Anzeige

Cybersicherheit

In Unternehmen kontinuierlich für Cybersicherheit zu sorgen, ist eine herausfordernde Aufgabe. Immer wieder verändern Angreifer ihre Methoden, wodurch sich neue Risiken ergeben. Darauf vorbereitet zu sein, ist für Unternehmen wichtig, um der Gefahr einer Kompromittierung zu entgegnen.

Kudelski Security nimmt das Jahresende zum Anlass, um Verantwortliche für Cybersicherheit auf die wahrscheinlichsten Sicherheitsrisiken für 2021 aufmerksam zu machen und ihnen gleichzeitig Tipps an die Hand zu geben, wie sie ihr Unternehmen schützen können. In folgenden Bereichen ist vermehrt mit Angriffen zu rechnen:

1. Mobilfunknetze geraten vermehrt in den Fokus

Geräte im Internet of Things (IoT) sind beliebte Ziele für Angreifer. Während der Rollout von 5G immer weiter voranschreitet, geraten allerdings vermehrt die Mobilfunknetze selbst in den Fokus. Der Grund: Mit 5G stellen Netzbetreiber einen schnellen und zuverlässigen Netzzugang zu Millionen – oder Hunderten von Millionen kleiner Geräte bereit, die oft nicht gut gesichert sind. Damit wird das Risiko, dass diese IoT-Systeme für volumetrische DDoS-Angriffe genutzt werden, weiter zunehmen. Diese Angriffe werden sich nicht nur auf die beabsichtigten Ziele auswirken, sondern können auch Kollateralschäden im Netzwerk des Betreibers verursachen. Für Unternehmen ist das ein Risiko, denn sie sind zunehmend abhängig von Mobilfunknetzen und 5G, schließlich basieren viele Services auf der Technik.

Daher sind erhöhte Sicherheitsstandards notwendig, bereits bei den einzelnen IoT-Geräten. Unternehmen können einen Beitrag für mehr Cybersicherheit leisten, indem sie zum Beispiel in ihrer IT-Infrastruktur ein Scrubbing Center einrichten, das eingehenden Verkehr zentral analysiert und nur legitime Anfragen durchlässt. Das kann unter Umständen auch bewirken, dass weiterer Datenverkehr von Geräten, die den Anschein erwecken, an DDoS-Angriffen beteiligten Datenverkehr verursacht zu haben, unterbunden wird. Ohne weitere Maßnahmen drohen destruktive Angriffe, die sich die Rahmenbedingungen rund um IoT-Geräte und 5G zunutze machen.

2. Angriffe auf Remote Code Execution-Schwachstellen in Internet-Sicherheitssystemen sind wieder im Kommen

Viele Sicherheits-Tools, die für eine direkte Verbindung mit dem Internet vorgesehen sind, sind zunehmend anfällig für Remote Code Execution (RCE)-Schwachstellen. Noch vor wenigen Jahren kam es bei Angreifern, die RCE-Schwachstellen als primären Vektor für den Erstzugriff ausnutzen, zu einem enormen Rückgang. Stattdessen gingen sie zu einfacheren Methoden wie Phishing-Versuchen und Drive-By-Exploits über, da es als zeitaufwändig und kostspielig galt, Schwachstellen in Systemen mit Internetanschluss zu finden und auszunutzen. Seit jedoch bekannt wurde, wie die Nation State Equation Group 2017 sehr erfolgreich RCE-Schwachstellen von mit dem Internet verbundenen Systemen (wie Routern, VPN-Konzentratoren und Firewalls) ausnutzte, hat diese Art von Angriffen wieder an Popularität gewonnen.

Infolge der Offenlegung durch die Equation Group haben Sicherheitsexperten ihre Aufmerksamkeit auf mit dem Internet verbundene Sicherheitsgeräte und Software gerichtet, die explizit für das Internet konzipiert wurde, was zu einer großen Anzahl gemeldeter (und ausgenutzter) Schwachstellen in VPN-Konzentratoren, Firewalls, Web Application Firewalls, Load Balancern oder MDM-Systemen (Mobile Device Management) geführt hat. In der Regel unterstützen Internet-orientierte Produkte (wie Firewalls und VPN-Lösungen) keine Tools für Endpoint Detection und -Response (EDR) oder Sicherheitstransparenz. Das bedeutet, dass man ihnen, sobald ein Angreifer sie und damit ein Unternehmen erfolgreich ausnutzt, nicht mehr trauen kann. Der einzige Ausweg besteht darin, die Systeme komplett neu aufzubauen oder die Firmware zurückzusetzen, indem der Flash-Speicher gelöscht und neu beschrieben wird.

Grundsätzlich sollten Unternehmen davon ausgehen, dass auch weniger talentierte Angreifer ihre mit dem Internet verbundenen Systeme unterwandern können. Der entscheidende Schritt zur Absicherung ist das schnelle Aufdecken und Ausbessern der Schwachstellen. Deshalb ist es wichtig, sich für Benachrichtigungen zu Schwachstellen von Lösungsanbietern anzumelden und regelmäßig Sicherheitsscans von Internet-Systemen durchzuführen, die zur Verteidigung eines Netzwerks dienen. Da sich EDR-Tools in den Systemen in der Regel nicht installieren lassen, sollten Unternehmen sich außerdem darauf konzentrieren, Schwachstellen in den Systemen zu erkennen, sobald sie ausgenutzt werden. Sie dürfen auch nicht davon ausgehen, dass von Systemen zur Cybersicherheit erzeugter Datenverkehr stets legitim ist. Möglicherweise sind sie nämlich von einem Angreifer kompromittiert, der sie als Kanal für Malware nutzt, um das IT-Team eines Unternehmens zu überlisten.

3. Angreifer nutzen häufiger unerlaubte OAuth 2.0-Grants

Viele Unternehmen haben mittlerweile bei ihren Mitarbeitern mehr Bewusstsein für Phishing-Versuche geschaffen, den Einsatz von Multi-Faktor-Authentifizierung (MFA) verstärkt und Regeln zur Erkennung anomaler Anmeldungen aufgestellt. Aus diesem Grund versuchen Angreifer nun, Mitarbeiter auszutricksen, damit sie über unerlaubte OAuth 2.0-Grants Zugriff auf ihre Konten zulassen. Im Jahr 2020 nahm Kudelski Security eine Zunahme entsprechender Versuche wahr – ein Trend, der sich in den kommenden Monaten voraussichtlich weiter verstärken wird. Solche OAuth 2.0-Grants werden nicht automatisch widerrufen, wenn Passwörter geändert werden und sie erfordern auch keine zusätzlichen MFA-Aufforderungen, um von Angreifern missbraucht zu werden.

Unternehmen sollten daher einschränken, welche Anwendungen berechtigt sind, OAuth 2.0-Grants für Mitarbeiterkonten zu fordern. Mit Microsoft Azure Active Directory beispielsweise lässt sich einrichten, dass Anwendungen erst einmal genehmigt werden müssen, bevor sie OAuth 2.0-Grants fordern können. Eine weitere Option für mehr Cybersicherheit besteht darin, die Zugriffsrechte via OAuth 2.0 zu beschränken. Dazu gehören zum Beispiel die Möglichkeiten, dass es Mitarbeitern nicht zu erlauben, nicht vertrauenswürdigen Anwendungen über OAuth 2.0 die Möglichkeit zu gewähren, E-Mails zu lesen oder zu schreiben.

4. Ransomware-Gruppen drohen immer häufiger mit der Preisgabe von Informationen

Unternehmen zeigen großes Engagement, Backup-Strategien zu entwickeln, zu erproben und einzusetzen, um die Hauptauswirkungen von Ransomware, dem Verlust des Zugriffs auf kritische Daten, zu mindern. Leider haben es viele Unternehmen aber bisher versäumt, Ransomware-Angriffe an sich zu verhindern. Diese Gefahr für Unternehmen besteht folglich weiterhin und Angreifer nutzen das aus. So sind Ransomware-Gruppen zu einer neuen Strategie übergegangen: Wenn Unternehmen ihre Daten und Prozesse dank verschlüsselter Systeme schnell selbst wiederherstellen können, drohen Ransomware-Gruppen damit, dass sie sensible Informationen bekannt machen, wenn Unternehmen nach einem erfolgreichen Angriff kein Lösegeld zahlen wollen.

Deshalb müssen Unternehmen nun den nächsten Schritt gehen: Wenn sie bereits über Backup- und Datenwiederherstellungsstrategien verfügen, ist es jetzt an der Zeit, sich mit den systemischen Problemen auseinanderzusetzen, die von Angreifern dazu ausgenutzt werden, Lösegeldforderungen weitreichend und automatisch einzusetzen. Dazu gehört der Einsatz von Tools zur Verwaltung eindeutiger Passwörter für lokale Administratorkonten, die Deaktivierung eingehender SMB-/Netbios-Verbindungen zu Endpunkten, die Beschränkung des Zugriffs auf Remote-Verwaltungstools sowie die Alarmierung bei anomaler Nutzung.

5. Deepfakes entwickeln sich zu einer Bedrohung

Als Deepfakes werden gefälschte Video- und Audioaufnahmen bezeichnet, die mithilfe von künstlicher Intelligenz (KI) erstellt werden. Mit ihnen ist es möglich, das Aussehen und die Stimme einer Person überzeugend zu imitieren. Aufzeichnungen der jeweiligen Person dienen einem KI-Algorithmus dabei als Vorlage. Zu finden sind entsprechende Aufzeichnungen oft online. All das nutzen Angreifer für ihre Zwecke. Deepfakes sind für sie ein Mittel für Social Engineering. Vorstellbar ist es zum Bespiel, bei einem Gespräch mit einem Mitarbeiter die Stimme seines Vorgesetzten zu imitieren und eine Überweisung anzuordnen. Da Deepfakes leichter verfügbar, weniger aufwendig, kostengünstiger und vor allem immer besser werden, ist zukünftig mit ihrer Zunahme zu rechnen.

Um gefälschte Videos zu identifizieren, gibt es bereits erste Tools. Jedoch ist es noch schwer, eine Audioaufnahme, die bei einem Anruf in Echtzeit abgespielt wird, als Deepfake zu entlarven. Es kommt daher auf die Mitarbeiter an. Unternehmen müssen durch Trainings ein Bewusstsein für Deepfakes schaffen. Anweisungen, die nicht im direkten Gespräch erfolgen und ungewöhnlich erscheinen, sind stets zu hinterfragen. Hilfreich ist es auch, für bestimmte Vorgänge im Finanzwesen stets eine Kontrollinstanz einzuschalten, die diese erst überprüft und dann genehmigt.

https://www.kudelskisecurity.com/de/


Artikel zu diesem Thema

IoT
Jan 09, 2021

Das Potenzial des Internet of Things

Gartner prognostizierte 2017, dass bis 2020 20 Milliarden IoT-Geräte online verbunden…
Ransomware
Nov 10, 2020

Deutsche Unternehmen erwarten Zunahme von Ransomware

Ransomware bleibt ein Renner. Dies hob zuletzt der Jahresbericht des Bundesamts für…
Whitepaper Starke Authentifizierung
Sep 01, 2020

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet…

Weitere Artikel

Cyber-Lockdown

Ein Jahr im Cyber-Lockdown. Was haben wir gelernt?

Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Phishing

Nutzer sind besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

KnowBe4, Anbieter der Plattform für Security Awareness Training und Phishing-Simulationen, gab die Ergebnisse seiner Phishing-Untersuchungen für das 1. Quartal 2021 bekannt.
Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.