:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wenn die Firewall nicht ausreicht Beim Schutz von DNS-Servern besteht Nachholbedarf
Das Thema Cyberkriminalität hält viele Unternehmen nach wie vor in Atem, aber mit der richtigen Vorbereitung lässt sich die Gefahr effektiv verringern. Vor allem das Domain Name System (DNS) bildet als Schnittstelle zum Unternehmensnetzwerk eine attraktive Zielscheibe für Hackerangriffe.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Voll auf Sicherheit eingestellt: Die EU-Datenschutzgrundverordnung tritt am 25. Mai 2018 in Kraft und ist für zahlreiche Unternehmen ein Ansporn, sich mit geeigneten Maßnahmen gegen die Bedrohung durch Cyberattacken und Datendiebstahl zur Wehr zu setzen.
Der Hintergrund: Laut den Erhebungen des DNS Security Reports von EfficientIP aus dem Jahr 2017 waren in den vergangenen zwölf Monaten weltweit 76 Prozent aller Unternehmen und Organisationen Zielscheibe von DNS-Attacken. Die Hauptgründe dafür liegen auf der Hand. Denn der Weg über das DNS verspricht Eindringlingen einen leichten Zugriff auf die wichtigsten Daten des Unternehmens, die vielfach nicht hinreichend geschützt sind.
Verbesserungsbedarf aufseiten der Unternehmen besteht vor allem beim Bewusstsein für die Vielfalt von Cyberattacken, bei der Anpassung von Sicherheitslösungen zum Schutz vor DNS-basierten Angriffen sowie bei der angemessenen Reaktion auf entdeckte Schwachstellen.
Eigentlich ist die Ausgangslage klar. DNS-Server zählen zu den unverzichtbaren Komponenten eines jeden Netzwerks. Insofern gilt die Faustregel, dass derjenige, dem der unrechtmäßige Zutritt über das DNS gelingt, schnell an sämtliche entscheidenden Daten und Ressourcen gelangen kann. Dementsprechend weisen die bekannten Muster von DNS-Attacken eine hohe Bandbreite unterschiedlicher Varianten mit zum Teil hoher programmiertechnischer Raffinesse auf.
Derweil sind die Sicherheitsvorkehrungen mancherorts derart unzureichend, dass die Exfiltration unternehmenseigener Daten keine allzu großen Anstrengungen erfordert. Die Zahlen sprechen für sich: Laut dem DNS Security Report von EfficientIP war bereits rund ein Viertel aller Unternehmen Opfer von Datenexfiltration via DNS. Die Kosten, die dadurch für Unternehmen mit 3.000 oder mehr Mitarbeitern entstehen, belaufen sich auf 2,5 Millionen Euro pro Unternehmen und Jahr – ungeachtet der Imageschäden, die ihre unerwünschten Nebenwirkungen in der Regel erst mit Verzug entfalten.
Per EU-Verordnung zu wirksamer Hackerabwehr?
Mit der neuen Datenschutzgrundverordnung nutzt die EU die Mittel einer verbindlichen Direktive, um Unternehmen zum entschlossenen Einsatz für die Sicherheit ihres Datenbestands zu verpflichten. Mit ihrem Inkrafttreten im Mai 2018 erstreckt sich der Geltungsbereich der Verordnung auf sämtliche Unternehmen weltweit, in denen persönliche Daten von EU-Bürgern verarbeitet werden.
Jeder Vorfall eines Datendiebstahls muss innerhalb von 72 Stunden zur Anzeige gebracht werden – bei Verstößen droht eine Strafzahlung bis zu einer Höhe von vier Prozent des globalen Umsatzes des betroffenen Unternehmens. Die entscheidende Frage bleibt vorerst nur, welchen Weg die Unternehmen zur Implementation erforderlicher Abwehrmechanismen rund um ihre DNS-Server einschlagen.
Um die systemtechnischen Herausforderungen für die Sicherheit von DNS-Servern zu verstehen, empfiehlt es sich, ihrem Funktionsschema auf den Grund zu gehen. Dieses beruht auf drei Basisfunktionen: dem DNS-Caching, der rekursiven und der iterativen Namensauflösung. Es besteht die Option, dass die Antwort auf DNS-Anfragen über den Cache verfügbar gemacht wird. Hierbei hält der Caching-Server die angefragten Informationen in seinem Cache und kann diese sofort lokal beantworten. Bei einer rekursiven Namensauflösung werden verschiedene DNS-Server befragt, bis der Domain-Name aufgelöst ist und die Antwort an den Client zurückgespielt wurde. Erfolgt eine iterative Namensauflösung, übergibt der zuständige DNS-Server seinen Request an den DNS-Server, der auf der nächsten Hierarchieebene folgt.
Große Gefahr lauert jenseits der Möglichkeiten einer Firewall
Das Hauptproblem gängiger IT-Sicherheitslösungen: Next-Generation Firewalls (NGFW) sind aufgrund ihrer Programmarchitektur außerstande, den Kontext von DNS-Transaktionen vollständig zu erfassen. Diese lässt lediglich eine rudimentäre Sichtbarkeit ausgeführter DNS-Transaktionen zu – der klare Blick auf eine Vielzahl kritischer Daten bleibt hingegen verstellt.
So erhält die Firewall zwar Überblick über rekursive Anfragen und Antworten, aber der daraus resultierende Traffic lässt verwertbare Informationen über den Client vermissen. Ganz ähnlich ist die Situation bei iterativen Anfragen und Antworten: Auch hier fehlen relevante Hintergrundinformationen zum jeweiligen Client, da die IP-Adresse des Resolvers den Ausgangspunkt der Anfrage bildet. Einen validen Zusammenhang zwischen unterschiedlichen Anfragen herzustellen, wird infolgedessen unmöglich.
Mit dem Hintergrundwissen um die strukturellen Schwächen einer Firewall lässt sich leicht ein anschauliches Beispiel für kriminelle Datenexfiltration durch Hacker entwerfen. Denn für eine außergewöhnliches Nutzungsverhalten der Cache-Funktion durch Clients bleibt eine NGFW blind. Die unverkennbaren Qualitäten ihrer zugrundeliegenden Algorithmen liegen woanders: im Aufspüren von Unregelmäßigkeiten rund um DNS-Pakete sowie die Frequenz, Nutzlast, Datenkodierung oder Entropie von Anfragen.
Sobald ein Angreifer eine DNS-Anfrage mit vertraulichen Daten versieht und die Ziel-Domain des Hackers nicht als schadhaft im System hinterlegt ist, kann die Anfrage den Cache sowie die Rekursive-Funktion passieren. Danach gelangt sie ohne weiteres zur Freigabe an einen autoritativen Nameserver. Ab diesem Punkt ist der Diebstahl vertraulicher Daten nicht mehr aufzuhalten.
Die Lösung besteht in einem integrierten Sicherheitskonzept
Prinzipiell besteht für Unternehmen angesichts dieser diffusen Bedrohungslage die Option, die ständige Verfügbarkeit ihrer Dienstleistungen, ihre eigene Datensicherheit sowie die ihrer Nutzer und Kunden mithilfe einer Reihe geeigneter Maßnahmen auf sichere Beine zu stellen.
Einerseits sollten Firewalls ebenso wie Load-Balancer durch eine speziell entwickelte DNS-Sicherheitstechnologie ergänzt werden. Andererseits wäre es ratsam, dass Unternehmen häufiger auf Patches für DNS-Server zurückgreifen, damit ihre DNS-Sicherheit jederzeit auf dem aktuellsten Stand ist. Dazu kann eine ausführliche DNS-Transaktionsanalyse im Rahmen eines integrierten IT-Sicherheitskonzepts einen wertvollen Beitrag leisten und die Transparenz von Bedrohungen bis hin zu einer umfassenden 360-Grad-Sicht verbessern.
Genau hier liegt das Potenzial, eine Sicherheitskultur im Datenverkehr nachhaltig zu etablieren, mit Vorteilen für alle Akteure – von rechtssicherem Datenmanagement über kosteneffiziente Prozessstandards bis hin zum unschätzbar wertvollen Vertrauen der beteiligten Nutzer, Partner und Kunden.
Über den Autor
Hervé Dhélin ist Vice President of Strategy bei EfficientIP mit Sitz in Frankreich. Dhélin verfügt über mehr als dreißig Jahre Erfahrung in der IT-Branche und hat in den vergangenen zwanzig Jahren für internationale Unternehmen wie IBM, SPSS, Mercury und BMC gearbeitet. Er ist regelmäßiger Referent bei Industrieveranstaltungen auf der ganzen Welt.
(ID:45136656)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")