Suchen

Vorstellung wichtiger Ergebnisse des NICER-2020-Reports Deutschland stark durch Cyberkriminalität gefährdet

| Autor / Redakteur: Tod Beardsley / Peter Schmitz

Der NICER-Report erscheint jährlich, gibt Einblick in den Internet-Security-Status von Organisationen und spricht Empfehlungen für Maßnahmen gegen Cyber-Attacken aus. Im Mittelpunkt der Analyse stehen Internet-Dienste, Datenbanken, die Internet-Infrastruktur und Web-Server. Der folgende Beitrag betrachtet die Security-Herausforderungen webbasierter Dienste und stellt Ergebnisse aus Deutschland vor.

Firmen zum Thema

Die Analyse der Internetzugänge und -Dienste in Deutschland durch Rapid7-Experten deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5 Prozent als schwer einzustufen sind.
Die Analyse der Internetzugänge und -Dienste in Deutschland durch Rapid7-Experten deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5 Prozent als schwer einzustufen sind.
(Bild: gemeinfrei / Pixabay )

Im April und Mai 2020 wurden weltweit Daten für den National/Industry/Cloud Exposure Report (NICER) 2020 erhoben, darunter auch in Deutschland. Dabei kam heraus, dass Deutschland mit Platz Fünf weit oben auf der Liste der Länder steht, die stark durch Cyber-Kriminalität gefährdet sind. Nur die USA, China, Süd-Korea und Großbritannien sind noch schlechter platziert. Die Analyse der Internetzugänge und -Dienste in Deutschland deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5 Prozent oder 1.776.608 der entdeckten Schwachstellen in exponierten Diensten als hoch (Common Vulnerability Scoring System CVSS 8.5+) einzustufen sind, 1.599.858 als „mittel“ und 1.235.461 als „niedrig“. Das Scoring System ist ein Industriestandard, der den Schweregrad von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen bewertet.

Genauer aufgeschlüsselt ergibt sich dieses Bild:

Service GroupServiceFound
Console AccessSSH (22)1.461.315
Console AccessTelnet (23)21.673
Databasememcached (11211)1.263
DatabaseMySQL (TCP/3306)208.159
DatabaseMS SQL (UDP/1434)3.855
DatabaseRedis (6379)4.047
File SharingFTP (21)760.69
File SharingFTPS (990)8.532
File Sharingrsync (873)13.787
File SharingSMB (445)30.118
InfrastructureDNS (TCP/53)224.91
InfrastructureDNS (UDP/53)244.272
InfrastructureDoT (853)296
InfrastructureNTP (123)62.315
MailIMAP (143)386.092
MailIMAPS (993)376.78
MailPOP3 (110)367.597
MailPOP3S (995)336.128
MailSMTP (25)637.569
MailSMTP (587)373.266
MailSMTPS (465)375.526
Remote AccessCitrix ADC/NetScaler (various)6.561
Remote AccessRDP (3389)178.312
Remote AccessVNC (5900+5901)16.679
Web PrimaryHTTP (80)2.190.838
Web   PrimaryHTTPS (443)2.389.947

Viele Organisationen sind demnach einem höheren Risiko von Cyber-Attacken ausgesetzt, vor allem durch

  • Brute-Force-Angriffe, eine Methode zum Brechen oder „Knacken“ von Passwörtern,
  • Credential Stuffing (Verwendung von gestohlenen Konto-Anmeldedaten für unbefugten Zugang zu Benutzerkonten) und
  • exploit-basierte Remote-Access-Angriffe (Software, Daten oder Befehlssequenz, mit der unbeabsichtigtes oder unvorhergesehenes Verhalten auf der Computersoftware oder der -hardware ausgelöst wird).

Viele Dienste haben so starke Schwächen, dass ein Einsatz erst gar nicht erwogen werden sollte, das gilt vor allem bei SMB, Telnet und rsync sowie bei einfachen E-Mail-Zugängen. Für diese gilt eine einfache Regel: Sie dürfen auf keinen Fall verwendet oder angeboten werden, niemals. Denn offenere Einfallstore werden Hacker kaum finden. Glücklicherweise ist die Nutzung von Telnet-Diensten in Deutschland im Vergleich zu 2019 um rund 17 Prozent gesunken. Aber das reicht noch nicht aus. Schauen wir und diese Dienste genauer an.

