Netzwerksicherheit

Das Netzwerk liegt im Dunkeln

| Autor / Redakteur: Frank Ruge* / Peter Schmitz

Kein Überblick über die angeschlossenen Geräte, zu wenig Automatisierung und massive Sicherheitslücken. Immer wieder konstatieren Sicherheitsexperten mit Überraschung den Status der Netzwerk-Administration in Unternehmen.
Kein Überblick über die angeschlossenen Geräte, zu wenig Automatisierung und massive Sicherheitslücken. Immer wieder konstatieren Sicherheitsexperten mit Überraschung den Status der Netzwerk-Administration in Unternehmen. (Bild: Pixabay / CC0)

Kaum ein Unternehmen weiß wie es genau in seinem Netzwerk aussieht, auch wenn viele Administratoren glauben alles im Griff zu haben. Etwa jeder dritte Admin weiß nur über 50 Prozent der in seinem Netzwerk eingeloggten Geräte Bescheid. Unternehmen riskieren damit die Sicherheit interner Daten, denn das Netzwerk kann durch unbekannte Geräte lahmgelegt werden und erheblicher Schaden sowie immense Kosten entstehen.

„Unwissenheit schützt vor Strafe nicht“ lautet ein oft genutztes Sprichwort. Denn auch, wenn man unwissentlich gegen eine gesetzliche Regelung wie z. B. Zollvorschriften verstößt, muss man mit einer Strafe rechnen. Im Netzwerk eines Unternehmens tappen allerdings viele Administratoren im Dunkeln. Und riskieren damit zwar keine Strafe, aber die Sicherheit interner Daten, denn das Netzwerk kann durch Angriffe lahmgelegt werden und erheblicher Schaden sowie immense Kosten entstehen.

Als Vertriebsverantwortlicher bei einem Netzwerk-Spezialisten bin ich regelmäßig vor Ort bei Unternehmen verschiedenster Größe in zahlreichen europäischen Ländern. Und was mich dabei fast täglich schockiert, ist die Unwissenheit und der geringe Einblick, den Administratoren tatsächlich in ihr Netzwerk haben. Erst kürzlich haben wir Teilnehmer an einem User Group Meeting befragt: Nur jeder Vierte weiß zu 100 Prozent, welche Geräte zu einem bestimmten Zeitpunkt in seinem Netzwerk eingeloggt sind. Etwa jeder Dritte weiß gar nur über 50 Prozent der eingeloggten Geräte in seinem Netzwerk Bescheid. Dazu muss man erwähnen, dass es sich bei den Befragten um Personen handelt, die sich bereits mit dem Thema Netzwerk-Sicherheit beschäftigen.

Alarmierende Zahlen, die unterstreichen, wie offen die Flanken im Unternehmen für Hacker und Malware tatsächlich sind. Denn das digitale Zeitalter mit seinem massiven Wachstum an Smart Devices, die sowohl privat als auch geschäftlich genutzt werden, stellt das Unternehmensnetzwerk vor eine riesige Herausforderung. Nicht weniger heikel sind die vielen schlecht oder gar nicht gesicherten IoT-Geräte: Mit Industrie 4.0 und Internet of Things drängen Abermillionen dieser Geräte ins Netzwerk.

Die Wege der Angreifer ins Netzwerk

Die Möglichkeiten für Cyberkriminelle sind vielfältig und es gibt für nahezu jedes kriminelle Ziel die ideale Vorgehensweise und Angebote im Darknet. Doch zunächst einmal muss der Angreifer sich Zugang zum Netzwerk verschaffen: Oft wird Malware über E-Mails bzw. deren Anhänge verbreitet. Diese werden raffiniert als Bewerbungen auf echte Stellen, Bestellbestätigungen oder Rechnungen getarnt, in manchen Fällen von vermeintlich vertrauenswürdigen Absendern, da Schadprogramme sich über die Adressbücher ihrer Opfer weiter verschicken. Eine andere Methode sind sogenannte Phishing-Attacken: Durch einen unbedachten Click auf eine gefälschte Webseite, E-Mail oder Textnachricht wird eine infizierte Datei auf das eigene Gerät geladen.

Die Malware nimmt dann Kontakt zu ihrem Command&Control-Server auf — dies geschieht inzwischen oft über das DNS (Domain Name System), ein neuralgischer Punkt in den meisten Unternehmensnetzwerken. Das DNS verfügt über kein Sicherheitskonzept, da es nicht für diesen Zweck geschaffen wurde. Das DNS ist das „Adressbuch“ des Internets und existiert seit 1983: Es dient dazu, eine Zieladresse wie www.security-insider.de in eine IP-Adresse umzuwandeln, die von einem Router gelesen werden kann. Umgekehrt muss sich niemand eine komplizierte IP-Adresse merken, um eine Webseite aufzurufen. Durch diese ungeschützte Stelle im Netzwerk können Cyberkriminelle an persönliche Daten eines Nutzers, wie beispielsweise Passwörter oder PINs, gelangen und Identitätsdiebstahl begehen. Das DNS kann dazu genutzt werden, um an der Firewall vorbei einen versteckten DNS-Tunnel zu erstellen und Daten abzugreifen.

Mit Tools wie Iodine kann aus fast jedem Netzwerk relativ einfach ein Tunnel über DNS ins Internet aufgebaut werden. Oder aber die Angreifer laden über diesen Tunnel weitere Schadprogramme oder Instruktionen hoch, die versteckte Aktivitäten anstoßen. Dabei kann es vorkommen, dass diese Aktivitäten erst sehr spät oder überhaupt nicht entdeckt werden und die Kriminellen ungehindert über einen längeren Zeitraum ihr Unwesen treiben können.

DDoS-Angriffe über das Domain Name System ohne Sicherheitskonzept

Innerhalb der letzten Monate machten Distributed-Denial-of-Service-Angriffe (DDoS) auf Unternehmen, Service-Provider und Regierungsstellen Schlagzeilen. Diese haben das vorrangige Ziel, Webseiten lahmzulegen und dadurch massiven Schaden anzurichten. Eine Machtdemonstration, die einen mit Hinblick auf ihre möglichen politischen und gesellschaftlichen Folgen schaudern lässt. Die Reihe der Opfer liest sich prominent: Netflix, Amazon und Twitter waren von der Attacke auf DNS-Provider Dyn im Oktober betroffen, im November wurde die Deutsche Telekom Opfer einer Cyber-Attacke und das BKA-Hinweisportal war brisanter Weise kurz nach dem Terroranschlag von Berlin betroffen und für mehrere Stunden nicht erreichbar. Für diese Attacken werden oft gekaperte Geräten aus dem „Internet der Dinge“ genutzt, beispielsweise für die Angriffe auf Dyn und die Telekom.

Bei Attacken dieser Art wird oftmals das DNS als Einfallstor missbraucht. Vielen Unternehmen ist diese Schwachstelle nicht bewusst, obwohl mehr als 90 Prozent der Malware DNS als Transportmittel nutzt. Leider ist dies immer noch der Status Quo in zahlreichen Unternehmen. Dabei existieren heute geeignete Weiterentwicklungen und Techniken, um das DNS zu schützen und Angriffen vorzubeugen. Zumindest unter den Teilnehmern der User Group-Umfrage scheint es bereits ein größeres Bewusstsein für die Verwundbarkeit des DNS zu geben. Über 60 Prozent der Befragten geben an, dass das DNS eine offene Flanke ihres Unternehmensnetzwerks ist bzw. war.

Keine Sicherheit ohne Transparenz und Automatisierung

Wichtigste Grundvoraussetzung für Sicherheit im Netzwerk ist ein Überblick über alle angeschlossenen Geräte und Dienste. Nur wenn ich wirklich mit hundertprozentiger Sicherheit weiß, welche Geräte sich in meinem Netzwerk befinden, können diese nach Malware und Viren gescannt werden. Für maximale Transparenz im Netzwerk müssen sämtliche Layer-2- und Layer-3-Geräte wie z. B. Router, Firewalls, Switches und Load Balancer überwacht und kontrolliert werden, sowie neue Geräte automatisch mittels Vulnerability-Scanner, wie z. B. Qualys, gescannt werden. Neben der Transparenz trägt auch der Automatisierungsgrad eines Netzwerks maßgeblich zur Sicherheit bei. Auch hier gibt es noch Luft nach oben. Über die Hälfte der Befragten User Group Teilnehmer berichteten nur von einem Automatisierungsgrad von 25 Prozent in ihrem Netzwerk. Durch mehr Automatisierung sinkt die Fehleranfälligkeit aufgrund manueller Eingaben, daneben kann der Arbeitsaufwand der Netzwerk-Administratoren erheblich verringert werden, sodass mehr Kapazitäten für sicherheitsrelevante Aufgaben frei werden.

Wie kann ein geeigneter Schutz des Domain Name System aussehen?

Für das Erkennen von Malware ist das DNS der zentrale Kontrollpunkt, um zu entscheiden, ob eine gutartige oder eine bösartige Anfrage eingeht. Der Datenfluss über das DNS kann mittels DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds kontrolliert werden, da verhindert wird, dass bedrohliche Domain-Namen aufgelöst werden. Mit einer Datenbank von über 4,5 Millionen bekannten bösartigen Domain-Namen ermöglicht es der ActiveTrust Feed Malware frühzeitig zu identifizieren und auszuschalten.

Der Schutz vor DDoS-Attacken sollte auf mehreren Ebenen aufsetzen. Externe autoritative Name-Server sollten beispielsweise durch Hardware-Appliances gesichert werden. Um sich vor Angriffen aus einem Mirai-Botnet zu schützen, muss man besser gerüstet sein: hier empfiehlt sich eine Kombination aus externem DNS-Provider und einer gehärteten Appliance. Da das DNS als Basisdienst Grundlage für zahlreiche andere Anwendungen und Dienste ist, sollte es sowohl intern als auch extern redundant ausgelegt sein.

Ergänzendes zum Thema
 
Sicherheit für DNS von Infoblox

Mit der wachsenden Bedrohung durch Cyberkriminalität ist es für Netzwerk-Administratoren unerlässlich Licht ins Dunkel ihres Netzwerks zu bringen und ihr Netzwerk der neuen Anforderungen entsprechend aufzustellen. Dabei ist die umfassende Sicherung des Domain Name System ein absolutes Muss für Unternehmen jeglicher Größe, um nicht länger ein Einfallstor für Cyberattacken zu bieten.

* Frank Ruge ist Director Sales für Zentraleuropa bei Infoblox.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44556955 / Intrusion-Detection und -Prevention)