Von unserem Gastautor Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

[datensicherheit.de, 04.09.2020] Das Analystenhaus Gartner ging 2019 davon aus, dass in diesem Jahr mehr als 5,8 Milliarden als IoT (Internet of Things) bezeichnete Geräte in Großunternehmen und der Automobilindustrie allein eingesetzt werden. Die Schätzungen über die gesamte Anzahl der IoT liegt bei etwa 20 Milliarden bis 2022. Die schiere Anzahl birgt leider auch eine Menge Cyber-Risiken. Die Suchmaschine Shodan untersucht speziell IoT mit offenen Ports und wird von beiden Seiten, von Sicherheitsexperten aber auch Cyberkriminellen, für die Recherche genutzt. Weitere Suchmaschinen dieser Art sorgen dafür, dass die Angreifer den Verteidigern, wenn sie ihre Hausaufgaben bezüglich der Erkennung ihrer IoT im Netzwerk nicht machen, überlegen sind. Sicherheitsverantwortliche müssen daher einerseits einen kompletten Überblick über alle im Netzwerk befindlichen IoT haben, andererseits aber auch einschätzen können, von welchen dieser Geräte das größte Sicherheitsrisiko ausgeht.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

Die Device-Cloud von Forescout beinhaltet detaillierte Informationen über mittlerweile mehr als 11 Millionen Geräte von über 1.200 Organisationen. Durch die Analyse dieses Datenbestands konnte das Unternehmen in seinem jüngsten Report untersuchen, wie Cyberrisiken auf einzelnen IoT-Geräten auf der Grundlage von sechs quantifizierbaren Risikofaktoren modelliert werden können – all dies auf automatisierte und kontinuierliche Weise. Vorstände und Führungskräfte wollen heute genau wissen und besonders messen, wo sich ihr höchstes Cyberrisiko befindet.

Die Notwendigkeit, Betriebssysteme zu patchen, den Zugang zu Netzwerkdiensten einzuschränken und IoT-spezifische Betriebssysteme unter Kontrolle zu halten, wird nicht so bald verschwinden.

Verteilung der Betriebssystemkategorien nach Branchenvertikalen

Windows und verschiedene Linuxderivate dominieren die Betriebssystemkategorien in allen Unternehmensbereichen, wobei Windows-Betriebssysteme allein mehr als 50 Prozent der Gesamtzahl ausmachen. Diese Betriebssysteme werden in den meisten Workstations, Servern und sogar einigen eingebetteten Geräten verwendet, so dass ihre weitverbreitete Präsenz keine Überraschung ist. Was Macintosh- und UNIX-Betriebssysteme betrifft, so sind sie weniger populär, wobei Macintosh vor allem in Laptops und Workstations auftaucht und UNIX-Varianten immer noch einen beträchtlichen Teil der IT-Server ausmachen, insbesondere in der Fertigung. Netzwerkausrüstung mit Cisco-OS (eine Gruppe, die mehrere Varianten von Betriebssystemen umfasst, die in Cisco-Ausrüstung verwendet werden, wie zum Beispiel IOS) ist die drittgrößte Gesamtkategorie, was die Herstellerhomogenität von Netzwerkumgebungen unterstreicht. Interessant ist, dass diese netzwerkspezifischen Betriebssysteme in mehr als zehn Prozent der Geräte in der Finanzdienstleistungs- und Gesundheitsbranche auftauchen: Den beiden Branchen mit dem höchsten Anteil an Netzwerkgeräten.

Mit durchschnittlich mehr als 37 Schwachstellen pro Jahr, die im letzten Jahrzehnt alleine bei Versionen von Cisco IOS gefunden wurden, ist dies eine Kategorie von Betriebssystemen, der Sicherheitsteams besondere Aufmerksamkeit widmen sollten.

