:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Netzwerksicherheit Das Netzwerk liegt im Dunkeln
Kaum ein Unternehmen weiß wie es genau in seinem Netzwerk aussieht, auch wenn viele Administratoren glauben alles im Griff zu haben. Etwa jeder dritte Admin weiß nur über 50 Prozent der in seinem Netzwerk eingeloggten Geräte Bescheid. Unternehmen riskieren damit die Sicherheit interner Daten, denn das Netzwerk kann durch unbekannte Geräte lahmgelegt werden und erheblicher Schaden sowie immense Kosten entstehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
„Unwissenheit schützt vor Strafe nicht“ lautet ein oft genutztes Sprichwort. Denn auch, wenn man unwissentlich gegen eine gesetzliche Regelung wie z. B. Zollvorschriften verstößt, muss man mit einer Strafe rechnen. Im Netzwerk eines Unternehmens tappen allerdings viele Administratoren im Dunkeln. Und riskieren damit zwar keine Strafe, aber die Sicherheit interner Daten, denn das Netzwerk kann durch Angriffe lahmgelegt werden und erheblicher Schaden sowie immense Kosten entstehen.
Als Vertriebsverantwortlicher bei einem Netzwerk-Spezialisten bin ich regelmäßig vor Ort bei Unternehmen verschiedenster Größe in zahlreichen europäischen Ländern. Und was mich dabei fast täglich schockiert, ist die Unwissenheit und der geringe Einblick, den Administratoren tatsächlich in ihr Netzwerk haben. Erst kürzlich haben wir Teilnehmer an einem User Group Meeting befragt: Nur jeder Vierte weiß zu 100 Prozent, welche Geräte zu einem bestimmten Zeitpunkt in seinem Netzwerk eingeloggt sind. Etwa jeder Dritte weiß gar nur über 50 Prozent der eingeloggten Geräte in seinem Netzwerk Bescheid. Dazu muss man erwähnen, dass es sich bei den Befragten um Personen handelt, die sich bereits mit dem Thema Netzwerk-Sicherheit beschäftigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1190700/1190700/original.jpg "So funktioniert DNS-Tunneling.")
:quality(80)/images.vogel.de/vogelonline/bdb/1190700/1190701/original.jpg "Malware-Attacke über DNS.")
Alarmierende Zahlen, die unterstreichen, wie offen die Flanken im Unternehmen für Hacker und Malware tatsächlich sind. Denn das digitale Zeitalter mit seinem massiven Wachstum an Smart Devices, die sowohl privat als auch geschäftlich genutzt werden, stellt das Unternehmensnetzwerk vor eine riesige Herausforderung. Nicht weniger heikel sind die vielen schlecht oder gar nicht gesicherten IoT-Geräte: Mit Industrie 4.0 und Internet of Things drängen Abermillionen dieser Geräte ins Netzwerk.
Die Wege der Angreifer ins Netzwerk
Die Möglichkeiten für Cyberkriminelle sind vielfältig und es gibt für nahezu jedes kriminelle Ziel die ideale Vorgehensweise und Angebote im Darknet. Doch zunächst einmal muss der Angreifer sich Zugang zum Netzwerk verschaffen: Oft wird Malware über E-Mails bzw. deren Anhänge verbreitet. Diese werden raffiniert als Bewerbungen auf echte Stellen, Bestellbestätigungen oder Rechnungen getarnt, in manchen Fällen von vermeintlich vertrauenswürdigen Absendern, da Schadprogramme sich über die Adressbücher ihrer Opfer weiter verschicken. Eine andere Methode sind sogenannte Phishing-Attacken: Durch einen unbedachten Click auf eine gefälschte Webseite, E-Mail oder Textnachricht wird eine infizierte Datei auf das eigene Gerät geladen.
Die Malware nimmt dann Kontakt zu ihrem Command&Control-Server auf — dies geschieht inzwischen oft über das DNS (Domain Name System), ein neuralgischer Punkt in den meisten Unternehmensnetzwerken. Das DNS verfügt über kein Sicherheitskonzept, da es nicht für diesen Zweck geschaffen wurde. Das DNS ist das „Adressbuch“ des Internets und existiert seit 1983: Es dient dazu, eine Zieladresse wie www.security-insider.de in eine IP-Adresse umzuwandeln, die von einem Router gelesen werden kann. Umgekehrt muss sich niemand eine komplizierte IP-Adresse merken, um eine Webseite aufzurufen. Durch diese ungeschützte Stelle im Netzwerk können Cyberkriminelle an persönliche Daten eines Nutzers, wie beispielsweise Passwörter oder PINs, gelangen und Identitätsdiebstahl begehen. Das DNS kann dazu genutzt werden, um an der Firewall vorbei einen versteckten DNS-Tunnel zu erstellen und Daten abzugreifen.
Mit Tools wie Iodine kann aus fast jedem Netzwerk relativ einfach ein Tunnel über DNS ins Internet aufgebaut werden. Oder aber die Angreifer laden über diesen Tunnel weitere Schadprogramme oder Instruktionen hoch, die versteckte Aktivitäten anstoßen. Dabei kann es vorkommen, dass diese Aktivitäten erst sehr spät oder überhaupt nicht entdeckt werden und die Kriminellen ungehindert über einen längeren Zeitraum ihr Unwesen treiben können.
DDoS-Angriffe über das Domain Name System ohne Sicherheitskonzept
Innerhalb der letzten Monate machten Distributed-Denial-of-Service-Angriffe (DDoS) auf Unternehmen, Service-Provider und Regierungsstellen Schlagzeilen. Diese haben das vorrangige Ziel, Webseiten lahmzulegen und dadurch massiven Schaden anzurichten. Eine Machtdemonstration, die einen mit Hinblick auf ihre möglichen politischen und gesellschaftlichen Folgen schaudern lässt. Die Reihe der Opfer liest sich prominent: Netflix, Amazon und Twitter waren von der Attacke auf DNS-Provider Dyn im Oktober betroffen, im November wurde die Deutsche Telekom Opfer einer Cyber-Attacke und das BKA-Hinweisportal war brisanter Weise kurz nach dem Terroranschlag von Berlin betroffen und für mehrere Stunden nicht erreichbar. Für diese Attacken werden oft gekaperte Geräten aus dem „Internet der Dinge“ genutzt, beispielsweise für die Angriffe auf Dyn und die Telekom.
Bei Attacken dieser Art wird oftmals das DNS als Einfallstor missbraucht. Vielen Unternehmen ist diese Schwachstelle nicht bewusst, obwohl mehr als 90 Prozent der Malware DNS als Transportmittel nutzt. Leider ist dies immer noch der Status Quo in zahlreichen Unternehmen. Dabei existieren heute geeignete Weiterentwicklungen und Techniken, um das DNS zu schützen und Angriffen vorzubeugen. Zumindest unter den Teilnehmern der User Group-Umfrage scheint es bereits ein größeres Bewusstsein für die Verwundbarkeit des DNS zu geben. Über 60 Prozent der Befragten geben an, dass das DNS eine offene Flanke ihres Unternehmensnetzwerks ist bzw. war.
Keine Sicherheit ohne Transparenz und Automatisierung
Wichtigste Grundvoraussetzung für Sicherheit im Netzwerk ist ein Überblick über alle angeschlossenen Geräte und Dienste. Nur wenn ich wirklich mit hundertprozentiger Sicherheit weiß, welche Geräte sich in meinem Netzwerk befinden, können diese nach Malware und Viren gescannt werden. Für maximale Transparenz im Netzwerk müssen sämtliche Layer-2- und Layer-3-Geräte wie z. B. Router, Firewalls, Switches und Load Balancer überwacht und kontrolliert werden, sowie neue Geräte automatisch mittels Vulnerability-Scanner, wie z. B. Qualys, gescannt werden. Neben der Transparenz trägt auch der Automatisierungsgrad eines Netzwerks maßgeblich zur Sicherheit bei. Auch hier gibt es noch Luft nach oben. Über die Hälfte der Befragten User Group Teilnehmer berichteten nur von einem Automatisierungsgrad von 25 Prozent in ihrem Netzwerk. Durch mehr Automatisierung sinkt die Fehleranfälligkeit aufgrund manueller Eingaben, daneben kann der Arbeitsaufwand der Netzwerk-Administratoren erheblich verringert werden, sodass mehr Kapazitäten für sicherheitsrelevante Aufgaben frei werden.
Wie kann ein geeigneter Schutz des Domain Name System aussehen?
Für das Erkennen von Malware ist das DNS der zentrale Kontrollpunkt, um zu entscheiden, ob eine gutartige oder eine bösartige Anfrage eingeht. Der Datenfluss über das DNS kann mittels DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds kontrolliert werden, da verhindert wird, dass bedrohliche Domain-Namen aufgelöst werden. Mit einer Datenbank von über 4,5 Millionen bekannten bösartigen Domain-Namen ermöglicht es der ActiveTrust Feed Malware frühzeitig zu identifizieren und auszuschalten.
Der Schutz vor DDoS-Attacken sollte auf mehreren Ebenen aufsetzen. Externe autoritative Name-Server sollten beispielsweise durch Hardware-Appliances gesichert werden. Um sich vor Angriffen aus einem Mirai-Botnet zu schützen, muss man besser gerüstet sein: hier empfiehlt sich eine Kombination aus externem DNS-Provider und einer gehärteten Appliance. Da das DNS als Basisdienst Grundlage für zahlreiche andere Anwendungen und Dienste ist, sollte es sowohl intern als auch extern redundant ausgelegt sein.
Mit der wachsenden Bedrohung durch Cyberkriminalität ist es für Netzwerk-Administratoren unerlässlich Licht ins Dunkel ihres Netzwerks zu bringen und ihr Netzwerk der neuen Anforderungen entsprechend aufzustellen. Dabei ist die umfassende Sicherung des Domain Name System ein absolutes Muss für Unternehmen jeglicher Größe, um nicht länger ein Einfallstor für Cyberattacken zu bieten.
* Frank Ruge ist Director Sales für Zentraleuropa bei Infoblox.
(ID:44556955)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934607/original.jpg "Die topDNS-Initiative hat das Ziel, wirkungsvolle Maßnahmen zur Bekämpfung von DNS-Missbrauch zu etablieren. (eco – Verband der Internetwirtschaft)")