2021 war ein Rekordjahr in Bezug auf neu entdeckte CVEs (Bekannte Schwachstellen und Anfälligkeiten). Der Einsatz von mehr Software und ein wachsender digitaler Fussabdruck sind Gründe dafür, dass Sicherheitslücken immer grösser werden. Ihre unüberschaubare Anzahl macht die Arbeit von Cybersecurity-Expert:innen extrem aufwendig und schwierig. Zum Glück bedeutet «angreifbar» nicht automatisch «ausnutzbar». Tatsächlich liegt das Verhältnis zwischen Theorie und Praxis bei 1:100. Die Fragen, die es zu beantworten gilt, sind: Kennen Sie das tatsächliche Sicherheitsrisiko Ihres Unternehmens zu einem bestimmten Zeitpunkt? Wissen Sie, wo die Schwachstellen sind? Und wie können sich Sicherheitsteams auf die wahre Schwachstelle im Heuhaufen der Schwachstellen konzentrieren? Wir zeigen Ihnen Massnahmen, die Sicherheitsexpert:innen ergreifen können, um das reale Risiko für ihr Unternehmen zu erkennen und wie sie die ausnutzbaren Schwachstellen aus der Masse herausfiltern können. Nehmen Sie die gegnerische Perspektive ein Die einzige Möglichkeit, den Heuhaufen von Schwachstellen zu durchforsten, ist der Versuch, sie auszunutzen. Genau das würde auch ein:e Angreifer:in tun. Auf diese Weise erhalten Sicherheitsteams einen präzisen Angriffsvektor, der auf das schwächste Glied des Unternehmens verweist. Von hier aus werden die an die IT-Abteilung weitergeleiteten Abhilfemassnahmen gezielt, überschaubar und auf die Auswirkungen auf das Unternehmen abgestimmt. Und der Rest der Schwachstellen kann auf die laufenden Patch-Management-Aufgaben warten. Die Sichtweise des Angreifenden ermöglicht es Ihnen, ein proaktives Sicherheitsprogramm durchzuführen, anstatt auf Vorfälle zu reagieren, wenn sie (unvermeidlich) auftreten. Abdeckung des gesamten Spektrums potenzieller Angriffe Angreifer:innen nehmen den Weg des geringsten Widerstands zu den kritischen Ressourcen. Dies bedeutet, dass sie die ganze Bandbreite der ihnen zur Verfügung stehenden Techniken nutzen, um einen Angriff voranzutreiben und dabei jede Schwachstelle und die entsprechenden Korrelationen auszunutzen. Dementsprechend müssen die verwendeten Validierungsmethoden angepasst werden. Sie müssen über einen statischen Schwachstellenscan oder die Simulation eines Kontrollangriffs hinausgehen und einen vollständigen Penetrationstest umfassen. Dieser bietet unter anderem Angriffsemulationen für Sicherheitskontrollen, Angriffe auf Schwachstellen, Prüfung der Stärke von Anmeldeinformationen, Tests von Netzwerkausrüstungen, Prüfungen des privilegierten Zugriffs und Schritte für seitliche Bewegungen.

