Die unsichtbare Sicherheitslücke

Warum Angreifer trotz teurer Tools leichtes Spiel haben

Viele Cybervorfälle entstehen nicht, weil die falschen Werkzeuge im Einsatz sind, sondern weil bestehende Schutzmaßnahmen nur halbherzig umgesetzt wurden. Wer Implementierungsfehler übersieht, wiegt sich häufig in trügerischer Sicherheit.

Fragt man IT-Sicherheitsverantwortliche in Unternehmen nach ihren Prioritäten, bekommt man meist die gleichen, vertrauten Antworten: Endpoint Detection and Response (EDR), Identity and Access Management, Netzwerksegmentierung, Cloud Security und Schwachstellenmanagement. Auf dem Papier wissen viele Teams genau, wie eine starke Sicherheitsarchitektur aussehen sollte. In realen Umgebungen entstehen Probleme oftmals nicht durch fehlende Security-Mechanismen, sondern durch die Annahme, geschützt zu sein, obwohl zentrale Kontrollen nur teilweise eingerichtet sind.

Anzeige

Die wahre Gefahr: unvollständige Abdeckung

Diskussionen darüber, welche EDR-Produkte, welche Firewalls oder welche Cloud-Sicherheitslösungen am besten sind, prägen seit Jahren den Markt. Diese Entscheidungen sind wichtig, aber selten die wichtigsten. In zahlreichen Umgebungen werden zentrale Schutzmaßnahmen nie vollständig ausgerollt, konsequent durchgesetzt oder regelmäßig überprüft. Genau diese Lücken nutzen Angreifer aus. Sicherheitsprogramme scheitern vornehmlich nicht daran, dass es keine Kontrollen gibt, sondern an inkonsistenter Abdeckung. Dahinter stehen meist wiederkehrende Ursachen wie fehlende Prozesse, mangelhafte

Durchsetzung von Richtlinien, knappe Ressourcen und das Ausbleiben routinemäßiger Überprüfungen. Eine Sicherheitsmaßnahme wirkt nur dort, wo sie tatsächlich existiert: Eine EDR-Plattform kann keinen Endpoint überwachen, auf dem sie nie installiert wurde. Multifaktor-Authentifizierung schützt keine Konten, die ausgenommen wurden. Netzwerksegmentierung bremst keine lateralen Bewegungen, wenn vergessene Subnetze weiterhin breiten internen Zugriff besitzen. Angreifer müssen die besten Verteidigungslinien nicht mühevoll überwinden – sie suchen einfach das System, das Service-Konto oder das Gerät, das von IT-Teams übersehen wurde.

Aus der Praxis

Welche Kettenwirkung selbst minimale Security-Verfehlungen haben können, zeigt ein realer Incident-Response-Fall. Erstes Warnzeichen war der versuchte Zugriff auf Anmeldedaten bei einem überwachten Endpoint. Das SOC-Team reagierte umgehend, isolierte das Endgerät und stellte fest, dass ein PowerShell- Befehl von einem zweiten internen, nicht überwachten Endpoint ausgeführt worden war. Dabei handelte es sich um ein Gerät, das zwar nach wie vor im Einsatz war, auf dem die EDR-Lösung jedoch nie installiert wurde. Aufgrund der mangelnden Transparenz war die Ursachenanalyse von vornherein eingeschränkt.

Anzeige

Die Empfehlungen gegenüber dem betroffenen Unternehmen waren zu diesem Zeitpunkt vielfältig: alle Konten zurücksetzen, kritische Schwachstellen patchen, Login-Berechtigungen für Service-Konten entziehen, sämtliche Subnetze in den Schwachstellen-Scan einbeziehen, Firewall-Regeln prüfen und MFA flächendeckend erzwingen. Der Kunde bestätigte, dass Passwörter zurückgesetzt wurden und EDR auf den unterstützten Endpoints ausgerollt sei. An den übrigen Punkten arbeite man.