Telnet ist prädestiniert für Lauschangriffe

Bei Telnet handelt es sich fast immer um ein Klartextprotokoll, das sowohl die Authentifizierung (Benutzername und Passwort) als auch die Daten einem passiven Lauschangriff aussetzt. Zum anderen ist es relativ einfach, Befehle und Antworten im Datenstrom zu ersetzen, sollten sich Angreifer in einer privilegierten Position befinden, um den Datenverkehr zu manipulieren. Das größere Problem bei Telnet ist die Tatsache, dass Standard-Benutzernamen und -Passwörter in der Praxis so häufig vorkommen, dass man davon ausgeht, dass dies immer der Fall ist, wenn jemand auf einen Telnet-Server stößt. Dies war die zentrale Hypothese des Mirai-Wurms von 2016, der eine extrem kurze Liste von üblichen Standard-Telnet-Benutzernamen und -Passwörtern verwendete und es damit schaffte, Internet-Giganten wie Twitter und Netflix praktisch auszuschalten.

Interessant ist, dass die überwiegende Mehrheit der Telnet-Dienste, die dem Internet ausgesetzt sind, stark mit Anbietern verbunden sind. Cisco und Huawei, zwei der größten Routerhersteller der Welt, dominieren die Gesamtzahl aller Telnet-Dienste. Etwa 14 Prozent der Geräte von Cisco und 11 Prozent der Geräte von Huawei sind heute tatsächlich unter Verwendung von Standard-Anmeldeinformationen zugänglich. Dieser Mangel an Pflege und Wartung des Rückgrats von Tausenden von Organisationen ist enttäuschend, und jedes dieser Geräte sollte heute als gefährdet betrachtet werden. IT- und IT-Sicherheitsteams sollten den Telnet-Verkehr von und zu ihren Netzwerken verbieten, ein gut gewarteter SSH-Server ist weitaus zuverlässiger, flexibler und sicherer.

SMB – auf den Wurm gekommen

SMB (Server Message Block) ist für Netzbetreiber auf der ganzen Welt eine ständige Quelle von Herz- und Kopfschmerzen, denn wählerische Würmer wählen SMB. Unabhängig von der Version und Konfiguration ist SMB für das heutige Internet ungeeignet. SMB ist zu komplex, um es zuverlässig zu sichern, und kritische Schwachstellen, die für kriminelle Ausbeutung attraktiv sind, tauchen weiterhin im Protokoll auf. Da SMB in TCP/IP eingebettet ist, können Fehlkonfigurationen im Netzwerk unbeabsichtigterweise SMB-basierte Ressourcen direkt dem Internet aussetzen. Jede Organisation sollte ihre Netzwerkeingangs- und -ausgangsfilter kontinuierlich auf SMB-Datenverkehr testen - nicht nur, um zu verhindern, dass Außenstehende SMB-Datenverkehr an Ihre versehentlich freigelegten Ressourcen senden, sondern auch, um zu verhindern, dass interne Benutzer versehentlich SMB-Authentifizierungsverkehr in die Welt hinausschicken. IT- und IT-Sicherheitsteams sollten SMBs den Zugang zu oder von ihrer Organisation über alles andere als VPN-verbundene Netzwerke untersagen und ihren bekannten, nach außen gerichteten IP-Adressraum regelmäßig auf falsch konfigurierte SMB-Server überprüfen.

rsync nie dem Internet aussetzen

rsync ist fast ein Unfall des frühen Internet-Engineerings. Der rsync-Dienst hat im Laufe der Jahre einige bekannte Schwachstellen gehabt, aber die größte Schwachstelle ist, dass Benutzer ihn dem Internet aussetzen, entweder ohne Anmeldeinformationen oder mit schwachen und/oder unverschlüsselten Anmeldeinformationen, dicht gefolgt von der Verwendung zur Übertragung sensibler Dateien, die nicht selbst verschlüsselt sind. IT- und IT-Sicherheitsteams sollten niemals Vanilla rsync verwenden und sollten sich immer dafür entscheiden, es in eine schmackhafte, schokoladige Hülle zu hüllen (d.h. es nur verwenden, wenn über zertifikatsbasierte, authentifizierte SSH-Sitzungen getunnelt wird). Es gibt keinen anderen sicheren Weg, rsync für vertrauliche Informationen zu verwenden.