Es folgen die mobilen Betriebssysteme (iOS und Android), was ein Indikator für die Anwendung mobiler Geräte in modernen Unternehmensumgebungen ist, insbesondere in der Regierung, wo iOS- und Android-Geräte zusammen mehr als 15 Prozent der Geräte ausmachen. Mobile Bedrohungen entwickeln sich rasch weiter. Obwohl viele Sicherheitsteams nach wie vor der Meinung sind, dass mobile Bedrohungen auf persönliche Geräte und Endbenutzer abzielen, erlitten 33 Prozent der Organisationen 2018 einen Sicherheitsvorfall mit mobilen Geräten, wobei 60 Prozent von ihnen den Vorfall als schwerwiegend einstuften.

Legacy Windows-Bedrohung

Da Windows in allen Branchenvertikalen das beliebteste Betriebssystem ist, wurden seine Versionen zusammen mit zwei wichtigen aktuellen Sicherheitslücken, welche das Betriebssystem betreffen, genauer analysiert. Die nachstehende Abbildung zeigt den Prozentsatz der Geräte in jeder Vertikalen, auf denen nicht unterstützte Versionen von Windows laufen. Das bedeutet alle Versionen vor Windows 7, wie Vista und XP, sowie diejenigen, auf denen Versionen ausgeführt werden, welche

lediglich über das Extended Security Updates (ESU)-Programm unterstützt werden. Das heißt alle Versionen von Windows 7 ab dem 14. Januar 2020.

Verteilung von Windows-Legacy-Geräten, Bild: Forescout

Obwohl die wirklich veralteten und nicht unterstützten Versionen jeweils weniger als einen Prozent der Geräte in jeder Branche ausmachen (mit dem Einzelhandel an der Spitze und den Behörden weit dahinter), ist der Prozentsatz der über ESU unterstützten Versionen besorgniserregend. Dies gilt insbesondere für das Gesundheitswesen, wo mehr als 35 Prozent der Windows-Geräte in diese Kategorie fallen. Das ESU-Programm sollte ein letzter Ausweg für Organisationen sein, die ihre Geräte nicht aufrüsten können. Beispielsweise wird die deutsche Regierung im Jahr 2020 mindestens 800.000 Euro zahlen müssen, um mehr als 33.000 Arbeitsplätze auf dem neuesten Stand zu halten.

Die alleinige Existenz eines Unterstützungsprogramms für ein bestimmtes Betriebssystem reicht nicht aus, um zu garantieren, dass die Geräte gepatcht werden. Der Prozentsatz der verwalteten Windows-Geräte, die für BlueKeep (CVE-2019-0708) oder CurveBall (CVE-2020-0601) anfällig sind, ist nicht zu unterschätzen. Diese sind zwei schwerwiegende Beispiele für Schwachstellen, die 2019 bzw. 2020 aufgedeckt wurden. BlueKeep erlaubt entfernte Codeausführung und kann verwendet werden, um Malware zu erstellen, welche sich automatisch verbreitet, während CurveBall eine kryptografische Schwachstelle ist, die es Angreifern ermöglichen kann, Benutzer zu täuschen, damit sie glauben, dass bösartiger Code legitim ist.

Es ist bemerkenswert, dass, obwohl BlueKeep im Mai 2019 gemeldet wurde, im September 2019 ein Metasploit-Exploit verfügbar war und aktive Angriffe im November 2019 bestätigt wurden. Fast 30 Prozent der verwalteten Windows-Geräte in der Finanzdienstleistungsbranche laufen immer noch mit potenziell anfälligen Betriebssystemen. Diese Zahl ist viel höher als in jeder anderen Branche, in der die Zahlen zwischen vier und sieben Prozent liegen, mit Ausnahme des Gesundheitswesens. Interessanterweise ist die Rangfolge für beide Schwachstellen nicht korreliert, da sich die von den jeweiligen Problemen betroffenen Betriebssystemversionen gegenseitig ausschließen. Bei CurveBall, einer in jüngerer Zeit gemeldeten Schwachstelle, die moderne Windows-Versionen (Windows 10 und Windows 2016) betrifft, sind die Zahlen im Allgemeinen höher (12-22 Prozent), mit Ausnahme des Bereichs Finanzdienstleistungen, in dem CurveBall weniger verbreitet ist als BlueKeep.

Fazit

Um Sicherheitsrisiken durch aktuelle Schwachstellen zu minimieren, sollten Unternehmen zuerst alle Geräte in ihrem Netzwerk inventarisieren. Sie müssen Kontrollen zur Risikominderung durchsetzen und Patch-Updates priorisieren. Segmentierung, Isolierung und Kontrolle des Netzwerkzugriffs für gefährdete Geräte tragen zur Risikominderung bei. Automatische Alarme zur Information von IT-Sicherheitsabteilungen und Incident Response-Teams helfen dabei, die Spreu vom Weizen zu trennen und die wichtigsten Sicherheitsvorfälle frühzeitig zu erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2020
IT-Sicherheit: Netzwerksegmentierung, Cloud Services und Compliance

datensicherheit.de, 08.06.2020
IT-Sicherheit: Fragen zur Anpassung an die heutige Remote-Arbeitsumgebung

[datensicherheit.de, 02.06.2020] „vpnMentor.com“ ist nach Angaben des Betreibers „die weltweit größte VPN-Überprüfungs-Website“. Das eigene Sicherheitsforschungslabor ist demnach ein sog. Pro-Bono-Service, welcher der Online-Gemeinschaft helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen, und gleichzeitig Organisationen über den Schutz der Daten ihrer Benutzer aufklärt. In einem aktuellen Bericht wird auf die Entdeckung von drei Schwachstellen in der Firewall-/VPN-Technologie des Cyber-Sicherheitsanbieters Cyberoam (a Sophos Company) eingegangen – diese beträfen das „E-Mail-Quarantänesystem“, welches ohne Authentifizierung erreichbar sei.

Abbildung: vpnMentor

vpnMentor-Report „Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover“

In kurzer Folge drei Schwachstellen in Cyberoam-Produkten gefunden

Die Schwachstellen seien von verschiedenen unabhängig voneinander arbeitenden Forschern entdeckt worden. Über die erste Schwachstelle sei Ende 2019 berichtet worden, während die zweite Anfang 2020 von einem anonymen „ethischen Hacker“ mit vpnMentor geteilt worden sei. Sophos habe bereits „Hotfixes“ zur Behebung dieser beiden Schwachstellen veröffentlicht. Nach Bestätigung der Ergebnisse habe das eigene Team dann noch eine dritte, bisher ebenfalls unbemerkt gebliebene Schwachstelle entdeckt.
Diese Schwachstellen könnten sowohl unabhängig voneinander als auch in ihrer Gesamtheit ausgenutzt werden, indem eine böswillige Anfrage gesendet werde, welche es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen würde, beliebige Befehle auszuführen.

Jedes von Cyberoam-Firewalls geschützte Gerät hätte ausgenutzt werden können

Cyberoam entwickle hauptsächlich Technologielösungen für große Unternehmen sowie internationale Organisationen und integriere sie in umfangreichere Netzwerke. Die Software werde normalerweise am Rand eines Netzwerks platziert und umgebe dieses mit zahlreichen Sicherheitstools. Im Wesentlichen bilde sie ein Gateway, welches den Zugriff für Mitarbeiter und andere berechtigte Parteien ermöglichen und gleichzeitig jeden unberechtigten Eintritt in ein Netzwerk blockieren solle.
Der Hauptdefekt in der Sicherheit von Cyberoam habe nun zwei separate Sicherheitslücken in der Art und Weise betroffen, wie E-Mails auf einem Cyberoam-Gerät aus der Quarantäne freigegeben werden. Beide nicht miteinander in Zusammenhang stehenden Probleme hätten dazu verwendet werden können, Hackern Zugriff auf Geräte zu gewähren – in letzter Konsequenz also jedes von Cyberoam-Firewalls geschützte Gerät auszunutzen. Das erste Problem sei gegen Ende des Jahres 2019 entdeckt, an Sophos gemeldet und von Sophos sowie Cyberoam umgehend behoben worden.

