Einladung für Hacker: Die 5 häufigsten Konfigurationsfehler

Christoph M. Kumpa geht auf die häufigsten Konfigurationsfehler ein, welche Unternehmen unbedingt vermeiden sollten

[datensicherheit.de, 11.10.2020] Zwar nutzten Cyber-Kriminelle immer anspruchsvollere Angriffstechniken, um in Unternehmensnetzwerke einzudringen – oft seien Sicherheitsverletzungen indes auf vermeidbare, häufig übersehene Fehlkonfigurationen zurückzuführen. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf die fünf häufigsten Konfigurationsfehler ein, welche es für Unternehmen zu vermeiden gelte. Durch Fehlkonfigurationen und das Belassen von Geräten oder Plattformen in ihrem Standardzustand hätten Cyber-Kriminelle leichtes Spiel bei ihren Angriffen. Deshalb sollten Unternehmen die nachfolgend genannten Sicherheitsmaßnahmen implementieren, um sich und ihre sensiblen Daten zu schützen.

Bild: Digital Guardian

Christoph M. Kumpa warnt: Leichtes Spiel für Hacker durch Konfigurationsfehler

1. Konfigurationsfehler: Standard-Anmeldeinformationen

„Nicht konfigurierte Standard-Benutzernamen und -Passwörter von Geräten, Datenbanken, und Installationen sind vergleichbar mit dem Hinterlassen des Schlüssels in einer verschlossenen Tür. Selbst Hobby-Hacker können hier mithilfe frei verfügbarer Tools einem Unternehmen weitreichenden Schaden zufügen“, warnt Kumpa.
Standard-Anmeldedaten auf Netzwerkgeräten wie Firewalls, Routern oder sogar Betriebssystemen ermöglichten es Angreifern, simple Passwort-Check-Scanner zu verwenden, um einen direkten Zugang zu erhalten. Bei etwas ausgeklügelteren Attacken führten Hacker eine Reihe von Skript-Angriffen aus, um Geräte mit roher Gewalt zu knacken, indem sie sich entweder auf Standardbenutzernamen und -passwörter oder einfache Kennwörter wie etwa „qwerty“ (entsprechende Buchstabenfolge auf deustchen Tastaturen: „qwertz“) oder „12345“ konzentrierten.

2. Konfigurationsfehler: Mehrfachverwendung von Passwörtern

Kumpa führt aus: „Werden in einer Flotte von Endpunkten auf jedem Gerät dasselbe Benutzerkonto und Passwort verwendet, gibt dies Cyber-Kriminellen die Möglichkeit, jede Maschine anzugreifen, selbst wenn nur eines der Geräte einen Sicherheitsverstoß erlitten hat.“
Von dort aus könnten Angreifer Credential-Dumping-Programme verwenden, um die Passwörter oder sogar die Hashes selbst in die Finger zu bekommen. Unternehmen sollten deshalb die Wiederverwendung von Passwörtern um jeden Preis vermeiden und nicht benötigte Konten deaktivieren.

3. Konfigurationsfehler: Offene Remote Desktop Services und Standard-Ports

Dienste wie das „Remote Desktop Protocol“ (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, böten Administratoren eine Schnittstelle zur Fernsteuerung von Computern. Zunehmend hätten Cyber-Kriminelle dieses offene Protokoll missbraucht, „wenn es nicht richtig konfiguriert war“.
Beispielsweise könne Ransomware wie „CrySiS“ und „SamSam“ Unternehmen über offene RDP-Ports ansprechen, sowohl durch „Brute Force“ als auch durch Dictionary-Angriffe. „Jedes nach außen gerichtete Gerät, das mit dem Internet verbunden ist, sollte deshalb durch einen mehrschichtigen Schutz abgesichert werden, um Zugriffsversuche wie etwa einen Brute-Force-Angriff zu bekämpfen“, empfiehlt Kumpa. Administratoren sollten eine Kombination aus starken, komplexen Passwörtern, Firewalls und Zugriffskontrolllisten nutzen, um die Wahrscheinlichkeit eines Sicherheitsverstoßes zu reduzieren.

4. Konfigurationsfehler: Verzögertes Software-Patching

„Oft machen Zero-Day-Bedrohungen Schlagzeilen, doch die häufigsten Schwachstellen, die durch Cyber-Kriminelle ausgenutzt werden, sind in der Regel digitale Fossilien“, berichtet Kumpa.
Daher sei die Aktualisierung von Betriebssystemen und Patches entscheidend, um einen Sicherheitsverstoß zu verhindern.
Auch wenn täglich zahlreiche Exploits und Schwachstellen gefunden würden und es schwierig sein könne, Schritt zu halten, gelte es für Unternehmen, verzögertes Software-Patching zu vermeiden.

5. Konfigurationsfehler: Ausgeschaltete Protokollierung

Deaktiviertes Logging erlaube es Angreifern nicht unbedingt, in ein System einzudringen, aber es ermögliche ihnen, dort unbemerkt zu agieren. „Einmal eingedrungen, können sich Hacker seitlich durch das Netzwerk bewegen, um nach Daten oder Assets zu suchen, die sie hinausschleusen wollen. Ohne entsprechende Protokollierung hinterlassen sie dabei keine Spuren. Dies schafft eine Nadel im Heuhaufen für IT-Teams bei der Rekonstruktion eines Sicherheitsvorfalls.“
Daher sollte die Protokollierung aktiviert sein und an einen zentralen Ort wie eine SIEM-Plattform (Security Information and Event Management) gesendet werden, empfiehlt Kumpa. Diese Daten lieferten die Spuren, die forensische Analysten während einer Incident-Response-Untersuchung benötigten, um den Angriff nachzuvollziehen und den Einbruch zu erfassen. „Darüber hinaus hilft dies, adäquat auf Bedrohungen zu reagieren, die eine Warnung aufgrund bereits protokollierter Ereignisse auslösen.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl