:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Einfallstore für Hacker effektiv schließen Wie eine starke Authentifizierung vor Ransomeware schützt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Attacken mit Ransomeware sind verbreiteter denn je. Ein Blick auf die Hauptangriffsvektoren bekannter Fälle zeigt: sichere Authentifizierung ist ein wichtiger Schritt zur Risikomitigation.
Dass Ransomware ein Problem ist und auch nicht an Tragweite verlieren wird, ist heute jedem, der sich mit IT-Sicherheit beschäftigt, klar. Laut der globalen Studie “The State of Ransomware” haben mehr als die Hälfte der Organisationen im Jahr 2020 schon einmal einen Cyberangriff erlebt, der auf Lösegeld aus war. Im Zweifel den Forderungen nachzugeben oder das System wiederherzustellen, ist eine teure Strategie, weshalb sich bei der Risikomitigation zunächst die Frage gestellt werden sollte, was die Hauptangriffsvektoren dieser Malware sind. Denn so ist es möglich, sich einer Lösung zu nähern, die das Problem von Ransomware nicht nur verschiebt, sondern das Risiko im Idealfall dauerhaft reduziert.
Die drei Hauptangriffsvektoren von Ransomware
Angriffsvektor Nummer 1 – Die Technologie: Wie in vielen anderen Angriffsszenarien auch, nutzen Hacker für ihre Ransomware-Attacken Schwachstellen und Backdoors verwundbarer Infrastruktur aus, um Schadsoftware in ein System zu schleusen. Verwundbar ist die Infrastruktur vor allem dann, wenn sie auf ungepatchten Systemen basiert. So zielt beispielsweise die bekannte Ransomware Wannacry – die durch das Lahmlegen von Universitäten und Krankenhäusern zu Bekanntheit gelangte – direkt auf Computer mit veralteten Microsoft-Windows-Versionen ab. Hierbei wurde ein bekannter Programmierfehler in der SMB-Implementierung ausgenutzt, um Abstürze und dauerhafte Bluescreens (daher auch “Eternal-Blue” genannt) zu erzeugen, Computer auszuspionieren und Nutzer aus den Systemen auszusperren. Wie virulent das Problem ungepatchter Computer ist, zeigte sich durch Wannacry, die sich in 150 Ländern ausbreitete und mehr als 230.000 Rechner infizierte.
Angriffsvektor Nummer 2 – Der Prozess: Selbst, wenn CISOs sich eigentlich vorbildlich zeigen und ihr System auf dem neuesten Stand halten wollen, birgt auch das Patch-Management Gefahren. Wird nicht kontrolliert, dass Patches von verifizierten Quellen übertragen werden, oder werden Systemveränderungen einfach zugelassen, öffnet dies die Pforten für Malware wie auch Ransomware. Denn, wie das Beispiel des Dienstleisters für IT- und Netzwerkmanagement SolarWinds zeigt, auch ein Patch kann durchaus kompromittiert sein: In dem Fall, der 2020 Aufsehen erregte, infiltrierten Hacker den Built-Prozess von SolarWinds. So konnten sie einen Trojaner in ein Update integrieren, welches etwa 18.000 Kunden über die SolarWinds-Plattform Orion installierten. Ein solcher Angriff auf Drittanbieter-Software, der man als Unternehmen eigentlich vertraut, ist für Administratoren in der Organisation nur schwer zu entdecken. Experten vergleichen es mit einem Angriff auf einen Schlüssel-Hersteller, anstatt ein Schloss zu knacken: Durch das kompromittierte Update gelang es den Angreifern staatliche und private Netzwerke der US-Regierung – vom Heimatschutzministerium bis zur nationalen Verwaltung für nukleare Sicherheit – zu infiltrieren und auch Unternehmen wie Microsoft, Nvidia, Belkin, Intel oder Cisco waren betroffen.
Angriffsvektor Nummer 3 – Der Mensch: Die Mitarbeitenden einer Organisation bleiben immer eine Schwachstelle, egal ob sie nun per Social Engineering oder Phishing dazu gebracht werden, einen Download von einer bösartigen Website zu starten. Die Attacken auf Personen sind gerade auch in Zeiten von Corona und dem damit verbundenen Arbeiten im Home Office massiv angestiegen. Offenbar muss gerade außerhalb der physischen Räume einer Organisation auf das Verhalten der Angestellten geachtet werden, was die IT-Sicherheit angeht. Einer IBM-Studie von 2020 zufolge haben jedoch fast die Hälfte (45 Prozent) der Beschäftigten unterschiedlicher US-Unternehmen, die ins Home Office wechselten, kein Training zur IT-Sicherheit erhalten. Die Unsicherheit vieler Angestellter in dieser neuartigen Situation, die durch die Corona-Pandemie weiter verstärkt wurde, macht sie zu einem beliebten Ziel für Hacker, und Phishing, Smishing oder fiktive Anrufe von vermeintlichen Kollegen der IT-Abteilung haben aktuell Hochkonjunktur. Wenn Mitarbeitende nicht ausreichend für die Gefahren sensibilisiert sind, werden sie unfreiwillig zu Gehilfen der Hacker, zum Beispiel wenn Sie aufgefordert werden, auf Links zu klicken oder Programme zu installieren, hinter denen sich Ransomware verbirgt.