Möglicher Hacker-Zugriff über webbasierte Cyberoam-Firewall-Oberfläche

Das zweite Problem sei von einem anonymen Hacker mit ethischen Grundsätzen mitgeteilt worden. Nachdem das interne Team des eigenen Forschungslabors unter der Leitung von Nadav Voloch diese vom anonymen Hacker gemeldete Sicherheitslücke überprüft hatte, habe Nadav die Überprüfung der früheren Offenlegung der Sicherheitslücke und der Cyberoam-Server-Schnittstellen fortgesetzt. Er habe dann feststellt, dass die Geräte von Cyberoam Standardkennwörter unterstützten. Insgesamt handele es sich dabei um zwei separate, nicht authentifizierte Sicherheitslücken in der E-Mail-Quarantäne-Funktion, die innerhalb von sechs Monaten entdeckt worden seien, und zusätzlich noch die Unterstützung von Standardkennwörtern. Man habe sodann mit Cyberoam zusammengearbeitet, indem ein Zeitplan für die Offenlegung und eine Patch-Umgehung koordiniert worden seien.
Im Grunde genommen ermöglichten diese Sicherheitslücken bösartigen Hackern indirekten Zugriff auf jedes Sicherheitsgerät von Cyberoam über die zentrale webbasierte Firewall-Oberfläche des Betriebssystems. Dies sei aufgrund eines Fehlers bei der Einrichtung des Zugriffs auf Benutzerkonten auf ihren Geräten möglich geworden. Für die Ausnutzung dieser Sicherheitslücken sei keine Authentifizierung erforderlich gewesen. Ein Angreifer habe lediglich die IP-Adresse des anfälligen Cyberoam-Geräts kennen müssen, um eine zuverlässige „Shell“ ohne Abstürze zu erhalten. „Sobald Hacker Remote-Zugriff auf die Cyberoam-OS-Shell erhalten, können sie indirekt auf jede Serverdatei zugreifen und das gesamte Netzwerk überwachen.“ Dies sei auch eine privilegierte Position, um auf andere Geräte zuzugreifen, die mit demselben Netzwerk verbunden sind – oft eine ganze Organisation.

Mindestens 170.000 einzelne Cyberoam-Firewalls mit Internet-Verbindung potenziell betroffen

vpnMentors eigene Untersuchung des Ausmaßes der Sicherheitsanfälligkeit habe gezeigt, dass mindestens 170.000 einzelne Firewalls mit Internet-Verbindung potenziell von der Sicherheitsanfälligkeit betroffen gewesen seien. Jede einzelne fungiere als potezieller Zugang zu Tausenden von unabhängigen Organisationen auf der ganzen Welt.
Da Cyberoam-Geräte und -VPNs oft als grundlegendes Sicherheits-Gateway zum Schutz großer Netzwerke verwendet würden, hätte jede Sicherheitsanfälligkeit in ihrer Software schwerwiegende Auswirkungen auf ein betroffenes Netzwerk. Hacker könnten sich dann theoretisch einfach in andere Geräte in diesem Netzwerk einschalten und jeden angeschlossenen Computer, Laptop, Telefon, Tablet oder Smart Device steuern.

Cyberoam-Geräte auf „Shodan“ zu lokalisieren

Hacker könnten Cyberoam-Geräte recht einfach aufspüren, da die Informationen über die Internet-Suchmaschinen wie „Shodan“ und „ZoomEye“ öffentlich zugänglich seien. Diese speziellen Suchmaschinen dienten dem Auffinden für mit dem Internet verbundene Geräte, mit denen jedes in einem Netzwerkbereich betriebene Gerät (oder jeder Server) sowie dessen Standort über eine IP-Adresse angezeigt werden könnten.
Mithilfe von „Shodan“ z.B. seien die IP-Adressen von ungefähr 86.000 Cyberoam-Geräten einfach herausgefiltert worden – vermutlich „nur ein kleiner Bruchteil der tatsächlichen Größe des Netzwerks“, denn es gebe viel mehr versteckte Geräte, welche nicht mit dem Internet verbunden seien und sich in nicht standardmäßigen Konfigurationen befänden.

Trotz Behebung der Schwachstellen könnte Cyberoam weiter im Visier sein

Die Gefahren seien ziemlich ernstzunehmen. Eine erfolgreiche Ausbeutung hätte es böswilligen Angreifern ermöglichen können, unbefugten Zugang zu und Kontrolle über 100.000 potenziell sensible Unternehmensnetzwerkgeräte auf der ganzen Welt zu erlangen. Der Zugriff auf ein ganzes Netzwerk und die Kontrolle darüber würde es ermöglichen, eine große Bandbreite an Betrug, Angriffen und Diebstahl zu begehen:

• Diebstahl privater Daten
• Netzwerk-, Konto- und Geräteübernahme
• böswillige Manipulation legitimer Netzwerkpakete

Glücklicherweise seien diese Schwachstellen noch rechtzeitig entdeckt und gegenüber Sophos verantwortungsbewusst aufgedeckt und offengelegt worden, worauf schnell reagiert und „Hotfixes“ erstellt worden seien. „Wären diese Schwachstellen von kriminellen Hackern entdeckt worden, hätten die Auswirkungen auf die betroffenen Netzwerke katastrophal sein können.“ Konkret: „Wenn diese Sicherheitslücke schließlich von kriminellen oder böswilligen Hackern entdeckt worden wäre, hätte sie zu direkten Angriffen auf das Netzwerk von Cyberoam, ihre Partner und die Kunden der Partner führen können.“ Diese Sicherheitsanfälligkeit seien zwar behoben worden, aber Cyberoam könnte jedoch immer noch mit erhöhter Aufmerksamkeit von Hackern konfrontiert werden, welche sich der beständigen Fehler in den Sicherheitsprotokollen bewusst seien und nach weiteren Fehlern in anderen Bereichen suchten.

Cyberoam-Benutzer sollten sich der früheren Sicherheitslücken bewusst sein

Wer derzeit ein Cyberoam-Sicherheitsgerät verwendet, möge sicherstellen, den neuesten Sicherheitspatch von Sophos zu erhalten und zu installieren. Ferne sei darauf zu achten, dass niemand im Netzwerk mehr die von Cyberoam ursprünglich bereitgestellten Standard-Anmeldeinformationen verwendet oder dass die noch verwendeten manuell deaktiviert sind. Als ethische Hacker seien sie verpflichtet, ein Unternehmen zu informieren, wenn Schwachstellen in dessen Online-Sicherheit entdeckt werden. Eben genau das habe man in diesem Fall getan: Sobald sie auf diese Umgehung aufmerksam gemacht wurden, hätten sie sich an Cyberoam und Sophos gewandt – „nicht nur, um sie über die Schwachstelle zu informieren, sondern auch, um ihnen zu erklären, wie sie funktioniert“.
Sophos habe schnell geantwortet und der Prozess zur Behebung des Problems sofort begonnen. Die vpnMentor-Ethik bedeute aber auch, Verantwortung gegenüber der Öffentlichkeit zu tragen: Cyberoam-Benutzer müssten sich der früheren Sicherheitslücken bewusst sein, von denen auch sie betroffen gewesen seien. Der Zweck des eigenen Forschungslabors sei es, „das Internet für alle Benutzer sicherer zu machen“. Man tue sein Bestes, um sensible Benutzerdaten geheim zu halten, „indem wir weit verbreitete Software-Fehler wie diesen finden und aufdecken“.

Weitere Informationen zum Thema:

vpnMentor, 14.05.2020
Report: Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover

vpnMentor
Blog

datensicherheit.de, 08.05.2020
VPN-Anbieter HMA führt No-Logs-Richtlinie ein

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

[datensicherheit.de, 10.04.2020] Das SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen, konnte über die eigenen Systeme einen Anstieg von Angriffen auf RDP entdecken. Die Suchmaschine Shodan zeigt gleichzeitig eine Zunahme von exponierten RDP-Servern im Monat März.

Ergebnisse für März besorgniserregend

Die Ergebnisse für März sind besorgniserregend, da sie auch mit der massiven Zunahme von Unternehmen weltweit zusammenfallen, die ihre Mitarbeiter ins Home-Office geschickt haben. Aufgrund der raschen Ausbreitung von COVID-19 mussten sie ihre Büros schließen und ihren Mitarbeitern die Möglichkeit geben, von zu Hause aus zu arbeiten. Nur so konnten sie die Beschränkungen der sozialen Distanzierung einzuhalten. Es ist zu befürchten, dass einige Unternehmen und Behörden RDP eingeführt und damit vertrauliche Systeme dem öffentlichen Internet ausgesetzt haben, ohne diese abzusichern.

Bild: SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute, berichtet: „Die Anzahl der Quell-IP-Adressen, die von Angreifern verwendet werden, um das Internet nach RDP zu durchsuchen, stieg im März um etwa 30 Prozent. Das ist eine Erhöhung von durchschnittlich 2.600 angreifenden IP-Adressen auf etwa 3.540 pro Tag in den absoluten Zahlen. RDP ist kein Protokoll, das robust genug ist, um dem Internet ausgesetzt zu werden. Infolgedessen sehen wir jetzt Angreifer, die aktiv mit schwachen Zugangsdaten handeln, die sie für diese RDP-Server identifiziert haben. Ein kompromittierter RDP-Server kann zu einer vollständigen Kompromittierung des exponierten Systems führen und wird wahrscheinlich dazu benutzt werden, weitere Systeme innerhalb des Netzwerks anzugreifen und auszunutzen.“

Das Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Protokoll, welches Benutzern eine grafische Oberfläche bietet, um über eine Netzwerkverbindung eine Verbindung zu einem anderen Computer herzustellen. Es ist eine kostengünstige und einfache Möglichkeit für Unternehmen, Mitarbeitern das Arbeiten aus der Ferne zu ermöglichen. Der Benutzer verwendet zu diesem Zweck RDP-Client-Software, während auf dem anderen Computer RDP-Server-Software ausgeführt werden muss.

Zugriff nach Möglichkeit nur über VPN

Unternehmen, die RDP implementiert haben, rät Ullrich: „Verwenden Sie eindeutige, lange und zufällige Kennwörter, um Ihre RDP-Server zu sichern, und bieten Sie nach Möglichkeit nur Zugriff über ein VPN. Microsoft bietet auch RDP-Gateways an, mit dem sich starke Authentifizierungsrichtlinien implementieren lassen. Sie können versuchen, den Zugriff auf RDP von bestimmten IP-Adressen aus einzuschränken, wenn Sie im Moment nicht in der Lage sind, ein VPN zu implementieren. Dies kann jedoch schwierig sein, wenn Ihre Administratoren derzeit von zu Hause aus mit dynamischen IP-Adressen arbeiten.“

„Eine andere Möglichkeit ist die Verwendung eines Cloud-Servers als Ausgangsbasis“, führt Ullrich aus. „Stellen Sie den Cloud-Server auf eine Whitelist und verwenden Sie sichere Protokolle wie SSH, um sich mit dem Cloud-Server zu verbinden. Diese Technik kann als Schnelllösung funktionieren, wenn Sie keine Ausfallzeiten riskieren wollen, während alle Mitarbeiter aus der Ferne arbeiten. Viele Organisationen sind derzeit nicht bereit, einen Verlust des Zugangs zu geschäftskritischen Systemen zu riskieren. Die Änderung von Fernzugriffs- und Firewall-Regeln kann zu einem Verlust des Zugriffs führen, der in einigen Fällen nur durch Personal vor Ort wiederhergestellt werden kann.“

SANS hat erkannt, dass das Coronavirus Unternehmen und Behörden auf der ganzen Welt dazu veranlasst hat, ihre Belegschaft vom Büro ins Home-Office zu schicken. Allerdings fehlen vielen Organisationen die Richtlinien, Ressourcen oder Schulungen, um ihre Mitarbeiter in die Lage zu versetzen, dies sicher zu tun. Aus diesem Grund bietet die Organisation seit dem 16. März das Deployment Kit „Securely Working from Home“ kostenlos an. Das Kit bietet Unternehmen eine Schritt-für-Schritt-Anleitung, wie sie schnell ein Schulungsprogramm für ihre Mitarbeiter an entfernten Standorten einrichten können. Alle Schulungsmaterialien und -ressourcen, die zur Absicherung einer mehrsprachigen Remote-Belegschaft erforderlich sind, sind in dem Kit enthalten.

