Cyber-Attacken: Mit Maßnahmen-Mix zu mehr Sicherheit
Lassen Sie sich diesen Blog-Artikel von einer Künstlichen Intelligenz vorlesen.
Aktualisiert am 14.11.2024
Die im Februar 2024 entdeckte Sicherheitslücke CVE-2024-21410 im Microsoft Exchange Server verdeutlicht erneut, dass selbst etablierte Software nicht vor Schwachstellen gefeit ist. Diese kritische Schwachstelle ermöglichte es Angreifenden, über NTLM-Relay-Angriffe erhöhte Privilegien zu erlangen und somit unautorisierten Zugriff auf Systeme zu erhalten. Obwohl Microsoft zügig reagierte und entsprechende Sicherheitsupdates bereitstellte, wurden zahlreiche Systeme bereits kompromittiert, was zu erheblichen Sicherheitsvorfällen führte.
Trotz dieser Bedrohungen sind effektive Gegenmaßnahmen möglich. Im Folgenden wird die aktuelle Gefährdungslage näher beleuchtet und es werden Strategien vorgestellt, die die langfristige Sicherheit von IT-Systemen gewährleisten können.
Zielgerichtete Angriffe auf Unternehmen
Angriffe treffen vermehrt Firmen, Behörden und Organisationen, da hier mehr Geld lukriert werden kann, als bei Privatpersonen. Die zielgerichteten Köder sind dabei kaum mehr von legitimen Interaktionen zu unterscheiden. Oft fehlt es auch schlichtweg an Zeit, um zu prüfen, ob der E-Mail Header mit einer aus der Vergangenheit aufgegriffenen Konversation gefälscht ist.
Nach der Infektion läuft der Angriff zumeist automatisch im Hintergrund und sobald das Ziel als lohnend ausgemacht wurde, wird manuell weitergebohrt. Diese Phase kann in extremen Fällen auch bis zu mehreren Monaten dauern. Bei solchen Angriffen wird versucht, möglichst viele Daten zu sammeln, den Zugang im Unternehmensnetz zu festigen und damit den Fuß in der Türe zu behalten. Erst nachdem der Unternehmenswert geschätzt und ausgeschlossen wurde, dass anderweitig Geld gemacht werden kann - sowie die sichtbaren Backups unbrauchbar gemacht wurden - kommt die gefürchtete Ransomware zum Einsatz: ein Verschlüsselungstool mit anschließendem Erpressungsversuch.
IT-Security: keine Nadeln im Heuhaufen suchen
Aber kein Grund zur Sorge. Wirksame Maßnahmen in der IT-Sicherheit können Bösewichte zur Weißglut bringen, wenn sie versuchen, in Ihre Systeme einzudringen. Moderne IT-Security geht davon aus, dass jede noch so gut implementierte Sicherheitslösung umgangen werden kann. Deswegen sind möglichst viele Layer und Maßnahmen notwendig. Selbst in den unwahrscheinlichsten Szenarien sollten nie alle Stricke zur gleichen Zeit reißen.
Was bedeutet das in der Praxis und was kann ich tun?
Lassen Sie mich zunächst die klassischen Methoden zum Schutz Ihres Firmennetzwerks anführen:
- Einsatz einer Antiviren-Software, die mehrmals täglich Definitions-Updates bekommt und über eine gute Reporting-Funktion verfügt
- Verwendung einer im Ruleset perfekt gewarteten Firewall mit Deep-Packet-Inspection
- Ausgeprägtes Bewusstsein für Kennwort-Sicherheit und Admin-Accounts. Damit meine ich nicht, dass monatlich die Benutzer-Kennwörter geändert werden. Einer Studie zufolge ist das sogar kontraproduktiv. Der häufige Passwortwechsel, verleitet Mitarbeitende dazu Passwörter aufzuschreiben oder Variationen von bestehenden Kennwörtern zu verwenden.
Vielmehr sollte man Offboarding-Prozesse entwickeln, mit denen automatisch alle Zugänge für ehemalige Mitarbeitende deaktiviert werden. Standard-Kennwörter in Netzwerkkomponenten oder Serverhardware müssen geändert werden. Regelmäßig sollten Service-Accounts auf ihre Notwendigkeit überprüft werden. - Benutzung eines Admin-Accounts nur für administrative Tätigkeiten! Applikationen, die nur mit administrativen Rechten laufen, sollten der Vergangenheit angehören. Der Entzug lokaler Administratorrechte verhindert einen Großteil aller Malware-Infektionen.
- Schulung der Mitarbeitenden in den Grundlagen der IT-Security. Z.B. Sperren des PCs beim Verlassen des Arbeitsplatzes, Erkennen verdächtiger E-Mail-Nachrichten und Links etc.
- Patchen der Applikationen und Systeme. Nachdem Applikationen und Betriebssysteme frappierende Sicherheitslücken aufweisen können, müssen vom Hersteller bereitgestellte Fixes zeitnah eingespielt werden. Ein Großteil der Angreifenden weiß erst nach der Analyse dieser bereitgestellten Patches, wie sie die Lücken für ihre Zwecke ausnutzen können. Ein automatisiertes Patchmanagement beugt diesem Bedrohungsszenario vor und spart dem IT-Personal auch eine Menge Zeit und monotone Arbeit.
Ein Tool dazu möchte ich aufgrund seiner einfachen Bedienung und gleichzeitig wegen seines hohen Funktionsumfanges besonders hervorheben: Ivanti Security Controls. Hier können Windows Betriebssysteme, gängige Linux Distributionen, MacOS und viele 3rd Party Programme, wie Adobe Reader, Google Chrome etc., nach eigenem Zeitplan automatisiert auf Letztstand gebracht werden.
Neue Strategien - mehr Möglichkeiten
Der IT-Notfallplan
Tritt ein IT-Notfall in Folge einer Cyberattacke ein, ist schnelles Handeln gefragt. Der IT-Notfallplan beinhaltet Handlungsanweisungen für diese schwierige Situation und kann dabei helfen, Schäden und Ausfallszeiten zu minimieren. Ein regelmäßiges Üben von IT-Notfallplänen, stellt nicht nur sicher, dass jeder weiß was zu tun ist. Dadurch können auch auftretende Fehler und Unklarheiten korrigiert und dokumentiert werden. Somit wird der Notfallplan mit jeder Übung besser!
Der Notfallplan ermöglicht schnelles Handeln im Ernstfall
Backups: Backup is king!
Im Ernstfall zählt nur ein aktuelles und sicher ausgelagertes Backup, um Systeme und Daten wiederherstellen zu können. Das Backup sollte daher die letzte, nie versagende Instanz in den Security-Layer darstellen.
Oft vernachlässigt: versteckte Security-Layer
Viele der oben beschriebenen Themen sind allgegenwärtig und verschleiern die Bedeutung von Security-Ebenen, die aber ebenfalls essenziell sind, um Angriffe im Keim zu ersticken.
Application Hardening
Sind Office Makros oder Java Runtime für Ihr Unternehmen relevant? Aus sicherheitstechnischer Sicht sind diese zugelassenen Funktionen und Applikationen, die diese Technologien verwenden, nicht mehr zeitgemäß und sollten evaluiert wird.
Application Whitelisting
Mittels Application Whitelisting beugen Sie der beispielsweise der Ausführung von Trojanern vor. Erreicht wird dies, indem nur noch die von der IT genehmigte Software ausgeführt werden darf.
Hier hat sich seit längerem Ivanti Application Control bewährt. Mittels Trusted Ownership Checking ist es möglich, relativ zeitnah einen guten Schutz vor Malware einzurichten. Hier wird das File Ownership-Prinzip von Windows verwendet, um die Programmausführung von unerwünschter Software zu verhindern. In Verbindung mit klassischen Black- und Whitelists sowie digitalen Signaturen haben Sie ein professionelles Werkzeug im Einsatz, das Ihnen auch die Möglichkeit bietet, tiefgehende Scans von im Unternehmen verwendeter Software zu erstellen und gleich im Ruleset zu verwenden.
Sandbox Prinzip im Netz
Der Citrix Secure Browser, der mit den viel verwendeten Citrix Cloud Services kostenlos mitgeliefert wird, schaltet ein oft benutztes Einfallstor für Schädlinge per Design aus. Stellen Sie sich diesen Browser als Einwegprodukt vor. Wenn Sie im Internet surfen möchten, wird der Browser in einer eigenen Sitzung vom restlichen System abgekapselt geöffnet. Nach dem Schließen wird dieser zurückgesetzt, damit bei einem fatalen Klick die Schadsoftware nicht ins Host-Betriebssystem vordringen kann. Sie können sicher sein, dass bei der nächsten Benutzung Ihr System im gewünschten Zustand vorzufinden ist. Darüber hinaus sind nicht persistente Citrix-Umgebungen grundsätzlich hervorragend gegen die Auswirkungen von schlimmen Malware-Attacken gewappnet.
Mit dem richtigen Technologiemix einfach gerüstet sein
Fazit: Rüsten Sie sich!
IT-Verantwortliche wissen, dass es nur eine Frage der Zeit ist, bis ihr Unternehmen das Ziel einer Attacke ist. Daher empfehlen wir, sich für solche Ereignisse vorzubereiten. Es gibt nachweislich erfolgreiche Produkte, die Sie in Ihrem Unternehmen einsetzen können, um einer massiven Ransomware-Attacke keinesfalls ausgeliefert zu sein.
Jetzt teilen
Das könnte Sie auch interessieren
Ähnliche Beiträge