Deutsche Firmen sind schlecht gegen Hacker geschützt

Ein Artikel von Tod Beardsley, Forschungsdirektor bei Rapid7 | 12.11.2019 - 12:20

Die untersuchten DB 320-Unternehmen bieten im Durchschnitt eine öffentliche Angriffsfläche von 88 Servern/Geräten, viele der Unternehmen sogar von über 300 Systemen/Geräten. Das sind viel zu viele, die Angriffsfläche sollte unbedingt verkleinert werden. Generell sollten die Unternehmen Systeme und Geräte nur dann im Internet zugänglich machen, wenn diese zur Unterstützung der Geschäftsprozesse unbedingt erforderlich sind. Dabei ist sicherzustellen, dass sie über robuste Asset-Identifizierungs- und Konfigurationsmanagement-Prozesse verfügen, um zu verhindern, dass diese exponierten Systeme zu Einstiegspunkten für Angreifer werden.

Von den 320 Unternehmen hatten 295 (91%) schwache oder keine Anti-Phishing-Abwehrsysteme wie beispielsweise DMARC (Domain-based Message Authentication, Reporting & Conformance, https://dmarc.org in der öffentlichen E-Mail-Konfiguration ihrer primären E-Mail-Domänen, wobei 10 (3%) sogar ungültige MX-Datensätze aufwiesen. Dies ist das schwächste Anti-Phishing-Ergebnis aller bisher durchgeführten Industry Cyber Exposure Reports (ICERs) und übertrifft im negativen Sinne sogar die Ergebnisse der Nikkei 225-Studie (Japan) um 1%. Dabei ist es unverzichtbar, zumindest DMARC zu implementieren. DMARC-Kontrollen sind seit einigen Jahren verfügbar und werden von praktisch allen großen E-Mail-Anbietern unterstützt. Ursprünglich als Abwehrmaßnahme gegen Phishing-Angriffe eingesetzt hat DMARC auch den zusätzlichen Vorteil, dass es viel schwieriger wird, interne E-Mail-Adressen zu manipulieren. Mit der Implementierung sollte unverzüglich begonnen werden, da die Planung und Bereitstellung einer ordnungsgemäß restriktiven DMARC-Konfiguration Zeit erfordert. So unterstrich das britische NCSC (National Cyber Security Centre, https://www.ncsc.gov.uk/), dass es für Unternehmen mit komplexen oder vielfältigen E-Mail-Kommunikationsabläufen leicht bis zu 18 Monate dauern kann, von "No DMARC" zu "reject" zu wechseln. Doch solche Investitionen verbessern die interne und externe E-Mail-Sicherheit eines Unternehmens erheblich.

Besucher von Unternehmensseiten schlecht geschützt

Tod Beardsley - high res (002).jpg

Tod Beardsley, Forschungsdirektor bei Rapid7

Während die Mehrheit (94%) der untersuchten großen Unternehmenswebsites SSL/TLS-Verschlüsselung anbieten, wurde diese wichtige Sicherheits- und Datenschutzmaßnahme auf den Hauptwebsites von 21 (6%) der DB 320-Unternehmen nicht implementiert. Dadurch sind die Websitebesucher einer Vielzahl von schweren Angriffen ungeschützt ausgesetzt, zum Beispiel der Manipulation der Webinhalte während der Übertragung. Die Entdeckung einer solchen Sicherheitslücke selbst bei den führenden Unternehmen Deutschlands legt nahe, dass die Risiken in kleineren Unternehmen mit weniger personellen und finanziellen Ressourcen zur Sicherung ihrer öffentlichen Internetressourcen noch viel größer sind. Die Unternehmen sollten daher dringend HTTPS aktivieren und sicherstellen, dass die Header gut konfiguriert sind. HTTPS ist der Industriestandard für alle bekannten Domains, wobei viele Browser das Klartext-HTTP-Protokoll als "nicht sicher" bezeichnen. Neben der Unterstützung von HTTPS sollten die Unternehmen sicherstellen, dass sie alle ihnen zur Verfügung stehenden Kontrollmöglichkeiten zur Überprüfung der Konfigurationen verwenden, damit Website und Besucher besser geschützt sind.

In 11 der untersuchten 19 Branchen, in denen die DB 320-Unternehmen zuhause sind, war mindestens ein Unternehmen mit Malware infiziert. Insbesondere bei Industrie- und Softwareunternehmen wurden regelmäßige Kompromittierungen festgestellt. Die Vorfälle reichten branchenübergreifend von der Zweckentfremdung von Unternehmensressourcen für Denial-of-Service (DoS)-Angriffe bis hin zu EternalBlue-Kampagnen ähnlich wie WannaCry und NotPetya. Darum sollten die Unternehmen unbedingt die Ausgangsfilter im Auge behalten. Ein gewisses Maß an Honeypot-Traffic ist zu erwarten, schließlich hat das moderne Internet viele opportunistische Angreifer, die gerne tiefhängende Früchte suchen. Netzwerkadministratoren sind es gewohnt, sicherzustellen, dass zum einen die Konnektivität reibungslos und ununterbrochen funktioniert, und Dinge zu beheben, wenn Verbindungen ausfallen. Auf der anderen Seite ist es aber auch ihre Aufgabe zu verhindern, dass irrtümlicher und bösartiger Datenverkehr aus ihrem Netzwerk in das Internet gelangt.

