Aktuelles, Branche - geschrieben von dp am Montag, Oktober 12, 2020 11:19 - noch keine Kommentare
Einladung für Hacker: Die 5 häufigsten Konfigurationsfehler
Christoph M. Kumpa geht auf die häufigsten Konfigurationsfehler ein, welche Unternehmen unbedingt vermeiden sollten
[datensicherheit.de, 11.10.2020] Zwar nutzten Cyber-Kriminelle immer anspruchsvollere Angriffstechniken, um in Unternehmensnetzwerke einzudringen – oft seien Sicherheitsverletzungen indes auf vermeidbare, häufig übersehene Fehlkonfigurationen zurückzuführen. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf die fünf häufigsten Konfigurationsfehler ein, welche es für Unternehmen zu vermeiden gelte. Durch Fehlkonfigurationen und das Belassen von Geräten oder Plattformen in ihrem Standardzustand hätten Cyber-Kriminelle leichtes Spiel bei ihren Angriffen. Deshalb sollten Unternehmen die nachfolgend genannten Sicherheitsmaßnahmen implementieren, um sich und ihre sensiblen Daten zu schützen.
Christoph M. Kumpa warnt: Leichtes Spiel für Hacker durch Konfigurationsfehler
1. Konfigurationsfehler: Standard-Anmeldeinformationen
„Nicht konfigurierte Standard-Benutzernamen und -Passwörter von Geräten, Datenbanken, und Installationen sind vergleichbar mit dem Hinterlassen des Schlüssels in einer verschlossenen Tür. Selbst Hobby-Hacker können hier mithilfe frei verfügbarer Tools einem Unternehmen weitreichenden Schaden zufügen“, warnt Kumpa.
Standard-Anmeldedaten auf Netzwerkgeräten wie Firewalls, Routern oder sogar Betriebssystemen ermöglichten es Angreifern, simple Passwort-Check-Scanner zu verwenden, um einen direkten Zugang zu erhalten. Bei etwas ausgeklügelteren Attacken führten Hacker eine Reihe von Skript-Angriffen aus, um Geräte mit roher Gewalt zu knacken, indem sie sich entweder auf Standardbenutzernamen und -passwörter oder einfache Kennwörter wie etwa „qwerty“ (entsprechende Buchstabenfolge auf deustchen Tastaturen: „qwertz“) oder „12345“ konzentrierten.
2. Konfigurationsfehler: Mehrfachverwendung von Passwörtern
Kumpa führt aus: „Werden in einer Flotte von Endpunkten auf jedem Gerät dasselbe Benutzerkonto und Passwort verwendet, gibt dies Cyber-Kriminellen die Möglichkeit, jede Maschine anzugreifen, selbst wenn nur eines der Geräte einen Sicherheitsverstoß erlitten hat.“
Von dort aus könnten Angreifer Credential-Dumping-Programme verwenden, um die Passwörter oder sogar die Hashes selbst in die Finger zu bekommen. Unternehmen sollten deshalb die Wiederverwendung von Passwörtern um jeden Preis vermeiden und nicht benötigte Konten deaktivieren.
3. Konfigurationsfehler: Offene Remote Desktop Services und Standard-Ports
Dienste wie das „Remote Desktop Protocol“ (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, böten Administratoren eine Schnittstelle zur Fernsteuerung von Computern. Zunehmend hätten Cyber-Kriminelle dieses offene Protokoll missbraucht, „wenn es nicht richtig konfiguriert war“.
Beispielsweise könne Ransomware wie „CrySiS“ und „SamSam“ Unternehmen über offene RDP-Ports ansprechen, sowohl durch „Brute Force“ als auch durch Dictionary-Angriffe. „Jedes nach außen gerichtete Gerät, das mit dem Internet verbunden ist, sollte deshalb durch einen mehrschichtigen Schutz abgesichert werden, um Zugriffsversuche wie etwa einen Brute-Force-Angriff zu bekämpfen“, empfiehlt Kumpa. Administratoren sollten eine Kombination aus starken, komplexen Passwörtern, Firewalls und Zugriffskontrolllisten nutzen, um die Wahrscheinlichkeit eines Sicherheitsverstoßes zu reduzieren.
4. Konfigurationsfehler: Verzögertes Software-Patching
„Oft machen Zero-Day-Bedrohungen Schlagzeilen, doch die häufigsten Schwachstellen, die durch Cyber-Kriminelle ausgenutzt werden, sind in der Regel digitale Fossilien“, berichtet Kumpa.
Daher sei die Aktualisierung von Betriebssystemen und Patches entscheidend, um einen Sicherheitsverstoß zu verhindern.
Auch wenn täglich zahlreiche Exploits und Schwachstellen gefunden würden und es schwierig sein könne, Schritt zu halten, gelte es für Unternehmen, verzögertes Software-Patching zu vermeiden.
5. Konfigurationsfehler: Ausgeschaltete Protokollierung
Deaktiviertes Logging erlaube es Angreifern nicht unbedingt, in ein System einzudringen, aber es ermögliche ihnen, dort unbemerkt zu agieren. „Einmal eingedrungen, können sich Hacker seitlich durch das Netzwerk bewegen, um nach Daten oder Assets zu suchen, die sie hinausschleusen wollen. Ohne entsprechende Protokollierung hinterlassen sie dabei keine Spuren. Dies schafft eine Nadel im Heuhaufen für IT-Teams bei der Rekonstruktion eines Sicherheitsvorfalls.“
Daher sollte die Protokollierung aktiviert sein und an einen zentralen Ort wie eine SIEM-Plattform (Security Information and Event Management) gesendet werden, empfiehlt Kumpa. Diese Daten lieferten die Spuren, die forensische Analysten während einer Incident-Response-Untersuchung benötigten, um den Angriff nachzuvollziehen und den Einbruch zu erfassen. „Darüber hinaus hilft dies, adäquat auf Bedrohungen zu reagieren, die eine Warnung aufgrund bereits protokollierter Ereignisse auslösen.“
Weitere Informationen zum Thema:
datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren