:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Einfallstore für Hacker effektiv schließen Wie eine starke Authentifizierung vor Ransomeware schützt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Attacken mit Ransomeware sind verbreiteter denn je. Ein Blick auf die Hauptangriffsvektoren bekannter Fälle zeigt: sichere Authentifizierung ist ein wichtiger Schritt zur Risikomitigation.
Dass Ransomware ein Problem ist und auch nicht an Tragweite verlieren wird, ist heute jedem, der sich mit IT-Sicherheit beschäftigt, klar. Laut der globalen Studie “The State of Ransomware” haben mehr als die Hälfte der Organisationen im Jahr 2020 schon einmal einen Cyberangriff erlebt, der auf Lösegeld aus war. Im Zweifel den Forderungen nachzugeben oder das System wiederherzustellen, ist eine teure Strategie, weshalb sich bei der Risikomitigation zunächst die Frage gestellt werden sollte, was die Hauptangriffsvektoren dieser Malware sind. Denn so ist es möglich, sich einer Lösung zu nähern, die das Problem von Ransomware nicht nur verschiebt, sondern das Risiko im Idealfall dauerhaft reduziert.
Die drei Hauptangriffsvektoren von Ransomware
Angriffsvektor Nummer 1 – Die Technologie: Wie in vielen anderen Angriffsszenarien auch, nutzen Hacker für ihre Ransomware-Attacken Schwachstellen und Backdoors verwundbarer Infrastruktur aus, um Schadsoftware in ein System zu schleusen. Verwundbar ist die Infrastruktur vor allem dann, wenn sie auf ungepatchten Systemen basiert. So zielt beispielsweise die bekannte Ransomware Wannacry – die durch das Lahmlegen von Universitäten und Krankenhäusern zu Bekanntheit gelangte – direkt auf Computer mit veralteten Microsoft-Windows-Versionen ab. Hierbei wurde ein bekannter Programmierfehler in der SMB-Implementierung ausgenutzt, um Abstürze und dauerhafte Bluescreens (daher auch “Eternal-Blue” genannt) zu erzeugen, Computer auszuspionieren und Nutzer aus den Systemen auszusperren. Wie virulent das Problem ungepatchter Computer ist, zeigte sich durch Wannacry, die sich in 150 Ländern ausbreitete und mehr als 230.000 Rechner infizierte.
Angriffsvektor Nummer 2 – Der Prozess: Selbst, wenn CISOs sich eigentlich vorbildlich zeigen und ihr System auf dem neuesten Stand halten wollen, birgt auch das Patch-Management Gefahren. Wird nicht kontrolliert, dass Patches von verifizierten Quellen übertragen werden, oder werden Systemveränderungen einfach zugelassen, öffnet dies die Pforten für Malware wie auch Ransomware. Denn, wie das Beispiel des Dienstleisters für IT- und Netzwerkmanagement SolarWinds zeigt, auch ein Patch kann durchaus kompromittiert sein: In dem Fall, der 2020 Aufsehen erregte, infiltrierten Hacker den Built-Prozess von SolarWinds. So konnten sie einen Trojaner in ein Update integrieren, welches etwa 18.000 Kunden über die SolarWinds-Plattform Orion installierten. Ein solcher Angriff auf Drittanbieter-Software, der man als Unternehmen eigentlich vertraut, ist für Administratoren in der Organisation nur schwer zu entdecken. Experten vergleichen es mit einem Angriff auf einen Schlüssel-Hersteller, anstatt ein Schloss zu knacken: Durch das kompromittierte Update gelang es den Angreifern staatliche und private Netzwerke der US-Regierung – vom Heimatschutzministerium bis zur nationalen Verwaltung für nukleare Sicherheit – zu infiltrieren und auch Unternehmen wie Microsoft, Nvidia, Belkin, Intel oder Cisco waren betroffen.
Angriffsvektor Nummer 3 – Der Mensch: Die Mitarbeitenden einer Organisation bleiben immer eine Schwachstelle, egal ob sie nun per Social Engineering oder Phishing dazu gebracht werden, einen Download von einer bösartigen Website zu starten. Die Attacken auf Personen sind gerade auch in Zeiten von Corona und dem damit verbundenen Arbeiten im Home Office massiv angestiegen. Offenbar muss gerade außerhalb der physischen Räume einer Organisation auf das Verhalten der Angestellten geachtet werden, was die IT-Sicherheit angeht. Einer IBM-Studie von 2020 zufolge haben jedoch fast die Hälfte (45 Prozent) der Beschäftigten unterschiedlicher US-Unternehmen, die ins Home Office wechselten, kein Training zur IT-Sicherheit erhalten. Die Unsicherheit vieler Angestellter in dieser neuartigen Situation, die durch die Corona-Pandemie weiter verstärkt wurde, macht sie zu einem beliebten Ziel für Hacker, und Phishing, Smishing oder fiktive Anrufe von vermeintlichen Kollegen der IT-Abteilung haben aktuell Hochkonjunktur. Wenn Mitarbeitende nicht ausreichend für die Gefahren sensibilisiert sind, werden sie unfreiwillig zu Gehilfen der Hacker, zum Beispiel wenn Sie aufgefordert werden, auf Links zu klicken oder Programme zu installieren, hinter denen sich Ransomware verbirgt.