Das Problem mit Credentials
Doch selbst wenn man davon ausgeht, dass alle drei Angriffsvektoren -– Technologie, Prozess und Mensch – perfekt vor Ransomeware-Attacken gefeit wären, so bleibt das Risiko von unautorisierten Zugriffen auf Systeme bestehen. Der Grund liegt in der Natur von primitiven Login-Daten (Credentials): Wer über sie verfügt, erhält Zugang zum System und kann darin schalten und walten wie er will. Wird kein Nachweis darüber geführt, dass der Nutzende die Credentials zu Recht besitzt, hat die IT keinen Grund anzunehmen, dass es sich um einen Angriff handelt. Geht der Zugriff über den einzelnen Computer hinaus und betrifft das Unternehmenssystem insgesamt, ist die flächendeckende Installation von Malware kein Problem. Wie groß das Problem von Credentials bei Ransomware-Angriffen ist, verdeutlichen die Infiltrationsstrategien einiger bekannter Malwares:
- Dharma (a.k.a. CrySIS) -– attackiert mit Brute-Force-Methoden schwache Anmeldedaten, um sich über Remote Desktop Protocols (RDP) Zugang zum Netzwerk oder System einer Organisation zu verschaffen
- Phobos Ransomware -– nutzt ebenfalls RDP-Verbindungen um Netzwerke zu infiltrieren
- Sodinoki (oder auch Sodin beziehungsweise REvil) – verschafft sich durch Brute-Force-Attacken, Server Exploits oder Phishing Zugang zum System
- Snake, oder auch Ekans -– verbreitet sich durch industrielle Kontrollsysteme (ICS), indem sie offene RDPs mit schwachen Passwörtern nutzt, um die ICS Umgebung unmittelbar zu infizieren
Zwei Dinge werden bei der Betrachtung deutlich: Erstens nutzt Malware Anmeldedaten bewusst als Schwachstelle aus und zweitens sind Remote Desktop Protocols (RDPs) ein beliebter Angriffsweg.
Die Probleme mit RDPs
Die meisten Organisationen setzen auf RDPs für ihre Mitarbeitenden, die von Zuhause aus arbeiten und auf Firmenressourcen zugreifen müssen. Deshalb stellen sie RDP Ports im öffentlichen Internet zur Verfügung. Für Hacker ist es ein Leichtes, diese RDP-Ports zu finden und durch Brute-Force-Attacken schwache RDP-Anmeldedaten zu knacken oder sich durch Credential Stuffing Zugang zu verschaffen. Doch wie lässt sich diese Schwachstelle beseitigen? Eine zuverlässige und starke Authentifizierung wie Multi-Faktor-Authentifizierung (MFA) ist bei Standard-RDPs nicht ohne weiteres zu implementieren. VPN-Verbindungen könnten genutzt werden, um RDPs nicht öffentlich zugänglich zu machen, und doch bleiben auch VPN-Zugänge ohne MFA ebenso angreifbar.
Vier Ideen für eine sichere Autorisierung
Dennoch ist der Kampf gegen Ransomware nicht aussichtslos. Nach wie vor gibt es Maßnahmen, um auch die effizienteste Ransomware auszuschließen.
- 1. Der beste Schutz ist eine starke MFA, die nicht gestohlen werden kann. Das bedeutet, alle Faktoren sollten passwortlos sein, also eine Authentifizierung durch den Besitz eines autorisierten Geräts oder eines nicht verfälschbaren biometrischen Merkmals bieten.
- 2. Da RDP und VPN gerade in Zeiten vermehrter Remote-Arbeit ein so verbreiteter Angriffsvektor ist, sollte hier ein besonderes Augenmerk auf regelmäßige Updates gelegt werden.
- 3. Training für Mitarbeitende, insbesondere in Bezug auf Ransomware sollte Standard in jeder Organisation sein. Phishing ist und bleibt die wichtigste Angriffslinie von Ransomware.
- 4. Am Ende kann ein Risiko nie vollständig ausgeschlossen werden, weshalb die letzte Maßnahme lautet: Eine gute Backup-Strategie sollte jetzt implementiert werden, um in Falle einer Infektion mit Ransomware die Kosten für ein System-Reset so gering wie möglich zu halten.
Ausblick: Eine starke Authentifizierung gegen Ransomware
Alles in allem zeigt sich, dass Authentifizierung bei der Risikomitigation von Ransomware eine entscheidende Rolle spielt. Nach wie vor nutzen die Ersteller der Malware Anmeldedaten als zentrale Schwachstelle und auch komplizierte Passwörter sind dank Brute-Force und Credential Stuffing kein Hindernis mehr. Die grundsätzliche Abschaffung von Passwörtern zugunsten von autorisierten Geräten oder biometrischen Merkmalen würde damit eine Angriffslinie der Malware ausschließen. Schon heute ist eine passwortlose MFA der beste Weg, um die Schlüssel zum System nicht nur unter der Fußmatte zu verstecken.
Über den Autor: Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH und verfolgt mit seinem Unternehmen die Vision einer Welt, in der alle digitalen Interaktionen der Menschen vertrauenswürdig und privat sind. Sein Unternehmen, IDEE, bietet dafür preisgekrönte Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.
(ID:47420114)
:quality(80)/images.vogel.de/vogelonline/bdb/1881700/1881745/original.jpg "APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu. Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv. (Sergey Nivens - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896240/original.jpg "Angriffsvektoren sind Wege und Techniken für Angriffe auf IT-Systeme. (gemeinfrei)")