Fehlkonfigurationen in Netzwerken gibt es in zahlreicher Weise und aus vielen verschiedenen Gründen. Sie beruhen häufig darauf, dass nur die üblichen Standardeinstellungen genutzt werden. Und auf der mangelnden Kenntnis darüber, dass eben diese von Natur aus bereits Sicherheitsfehlkonfigurationen enthalten. Wie das auch auf Firewall-Konfigurationen zutrifft, zeigen wir Ihnen im Folgenden. Zwei häufige Fehlkonfigurationen der Firewall: Bind-Shell und Whitelisting Werfen wir zuerst einen Blick auf die Gefahr geschlossener Ports. Die meisten Unternehmen verlassen sich auf ihre organisatorische Domänen-Firewall und neigen dazu, die Firewall auf der Ebene des lokalen Rechners abzuschalten. Infolgedessen vernachlässigen sie oft die sorgfältige Wartung der Firewall. Das erkennt man gut an den Ports, die von Diensten und Anwendungen benötigt werden. Diese Ports werden in der Regel auf Anfrage von der IT-Abteilung oder dem Netzwerkteam an der Unternehmensfirewall geöffnet. Man unterscheidet drei Arten: • Offener Port: Die Anwendung oder der Dienst wird ausgeführt und nimmt Verbindungen über den Port an. • Gefilterter Port: Eine Firewall oder ein Filter blockiert den Port. Das können beispielsweise eine Server-Firewall, eine Netzwerk-Firewall, ein Router oder ein anderes Sicherheitsgerät sein. • Geschlossener Port: Er zeigt an, dass eine Anwendung oder ein Dienst nicht aktiv nach Verbindungen an diesem Port sucht. Ein geschlossener Port kann jedoch jederzeit geöffnet werden, wenn eine Anwendung oder ein Dienst gestartet wird. Im Lauf der Zeit werden viele Dienste oder Anwendungen von einem Endgerät entfernt oder gelöscht. Die lokale Firewall-Regel, die die Verbindungen zu diesen Ports zulässt, wird jedoch oft vernachlässigt und bleibt im Status "geschlossen", da die Anwendung nicht mehr auf Verbindungen wartet. Mit anderen Worten: Angreifer:innen können geschlossene Ports nutzen, um eine Verbindung zwischen ihrer "Angriffsbox" und dem Computer des Opfers herzustellen und darüber bösartige Befehle zu erteilen. Dies wird als Bind-Shell bezeichnet. Die Praxis der Whitelisting-Dienste und -Anwendungen ist eine weitere häufige Quelle für gefährliche Fehlkonfigurationen. Whitelists sind eine Art Filter, der die auf der Liste enthaltenen E-Mail- und IP-Adressen sowie Domains als besonders sicher und seriös einstuft. Zu liberale Whitelisting-Richtlinien können von Angreifer:innen ausgenutzt werden, um NTLM-Passwort-Hashes oder sogar Klartextpasswörter von Domänen- oder lokalen Benutzer:innen über den LSASS-Prozess zu extrahieren. Das bedeutet, dass Angreifer:innen in der Lage sind, einen Computer über eine kritische Sicherheitslücke zur Remotecodeausführung ohne vorherige Authentifizierung auszunutzen und die Domäne weiter zu missbrauchen.

Im Rahmen der digitalen Transformation entwickeln Unternehmen neue Produkte und Dienstleistungen. Dazu ist es notwendig, riesige Datenmengen zu sammeln, zu verarbeiten, zu analysieren und zu speichern – einschliesslich personenbezogener Daten. Daten sind buchstäblich überall, von Desktops und Laptops bis hin zu Servern, von der Nutzung in Abteilungen bis hin zur Nutzung im Unternehmen. Daten bewegen sich immer schneller, und sie wachsen geradezu unkontrolliert. Die Folge ist häufig ein Datenchaos: Daten sind redundant, nicht klassifiziert und werden an verschiedene Orte kopiert. Viele davon sind der zentralen IT-Abteilung überhaupt nicht bekannt. Eine Studie des Softwareentwicklers Aparavi aus dem Jahr 2021 unter rund 250 deutschen Führungskräften und IT-Entscheider:innen kommt zu dem Ergebnis, dass nur knapp ein Drittel der Befragten weiss, welche Daten überhaupt im Unternehmen verfügbar sind. 40 Prozent geben immerhin an, im Bilde zu sein, welche Art Daten sie erfassen. Tatsächlich greifen nur 20 Prozent der Firmen aktiv auf sämtliche Datensätze zu, werten sie aus und nutzen sie. 34 Prozent der Umfrageteilnehmenden verwerten immerhin fast alle Daten. Beunruhigendes Fazit: Für etwa die Hälfte der Unternehmen spielen Big Data und Data Analytics keine Rolle. Was früher ein IT-Problem war, ist heute ein dringendes Thema für alle, einschliesslich Unternehmensvorstände, Aufsichtsbehörden, Geschäftspartner:innen, Kund:innen und Mitarbeitende. IT-Abteilungen und -Anbieter müssen umdenken und den Datenschutz in ihre Prozesse einbeziehen. Auf der einen Seite müssen sie sicherstellen, dass die Daten ihrer Kund:innen und Nutzer:innen bestmöglich vor Missbrauch geschützt sind. Denn die Datenschutzgesetze verlangen, dass Daten als privat und sensibel betrachtet und geschützt werden. Auf der anderen Seite geht es darum, unternehmensinterne Informationen zu sichern und zu verhindern, dass sie in falsche Hände gelangen.