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

datensicherheit.de, 19.02.2020
SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit

[datensicherheit.de, 28.03.2017] Intelligente Stromzähler, sogenannte „Smart Meter“, sind kürzlich in die Schlagzeilen geraten, nachdem Tests demonstriert hatten, dass sie ungenaue Messwerte liefern. Vor allem Unternehmen hätten bereits intelligente Messsysteme implementiert oder seien gerade im Begriff, dies zu tun, so Markus Auer, „Regional Sales Manager DACH“, ForeScout Technologies. Der Gesetzgeber schreibe allen größeren Unternehmen in Deutschland vor, bis Jahresende 2017 auf solche Systeme umzurüsten – mit dem Ziel, den Energieverbrauch und den CO2-Ausstoß zu senken.

Fehlende Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen

„Smart Meter“ seien ein gutes Beispiel für die enormen Chancen, die das Internet der Dinge (IoT) berge, sagt Auer: „Es bringt rapiden technischen Fortschritt, der neben zahlreichen Aspekten unseres Alltags auch die Geschäftstätigkeit von Unternehmen verändert. Intelligente Messsysteme tragen dazu bei, ,Green IT‘ und nachhaltige Betriebskonzepte zu realisieren, doch ihre Einführung hat Folgen, die bedacht werden müssen.“
An der Lösung der Messprobleme arbeiteten Wissenschaftler bereits, doch wesentlich beunruhigender seien die fehlenden Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen. Den IT-Verantwortlichen müsse klar sein, dass die Nutzung von IP-Netzen durch das IoT Auswirkungen auf den Sicherheitsstatus des Unternehmens habe. Jeder intelligente Zähler sei ein Endpunkt im Netzwerk und müsse für die IT-Abteilung sichtbar gemacht werden.

IT-Sicherheitsstrategie an IoT anpassen!

„Der entscheidende Punkt ist, dass intelligente Geräte leicht angreifbar sind: Tests zeigen, wie einfach es ist, IoT-Endpunkte als Angriffsvektor zu missbrauchen, um in Netzwerke einzudringen“, unterstreicht Auer. Durch simples Spoofing der MAC-Adresse könnten sich Cyber-Kriminelle Zugriff auf ein Gerät verschaffen und dann das Unternehmen attackieren.
Die deutschen Unternehmen müssten auf intelligente Messsysteme umstellen, gleichzeitig aber auch Wege finden, um die IoT-Geräte in ihren Netzen zu sehen und abzusichern. Andernfalls gingen sie „hohe Risiken“ ein. „Wenn die IT-Sicherheitsstrategie nicht an das IoT angepasst wird, wird es zum Türöffner für groß angelegte Netzwerkangriffe und kann den Diebstahl personenbezogener Daten ermöglichen“, so Auers Warnung.

„Shodan“ findet ungeschützte IoT-Geräte

Ungeschützte IoT-Geräte seien einfach aufzuspüren: Über Online-Suchmaschinen wie „Shodan“ könne jeder Benutzer mithilfe verschiedener Filter bestimmte Arten von Geräten finden, die mit dem Internet verbunden sind.
Intelligente Zähler seien nun „nur eine Art von Geräten, die online gefunden werden können“. Viele Unternehmen hätten auch schon andere Geräte wie Drucker, VoIP-Telefone oder „Smart TVs“ mit ihren Netzwerken verbunden, ohne sich ausreichend um deren Sicherheit zu kümmern. Viele dieser Geräte hätten proprietäre Betriebssysteme und ließen keine Installation von Patches und keine clientbasierten Sicherheitsmaßnahmen zu.

Bild: ForeScout Technologies

Markus Auer: Im gesamten Netzwerk Richtlinien durchsetzen und Compliance gewährleisten!

Agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einsetzen!

