Wenn die NSA sich zum Thema Cyber Security äussert, dann hört man hin. Also haben wir das Cyber Security-Bulletin der NSA und der CISA unter die Lupe genommen – und verraten dir die zehn wichtigsten Cybersicherheitsfehler bei Konfigurationen.
Nur hereinspaziert: Fehler rund ums Thema Zugriff
1. Umgehung von Zugriffskontrollen im System
Angreifer*innen können Zugriffskontrollen austricksen, indem sie alternative Methoden zur Authentifizierung kompromittieren. Dies ermöglicht es ihnen, gestohlene Informationen zu verwenden, um sich im Netzwerk fortzubewegen, ohne entdeckt zu werden. So können sie sich beispielsweise mit einem gestohlenen «virtuellen Pass» (ein sogenannter Hash) als jemand anderen ausgeben und werden vom System als legitimer User angeschaut.
2. Schwache oder falsch konfigurierte MFA-Methoden
Keine Sicherheitsprobleme dank Multifaktor-Authentifizierung (MFA)? Falsch gedacht! Sind diese nämlich schlecht konfiguriert, führt das zu Sicherheitsproblemen. So werden nämlich Phishing-Angriffe möglich, bei denen Angreifer*innen versuchen, MFA-Informationen abzugreifen. Unzureichende MFA kann auch durch Voice Phishing, Exploits von Schwachstellen im SS7-Protokoll oder "SIM Swap"-Techniken gefährdet sein, wodurch Bedrohungsakteure*innen den MFA-Schutz umgehen können.
3. Unzureichende Zugriffskontrollen für Netzwerkfreigaben und -dienste
Stell dir vor, in der Sicherheitskontrolle am Flughafen sässe ein*e Kriminelle*r – er bzw. sie könnte nach Lust und Laune seine bzw. ihre Komplizen*innen durchwinken. Ähnlich verhält es sich mit unzureichenden Zugriffskontrollen für Netzwerkfreigaben: Angreifer*innen können nach Netzwerkfreigaben suchen, darauf zugreifen und sich so schlussendlich selbst «ins Flugzeug» lassen. Das kann böse enden – insbesondere, wenn sensible Informationen oder Passwörter auf gemeinsamen Laufwerken gefunden werden - Stichwort Datenschutz.
Auf Sand gebaut: 3 Fehler beim Netzaufbau
4. Unzureichende Trennung von Benutzer*innen- /Administrator*in-rechten
Administratoren*innen haben oft die Tendenz, Konten mit übermässigen Berechtigungen auszustatten – ist natürlich bequemer, alles zu erlauben als genau hinzusehen. Aber halt auch gefährlich: Denn so können Benutzer*innen mehr sehen oder tun, als für ihre Aufgaben erforderlich ist. So wird das Risiko von unbefugtem Zugriff und privilegierten Eskalationen erhöht – und Angreifer*innen können durch die Kompromittierung eines Kontos einen umfassenden Zugang zum Netzwerk erhalten.
5. Unzureichende interne Netzwerküberwachung
Sind Host- und Netzwerksensoren ineffektiv konfiguriert, kann keine zureichende Überwachung sichergestellt werden – das erschwert die Erkennung von Angriffen. Denn so können Angreifer*innen unbemerkt im Netzwerk agieren. Klingt etwas abstrakt, daher an dieser Stelle ein Beispiel: Setzt deine Organisation Host-basierte Überwachung, jedoch keine Netzwerk-Überwachung ein, bedeutet das, dass sie zwar infizierte Hosts identifizieren kann, aber nicht den Ursprung der Infektion.
6. Fehlende Netzwerksegmentierung
Benutzer*innen-, Produktions- und kritische Systemnetzwerke sollten anhand klarer Sicherheitsgrenzen voneinander getrennt sein – wie zum Beispiel auch die verschiedenen Sicherheitsstufen eines Gefängnisses voneinander getrennt werden. Ansonsten ist es für Angreifer*innen ein leichtes, sich lateral im gesamten System zu bewegen – und plötzlich steht der Insasse im Büro des Gefängnisdirektors. Insbesondere die fehlende Segmentierung zwischen IT- und operativen Technologieumgebungen (OT) macht OT-Netzwerke anfällig. Ausserdem kommt es oftmals vor, dass selbst mit Trennungen noch Schlupflöcher auftauchen können – weil sie beispielsweise vergessen werden.
Selbst an die Nase nehmen: 4 Anwenderfehler
7. Standardkonfigurationen von Software und Anwendungen
Hand aufs Herz: Wer – ausser vielleicht ein IT-Pro – ist nicht zu bequem, um die Werkseinstellungen eines Geräts punkto Sicherheit zu optimieren? Genau, entsprechend viele verwenden Standardkonfigurationen von Software und Anwendungen. Und das ist ein Risiko, besonders wenn Default-Anmeldeinformationen im Spiel sind. Denn über einfache Web-Suchanfragen erlangen Angreifer*innen ganz locker Zugriff auf Geräte. Doch nicht nur das: Sie können sich sogar Zugriff auf sensible Informationen und kritische Systeme verschaffen, wenn Werkseinstellungen und Default-Anmeldeinformationen nicht geändert wurden.
8. Schlechtes Patch-Management
Klar, Updates können lästig sein. Sie sind aber ein notwendiges «Übel». Schliesslich sind sie die Reaktion seitens der Hersteller auf bekannte Schwachstellen und Fehler. Und diese sind meistens auch Angreifern*innen bekannt. Reagiert man als Unternehmen also nicht, ist das eigentlich schon fast eine Einladung an die Angreifer*innen: Diese können sich auf bereits bekannte Schwachstellen in öffentlich zugänglichen Anwendungen stützen, um unbefugten Zugriff zu erlangen.
9. Schlechte Kennworthygiene
Wichtiger als die persönliche Hygiene ist – im Kontext der Cyber Security zumindest – die Kennwort-Hygiene. Verwendet man nämlich leicht erratbare, kurze Passwörter (oder befolgt andere Regeln der Kennworthygiene nicht) erleichtert das Angreifern*innen, Zugangsdaten zu erhalten und für verschiedene Angriffsphasen zu verwenden.
10. Uneingeschränkte Codeausführung
Erlaubt man die Ausführung von nicht überprüften Programmen auf Computern, öffnet man Tür und Tor für Angreifer*innen. Sie könnten schädliche Programme im Netzwerk starten, indem sie unsichere Skripte nutzen, nicht überprüfte Anwendungen einschleusen oder Sicherheitslücken in Programmen ausnutzen. Das kann zu Angriffen auf die Netzwerkinfrastruktur führen oder sogar ein ganzes Computersystem gefährden.
Nur für IT-Pros mit Olympia-Aspirationen
Du hast noch nicht genug? Hier findest du das gesamte Bulletin. Aber Achtung: Es ist auf Englisch, sehr ausführlich und definitiv nichts für Neulinge. Falls du Unterstützung wünscht, hilft dir sonst Sandro gerne weiter.
Interessiert?
Hallo, ich bin Sandro. Ich berate und unterstütze dich gerne, um die nötigen Sicherheits- und Schutzmassnahmen für dich zu treffen. Ich freue mich, von dir zu hören.
Sandro MeierTel: +41 58 105 33 00
E-Mail: s.meier@vision-inside.ch