Die meisten der Unternehmen nutzen in ihren internetfähigen Systemen Dienste, die auf veralteter Software aufbauen. Aus den öffentlichen Domain Name Systems (DNS)-Metadaten konnten bei 82 Unternehmen der DB 320 festgestellt werden, dass sie zwischen zwei und zehn Cloud Service Provider benutzen. Das ist alles hoch interessant, nur leider können diese Informationen dazu verwendet werden, hochwirksame Angriffe zu starten. Unternehmen sollten daher die Risiken durch externe Dienstleister reduzieren. Bei einer individuellen Überprüfung mögen die Ergebnisse nicht als größere Risiken erscheinen. In Wahrheit sind viele dieser "Validierungs"-Datensätze nur einmal erforderlich und können nach der ersten Validierung entfernt werden. Diese Datensätze beweisen, dass man der wahre Eigentümer einer bestimmten Domain ist, da in der Theorie nur der wahre Eigentümer DNS-Einträge hinzufügen, ändern oder löschen kann. Durch die Analyse dieser Datensätze können gängige Dienstleister ausfindig gemacht werden, die von einer großen Anzahl von Unternehmen verwendet werden bzw. Dienstleister, die spezielle Dienste für eine Handvoll Unternehmen bereitstellen. Diese Informationen können Angreifern Hinweise auf hochkarätige Ziele liefern. Aus diesem Grund ist es wichtig, dass auch diese externen Dienstleister ausreichend vor Angriffen geschützt sind.

Telnet und SMB dringend eliminieren

Hochgradig unsichere Dienste wie Telnet und Windows SMB File-Sharing wurden glücklicherweise nur von einer Handvoll Unternehmen eingesetzt. Wer das noch macht, sollte unverzüglich die öffentlich zugänglichen SMB und Telnet eliminieren. Es gibt de facto keine sichere Möglichkeit, SMB-Dienste dem öffentlichen Internet zugänglich zu machen. Vor diesem Hintergrund hat Microsoft einige Anstrengungen getätigt, um die SMB-Belastung für normale Desktop- und Laptop-Clients zu reduzieren. Beispielsweise empfiehlt die aktuelle Microsoft-Dokumentation ausdrücklich, SMB auf einer Internet-Perimeter-Firewall zu blockieren, und für Windows 10-Desktops den Firewall-Zugriff auf Port 445. Selbst das Aussetzen eines Assets bei laufendem SMB könnte dazu führen, dass WannaCry, NotPetya oder moderne Varianten in einem gesamten Unternehmen verbreitet (oder neu verbreitet) werden. Es gibt heute auch keine technische oder praktische Rechtfertigung für den Betrieb eines Telnet-Dienstes. Er wurde durch das Secure Shell (SSH) Transport Layer Protocol ersetzt, das Verschlüsselung im Transport bereitstellt und die Verwendung digitaler Zertifikate bei der Authentifizierung von Verbindungen fördert. Wenn ein Gerät aufgrund fehlender lokaler Computerressourcen wirklich nicht in der Lage ist, SSH statt Telnet zu verwenden, dann ist dieses Gerät einfach zu unsicher, um es dem öffentlichen Internet zugänglich zu machen. Es gibt keine akzeptable Begründung, bei einem 40-jährigen nicht verschlüsselbaren Protokoll zu bleiben. Bemerkenswert ist, dass etwa ein Viertel (80) der DB 320 SSH-Dienste bereitstellen, also kein Telnet, so dass es offensichtlich eine gewisse Anerkennung der Stärken dieses SSH-Protokolls gegeben hat.

Widerstandskraft gegen Cyberangriffe aufzeigen

Die Industry Cyber-Exposure Reports von Rapid7 haben das Ziel, die Widerstandskraft von Unternehmen und Branchen gegen Angriffe aus dem Netz aufzuzeigen. Die Kenntnis über den eigenen Sicherheitszustand hilft Unternehmen, IT_Sicherheits-Investitionen zu planen und Maßnahmen durchzuführen, um den Schutz gegen Cyber-Bedrohungen zu verbessern. Es ist erstaunlich, dass gerade in Deutschland, das bei Sicherheitsthemen sehr sensibel agiert und immer wieder auf Sicherheitsprobleme hinweist, viele Unternehmen große Sicherheitsmängel haben. Dabei ist es für die Unternehmen nicht schwer, den Sicherheitsstandard deutlich zu verbessern. Sie sollten vor allem die Angriffsflächen auf ein Minimum reduzieren, DMARC implementieren, das Risiko durch Drittanbieter-Services minimieren und auf den Einsatz von Windows SMB sowie Telnet prinzipiell zu verzichten.