ach, pack mal die Maschinen alle in VM auf denselben Hyper-Visor… macht ja nix…

    Die von Christoph M. Kumpa genannten Punkte passen bedeutend besser in die Computer-Bild. Es fehlen leicht verständliche Aufklärungskampagnen, aber man versucht Erklärungen mit möglichst komplexen Bezeichnungen zu verschleiern, um die fürstlichen Consultant-Gehälter zu rechtfertigen. Dabei lernt man als Bürokaufmann doch als Erstes, daß eine "einfache, zielführende, kindgerechte Beschreibung" einfach notwendig sind.

    So ziemlich jedes Unternehmen, mit dem ich bislang zu tun hatte, ist schlichtweg unfähig IT-Infrastruktur halbwegs sicher zu betreiben. Und dabei meine ich nicht die Kleinstbetriebe, wo der Desktop-PC als Kassensystem genutzt wird und der Bediener nebenher auf XXX-Seiten surft (was schon merkwürdig genug ist).

    • 1ST1 sagt:

      In docx sind keine Makros. Man sollte da schon genau sein.

      • Dat Bundesferkel sagt:

        Gut, formulieren wir es so um: Seit 2007 können in docx keine Makros mehr eingebettet werden (zuvor ging es) – nun sind es docm-Dateien.

        Neben Makros haben wir dann ja auch noch die Option VB Code und OLE-Einbettungen vorzunehmen.

        Siehe auch:
        https://www.borncity.com/blog/2018/02/19/angriff-auf-word-funktioniert-ohne-makros/

        Es geht mir hier aber nicht darum Microsoft Office in diesem Punkt schlecht zu machen, sondern schlichtweg auf einen typischen Administrationsfehler hinzuweisen. Und was noch schlimmer ist, es ist meist kein "Fehler" des Administrators, sondern eine explizite Anforderung der Geschäftsführung / der Mitarbeiter eben diese Funktionen zuzulassen, weil… "sie sonst nicht normal arbeiten können" bzw. das Wirtschaftssystem (hallo SAGE-Produkte) nicht mehr richtig funktionieren.

        • Michael sagt:

          welcher ISP arbeitet im deutschen Raum ohne Cisco Produkte?

          BTW docx konnte noch nie Macros, das Format gab's schlicht vor 2007 nicht. Nur .doc kann neben docm Makros.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.