IT-Sicherheit steht bei vielen Unternehmen an erster Stelle. Das ist zwar keine neue Entwicklung, sie rückt allerdings durch zunehmende Remote-Arbeitsstrukturen und durch massiv ansteigende Hackerangriffe stärker in den Fokus. Kein Unternehmen möchte, dass wichtige Daten abgefangen oder Unbeteiligte Mitschnitte von wichtigen Konferenzen erhalten. Folglich benötigen sie Schutz, um das anfällige Netzwerk vor Angriffen zu schützen. VPN sind dafür eine gute Lösung. Bei der VPN-Technologie liegt die Betonung auf dem Begriff «privat», denn anders als bei gewöhnlichen Netzwerken haben nur berechtigte Personen Zugriff darauf. Das VPN ist eine verschlüsselte Verbindung zwischen Nutzer:innen und Webdiensten, die sie besuchen möchten. Der Server erhält die Webseitenanfrage der Nutzer:innen und leitet diese an den gewünschten Webdienst weiter. Die Identität des benutzten Geräts wird verschleiert und eine verschlüsselte und sichere Verbindung hergestellt. Man unterscheidet zwischen MPLS-VPN oder IPSec-VPN. Bei ersterem handelt es sich um ein in sich geschlossenes, privates IP-Netz, das vom Anbieter zur Verfügung gestellt und komplett gemanagt wird. Bei einem IPSec-VPN erfolgt der Austausch von Daten zwischen den Unternehmensstandorten ebenfalls verschlüsselt, aber über das öffentliche Internet. Hierfür benötigen alle angeschlossenen Standorte einen VPN-Router.

Düsseldorf, 11. Januar 2022 – Auch 2022 muss in der IT das Thema Sicherheit ganz oben auf der Agenda stehen. Sicherheitsexperte CyberArk sieht steigende und zusätzliche Sicherheitsgefahren vor allem im Hinblick auf Open Source, neue Technologien, Ransomware und die Supply Chain. Auch 2022 wird die Zahl von Cyberattacken kaum rückläufig sein. CyberArk nennt vier Angriffsvektoren, die wachsende Bedeutung gewinnen und stärkere beziehungsweise ergänzende Sicherheitsvorkehrungen auf Unternehmens- und Behördenseite erfordern. 1. Open Source Die Nutzung von Open Source Software (OSS) liegt klar im Trend. Die Vorteile sind die hohe Flexibilität und Skalierbarkeit sowie die Innovationskraft. Nahezu alle aktuellen Entwicklungen rund um Cloud Computing, Internet der Dinge, Autonomes Fahren, Big Data oder Künstliche Intelligenz sind Open-Source-basiert. Aber unzählige „offene“ und „kostenlose“ OSS-Bibliotheken bedeuten auch eine dramatisch erweiterte Angriffsfläche. Die Codecov-Attacke im April 2021 hat gezeigt, wie eine einfache Änderung in einer Codezeile eine völlig harmlose Bibliothek in eine bösartige verwandeln kann – und damit jedes Unternehmen, das sie nutzt, in Gefahr bringt. Auch die Log4j-Schwachstelle dürfte die Industrie noch länger in Atem halten.