E-Mails – des Deutschen liebstes Kind

E-Mail, in seiner heute erkennbaren Form, entwickelte sich zum SMTP-Standard für die Übertragung von Nachrichten zwischen Netzwerken und Computern und wurde im November 1981 in RFC 788 verankert. E-Mail war bereits mindestens ein Jahrzehnt zuvor in Gebrauch gewesen, aber die Protokolle und Anwendungen unterschieden sich je nach System und Netzwerk stark voneinander. SMTP war notwendig, um E-Mail zu vereinheitlichen und zu universalisieren, und es entwickelt sich bis heute weiter.

Auf der Client-Seite haben sich die Gewohnheiten im Laufe der Zeit geändert. In den 1990er Jahren dominierten die Client-Server-Protokollfamilien POP (Post Office Protocol) und IMAP (Internet Message Access Protocol). Als sich die Welt auf das World Wide Web umstellte, gab es einen kurzzeitigen Rückgang ihrer Verwendung, nämlich indem die Menschen sich Webmail zuwandten und nicht den eigenständigen Mail-User-Agents (MUAs). Dieser Trend kehrte sich Ende der 2000er Jahre mit dem Aufkommen von Apple- und Android-Mobilgeräten um, die zur Interaktion mit E-Mail-Servern eher IMAPv4 verwenden.

Die Klartext-Natur der E-Mail ist das Hauptanliegen bei der Sicherheit dieses Protokolls. E-Mail ist auch die beliebteste Methode für Phishing-Fans, um Passwörter zu enthüllen und Malware auszuführen. Aktuell gibt es mindestens zwei ernsthafte Schwachstellen in den beliebten Mail-Servern Exim und Microsoft Exchange, die heute eingesetzt werden. IT- und IT-Sicherheitsteams sollten ernsthaft in Erwägung ziehen, zu einem etablierten E-Mail-Anbieter wie Office 365 von Microsoft oder der G Suite von Google zu wechseln. Das Ausführen der eigenen E-Mail gehört nach wie vor zu den wirklich schmerzhaften Aufgaben der Netzwerkadministration, da Ausfälle, Patch-Management und redundante Backups selbst in den besten Zeiten knifflig sein können, ganz zu schweigen von der ständigen Beanspruchung der Ressourcen im Kampf gegen Spam und Phishing. Etablierte Anbieter in diesem Bereich haben eine nachgewiesene Erfolgsgeschichte im Umgang mit Spam und Phishing sowie eine bemerkenswerte Verfügbarkeitszeit vorzuweisen.

Das Internet ist trotz Corona sicherer geworden

Diese Aussage kann erstaunen. Denn wer vermutete nicht, dass sich die Pandemie, die Abriegelung, die vielen Home-Offices und der Verlust von Arbeitsplätzen auf den Charakter und die Zusammensetzung des Internets ausgewirkt hat. Security-Experten sahen eine Renaissance schlecht konfigurierter, hastig bereitgestellter und völlig unsicherer Dienste im öffentlichen Internet. Sie glaubten, dass die Unternehmen und Institutionen, nachdem sie ihre Mitarbeiter aus ihren Büros, Arbeitsräumen und Schulen ausgesperrt hatten, die Dinge einfach nur schnell zum Laufen gebracht haben. Und sie fürchteten eine deutliche Zunahme von neuen Windows SMB-Diensten für den Dateiaustausch zwischen Arbeit und Zuhause, von rsync-Servern, die Backup-Daten über das Internet sammeln, und von nicht konfigurierten IoT-Geräten mit Telnet-basierten Konsolen. Nichts davon ist eingetroffen. Die globalen Katastrophen wie Krankheit und Rezession sowie die Unsicherheit scheinen keine offensichtlichen Auswirkungen auf die grundlegende Natur des Internets gehabt zu haben. Das Internet an sich ist krisenfest, und das ist sehr erfreulich.

Über den Autor: Tod Beardsley ist Forschungsdirektor bei Rapid7. Er verfügt über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.

(ID:46906641)