:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Angriffe auf verwundbare Endpoints Typische Angriffe auf PC-Arbeitsplätze
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/5b/655b106b28c01/secunet-logo-rgb-schwarzrot-100mm.jpeg "secunet-logo-rgb-schwarzrot-100mm (secunet)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Angriffsflächen auf IT-Systeme sind nicht immer versteckt im Netzwerk, auch gängige PC-Arbeitsplätze können zu Einfallstoren von Cyberangriffen werden. Manche Schwachstellen bei PC-Arbeitsplätzen sind fast schon Klassiker, weil sie Angreifern zuverlässig Zugang zu Endgeräten und Netzwerken verschaffen können.
In den vermeintlich sicheren vier Wänden des Büros unterschätzen viele Unternehmen die Gefahr durch Außenstehende. So gibt es neben den eigenen Mitarbeitenden zahlreiche Personen, die ebenfalls Zugang zu den Bürogebäuden haben wie Servicekräfte oder der Sicherheitsdienst. Zudem gelingt es auch Unbefugten immer wieder, sich ohne Anmeldung den Weg in Unternehmensräume zu verschaffen. Eine Übersicht der gängigsten Schwachstellen bei PC-Arbeitsplätzen – und wie Unternehmen sich davor schützen können.
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
So wird die Firewall zum sicheren System
Typische Schwachstellen von Firewalls
Fast schon ein Klassiker: die Festplattenverschlüsselung
Unternehmen fühlen sich in ihren eigenen Büroräumen sicher – doch müssen sie auch hier Vorkehrungen treffen, um ihre IT-Systeme vor Unbefugten zu schützen. Denn auch ohne Login oder Zugangsdaten ist es möglich, Daten einzusehen und zu verändern. Bei mobilen Geräten ist es Standard, Festplatten zu verschlüsseln, bei PC-Arbeitsplätzen leider nicht. Und hier liegt das Problem. So können Angreifer sich beispielsweise durch den Austausch der Datei OSK.EXE im Windows-Verzeichnis Zugang zum System verschaffen. Wird genannte Datei ausgetauscht, lassen sich über eine Kommandozeile lokale Administrator-Rechte einrichten, man spricht hier auch von einer vertikalen Rechteausweitung. Ein Angreifer erschleicht sich über einen Account also höhere Nutzerprivilegien als ihm eigentlich zustehen. Um dieser Gefahr vorzubeugen, sollten alle Arbeitsplätze mit einer Festplattenverschlüsselung ausgestattet werden. Durch diese können Nutzer das System erst verwenden, wenn sie es durch ein Kennwort oder einen Hardware-Token freigeschaltet haben.
Der nächste Klassiker: Passwörter
Die erschlichenen Administrator-Rechte können Angreifer nutzen, um beispielsweise an gehashte Passwörter zu kommen. Denn in vielen Windows-Umgebungen existieren lokale Benutzer wie Administratorenkonten oder Management-User für den lokalen Virenschutz oder die Softwareverteilung. Angreifer müssen häufig nicht einmal das Klartextpasswort berechnen, sondern können das gehashte Passwort verwenden. Man spricht hier von „Pass-the-Hash“-Angriffen, kurz „PtH“. Ist der lokale Administrator auf verschiedenen PC-Arbeitsplätzen eingerichtet, können Angreifer auf all diese zugreifen – im schlimmsten Fall sogar auf interne Server. Hilfreich ist hier die Local Administrator Password Solution (kurz: LAPS), mit der Passwörter automatisch verwaltet werden können. Zudem erstellt das Tool unterschiedliche Passwörter pro Arbeitsplatz und ändert diese regelmäßig.
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
Local Administrator Password Solution (LAPS) schützt Admin-Konten
Lokale Kennwörter in AD mit Microsoft LAPS schützen
Stichwort gehashte Passwörter: In den Standardeinstellungen speichern Windows-Systeme die zehn letzten erfolgreichen lokalen Logins ebenfalls gehasht ab. Ob „normale“ Nutzer oder Support-Mitarbeiter: Die Daten können von einem lokalen Administrator ausgelesen und mittels Passwortlisten berechnet werden. Erschwerend kommt hinzu, dass die Logins auch über das Netz auf allen Systemen, auf denen der Angreifer lokale Adminrechte hat, ausgelesen werden können. Bei dieser sogenannten horizontalen Rechteausweitung verschafft sich der Angreifer Rechte eines Users, dessen Ressourcen besonders geschützt sind. Die Gegenmaßnahme ist hier vergleichsweise einfach, man muss sie nur kennen. Die Standardeinstellung bei Windows kann geändert und die Anzahl der Logins über eine Gruppenrichtlinie angepasst werden. Ratsam ist bei PC-Arbeitsplätzen lediglich ein Login, bei mobilen Geräten zwei.
Und noch ein Klassiker, der zur Schwachstelle werden kann: Die Kerberos-Authentifizierung
Zur Verwaltung von Windows-basierten Netzwerken wird standardmäßig das Active Directory verwendet. Zur Authentisierung nutzt dieses das Kerberos-Verfahren. Benannt nach dem dreiköpfigen Höllenhund Kerberos basiert die Sicherheit des Verfahrens ebenfalls auf drei Komponenten: dem Client, dem Key-Distribution-Center und dem Hosting-Server. Nutzern werden dabei Tickets ausgestellt, mit denen sie sich an anderen Servern anmelden können. Diese Tickets gelten meist für einzelne Dienste – doch hier gibt es Ausnahmen. Kerberos-Server können eine Authentisierungsanfrage an Nutzer stellen, die ein Angreifer speichern und als Basis für seinen Angriff nutzen kann. Mit dem Passwort kann sich der Angreifer als diese Person ausgeben und sich im Active Directory anmelden. Kerberostable Accounts sind in einigen Fällen durchaus notwendig, können jedoch durch möglichst lange und komplexe Passwörter gut geschützt werden.
Über die Autoren: Dirk Reimers ist Abteilungsleiter Pentest & Forensik bei secunet.
Alexandra Roszkowski ist Senior Marketing Managerin PR ebenfalls bei secunet.
(ID:49725487)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")