Die „Best Practice“ in diesem Zusammenhang bestehe darin, eine agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einzusetzen. Solche Lösungen erforderten keine Installation von Clients oder Agenten und eigneten sich für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen) sowie standortferne und nur gelegentlich verbundene Geräte, wie etwa solche aus dem IoT.
Solche Lösungen befähigten Unternehmen, alle Geräte im Netzwerk zu sehen und zu überwachen. „Da sie in der Lage sind, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheitstools auszutauschen, können im gesamten Netzwerk Richtlinien durchgesetzt und Compliance gewährleistet werden“, betont Auer. So blieben Informationen in den richtigen Händen und die Gefahr von Datendiebstahl werde reduziert – auch dann, wenn Daten von IoT-Endpunkten aufgezeichnet würden.

Weitere Informationen zum Thema:

SWR Aktuell, 09.03.2017
„Smart-Meter“ getestet / Intelligente Stromzähler verzählen sich

ForeScout
KNOW YOUR IoT SECURITY RISK / How Hackable is Your Smart Enterprise?

datensicherheit.de, 04.01.2017
Wachsende Bedrohung: Industrielle Steuerungssysteme und IoT im Fadenkreuz

datensicherheit.de, 26.10.2016
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht

[datensicherheit.de, 20.02.2016] Ein von KASPERSKY lab durchgeführter Test mit dem Titel „How I hacked my hospital“ hat nach eigenen Angaben aufgezeigt, dass Cybererpressung über Ransomware nicht der einzige wunde Punkt innerhalb der Krankenaus-IT ist. Auch Patientendaten und Geräte seien angreifbar.

Vielfältige Angriffsszenarien für Krankenhäuser

In den letzten Tagen wurden Schadensvorfälle an deutschen Krankenhäuser aufgrund von Angriffen mit Ransomware-Vorfällen publik. Laut Medienberichten hätten zeitweise Befunde per Telefon oder Fax anstatt in digitaler Form übermittelt werden müssen.
Cyberangriffs-Szenarien auf Krankenhäuser gehen allerdings über solche Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken könnten Patientendaten manipuliert oder entwendet werden. Bei den in Krankenhäusern verwendeten modernsten medizinischen, mit Computertechnologie ausgestatteten Geräten würden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt, erklärt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab. Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.

KASPERSKY-Experiment zeigt Bedeutung von „Shodan“

KASPERSKY lab hat laut Sergey Lozhkin in einem Experiment aufzeigen können, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar seien.
Über „Shodan“ — eine Suchmaschine für das Internet der Dinge (IoT) — sei der Sicherheitsforscher auf medizinische Geräte in einem Krankenhaus gestoßen, dessen Geschäftsführer mit Lozhkin befreundet sei. Lozhkin habe mit ihm beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich sei. Dieser Test habe unter strengsten Rahmenbedingungen stattgefunden. Patienten sowie deren sensible Daten seien hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt gewesen. Für den Test seien speziell Test-Daten geschaffen und im Netzwerk platziert worden; so sei sichergestellt gewesen, keine realen Patientendaten anzutasten.

WLAN als Schachstelle

Der erste Versuch sei noch gescheiterte – Lozhkin sei es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die
Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen getroffen hätten. Allerdings habe er sich dann über ein nicht sicher eingerichtetes lokales WLAN in die Infrastruktur des Krankenhauses Zugang verschafft. Indem er den Netzwerkschlüssel geknackt habe, sei er in der Lage gewesen, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle habe er zudem auf einen tomographischen Scanner zugreifen können.
Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können, so Lozhkin.

KASPERSKYs Sicherheitsempfehlungen für Krankenhäuser

Organisationen, die sensible Infrastruktursysteme unterhalten, sollten neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk laut KASPERSKY lab auf folgende Sicherheitsaspekte achten:

• Sensible Geräte und Systeme wie zum Beispiel medizintechnische Apparate müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
• Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
• Auf Sicherheits-Schwachstellen achten: Entwickler von „IoT“-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2016
Locky-Attacken: Vorsorgemaßnahmen gegen Cybererpressung

KASPERSKA lab DAILY, 11.02.2016
Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt

Kaspersky Lab auf YouTube, 09.02.2016
How I hacked my hospital