Das Problem mit Credentials
Doch selbst wenn man davon ausgeht, dass alle drei Angriffsvektoren -– Technologie, Prozess und Mensch – perfekt vor Ransomeware-Attacken gefeit wären, so bleibt das Risiko von unautorisierten Zugriffen auf Systeme bestehen. Der Grund liegt in der Natur von primitiven Login-Daten (Credentials): Wer über sie verfügt, erhält Zugang zum System und kann darin schalten und walten wie er will. Wird kein Nachweis darüber geführt, dass der Nutzende die Credentials zu Recht besitzt, hat die IT keinen Grund anzunehmen, dass es sich um einen Angriff handelt. Geht der Zugriff über den einzelnen Computer hinaus und betrifft das Unternehmenssystem insgesamt, ist die flächendeckende Installation von Malware kein Problem. Wie groß das Problem von Credentials bei Ransomware-Angriffen ist, verdeutlichen die Infiltrationsstrategien einiger bekannter Malwares:
- Dharma (a.k.a. CrySIS) -– attackiert mit Brute-Force-Methoden schwache Anmeldedaten, um sich über Remote Desktop Protocols (RDP) Zugang zum Netzwerk oder System einer Organisation zu verschaffen
- Phobos Ransomware -– nutzt ebenfalls RDP-Verbindungen um Netzwerke zu infiltrieren
- Sodinoki (oder auch Sodin beziehungsweise REvil) – verschafft sich durch Brute-Force-Attacken, Server Exploits oder Phishing Zugang zum System
- Snake, oder auch Ekans -– verbreitet sich durch industrielle Kontrollsysteme (ICS), indem sie offene RDPs mit schwachen Passwörtern nutzt, um die ICS Umgebung unmittelbar zu infizieren
Zwei Dinge werden bei der Betrachtung deutlich: Erstens nutzt Malware Anmeldedaten bewusst als Schwachstelle aus und zweitens sind Remote Desktop Protocols (RDPs) ein beliebter Angriffsweg.
Die Probleme mit RDPs
Die meisten Organisationen setzen auf RDPs für ihre Mitarbeitenden, die von Zuhause aus arbeiten und auf Firmenressourcen zugreifen müssen. Deshalb stellen sie RDP Ports im öffentlichen Internet zur Verfügung. Für Hacker ist es ein Leichtes, diese RDP-Ports zu finden und durch Brute-Force-Attacken schwache RDP-Anmeldedaten zu knacken oder sich durch Credential Stuffing Zugang zu verschaffen. Doch wie lässt sich diese Schwachstelle beseitigen? Eine zuverlässige und starke Authentifizierung wie Multi-Faktor-Authentifizierung (MFA) ist bei Standard-RDPs nicht ohne weiteres zu implementieren. VPN-Verbindungen könnten genutzt werden, um RDPs nicht öffentlich zugänglich zu machen, und doch bleiben auch VPN-Zugänge ohne MFA ebenso angreifbar.
Vier Ideen für eine sichere Autorisierung
Dennoch ist der Kampf gegen Ransomware nicht aussichtslos. Nach wie vor gibt es Maßnahmen, um auch die effizienteste Ransomware auszuschließen.
- 1. Der beste Schutz ist eine starke MFA, die nicht gestohlen werden kann. Das bedeutet, alle Faktoren sollten passwortlos sein, also eine Authentifizierung durch den Besitz eines autorisierten Geräts oder eines nicht verfälschbaren biometrischen Merkmals bieten.
- 2. Da RDP und VPN gerade in Zeiten vermehrter Remote-Arbeit ein so verbreiteter Angriffsvektor ist, sollte hier ein besonderes Augenmerk auf regelmäßige Updates gelegt werden.
- 3. Training für Mitarbeitende, insbesondere in Bezug auf Ransomware sollte Standard in jeder Organisation sein. Phishing ist und bleibt die wichtigste Angriffslinie von Ransomware.
- 4. Am Ende kann ein Risiko nie vollständig ausgeschlossen werden, weshalb die letzte Maßnahme lautet: Eine gute Backup-Strategie sollte jetzt implementiert werden, um in Falle einer Infektion mit Ransomware die Kosten für ein System-Reset so gering wie möglich zu halten.
Ausblick: Eine starke Authentifizierung gegen Ransomware
Alles in allem zeigt sich, dass Authentifizierung bei der Risikomitigation von Ransomware eine entscheidende Rolle spielt. Nach wie vor nutzen die Ersteller der Malware Anmeldedaten als zentrale Schwachstelle und auch komplizierte Passwörter sind dank Brute-Force und Credential Stuffing kein Hindernis mehr. Die grundsätzliche Abschaffung von Passwörtern zugunsten von autorisierten Geräten oder biometrischen Merkmalen würde damit eine Angriffslinie der Malware ausschließen. Schon heute ist eine passwortlose MFA der beste Weg, um die Schlüssel zum System nicht nur unter der Fußmatte zu verstecken.
Über den Autor: Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH und verfolgt mit seinem Unternehmen die Vision einer Welt, in der alle digitalen Interaktionen der Menschen vertrauenswürdig und privat sind. Sein Unternehmen, IDEE, bietet dafür preisgekrönte Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.
(ID:47420114)
:quality(80)/p7i.vogel.de/wcms/e3/4a/e34a68d48018059ecb7aef41e101dcff/0111274291.jpeg "Wenn Mitarbeitende durch Simulationen lernen, was im Notfall zu tun ist, wissen sie, wie sie im Ernstfall reagieren sollten. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/06/13064f565825d0dba349f0798ba9d3c2/0109839962.jpeg "Ein Brute-Force-Angriff ist der Versuch, ein Passwort im Wesentlichen per Versuch und Irrtum zu knacken. (Bild: valerybrozhinsky - stock.adobe.com)")