Fünf Tage später war der Hypervisor durch Ransomware verschlüsselt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was tatsächlich schiefging

Der Angreifer authentifizierte sich erneut, diesmal über ein Service-Konto. Wie die spätere Untersuchung zeigte, wurden in Reaktion auf den ursprünglichen Vorfall nur Benutzerpasswörter zurückgesetzt, Service-Konten blieben außen vor. Auch hinsichtlich der empfohlenen Login-Restriktionen für diese Konten mangelte es an Umsetzung. Der eigentliche Kern allen Übels lag jedoch an ganz anderer Stelle: Das Unternehmen hatte ein kleines Subnetz mit einer einzelnen Telefonanlage übersehen. Dieses unterlag keinen nennenswerten Einschränkungen, mehrere Internet-zugängliche Ports standen offen, inklusive Administrator- und SSH-Zugriff. Die spätere Prüfung offenbarte zahlreiche kritische Schwachstellen, darunter eine remote ausnutzbare SSH-Lücke. Hier war seit der Inbetriebnahme vor Jahren nie gepatcht worden und dieser Umstand markierte den initialen Einstiegspunkt.

Eine Sicherheitsmaßnahme wirkt nur dort, wo sie tatsächlich existiert.

Paul Moll, WatchGuard Technologies

Von dieser Ausgangsbasis bewegte sich der Angreifer seitlich durch das Netzwerk: Der Angriffsweg führte letztlich über einen nicht überwachten Endpunkt eines externen Dienstleisters direkt bis zum Hypervisor. Der mittelbar involvierte Dienstleister hatte zwar nichts mit dem Hypervisor selbst zu tun, ebnete aufgrund von fehlender Segmentierung und unzureichender Zugriffskontrollen jedoch den Zugang. Erschwerend hinzu kam, dass der Hypervisor die Anmeldedaten mit der Telefonanlage teilte und diese Zugangsinformationen bereits über das anfällige Gerät kompromittiert worden waren. Der Hypervisor selbst wurde nicht mehr unterstützt und war längst veraltet.

Angreifer nutzen, was Unternehmen übersehen

Im Praxisbeispiel zeigt sich die typische Charakteristik von Security-Störfällen: Diese lassen sich in der Regel nicht auf ein einzelnes Totalversagen zurückführen, sondern sind vielmehr die Folge einer Verkettung kleinerer Versäumnisse. Viele Sicherheitsverantwortliche fragen sich angesichts der wachsenden Bedrohungslage, ob sie die teuersten Lösungen im Markt benötigen, dabei ist die viel wichtigere Frage: Sind die vorhandenen Kontrollen vollständig ausgerollt, durchgesetzt und werden regelmäßig überprüft? Im geschilderten Fall hätte selbst ein durchschnittliches EDRProdukt die Aktivitäten auf dem unverwalteten Endpoint mit hoher Wahrscheinlichkeit erkannt, vorausgesetzt, es wäre installiert gewesen. Keine Lösung kann Systeme schützen, die sie nicht sieht. Sicherheitsreife ist daher nicht nur von der Auswahl einer geeigneten Lösung abhängig, sondern steht und fällt nicht zuletzt mit der operativen Disziplin.

Entsprechend ergeben sich praxisnahe Empfehlungen:

Implementierungslücken schließen: Selbst mangelhafte Kontrollmechanismen vermitteln ein umfassendes – wenn auch trügerisches – Sicherheitsgefühl. Unternehmen sollten stets gezielt prüfen, was tatsächlich abgedeckt ist. Nur so lassen sich die Lücken zwischen Ideal und Realität identifizieren.

Empfehlungen sofort umsetzen: Hinweise des Sicherheitsteams, MDR-Providers, MSP oder MSSP müssen als Teil der Incident Response ernst genommen werden und zwar ohne Zeitverlust. Lässt sich eine Empfehlung nicht sofort umsetzen, zählen kompensierende Kontrollen.

Konsequent segmentieren: Anwender sollten grundsätzlich keinen ausufernden Zugang zu kritischen Systemen besitzen. Drittanbieter-Geräte, Partner-Lösungen und Black-Box-Technologien dürfen niemals uneingeschränkt im Netzwerk agieren. Segmentierung reduziert blinde Flecken.

Credential Sharing vermeiden: Login-Daten sollten stets exklusiv sein und die Weitergabe einzelner Zugangsdaten untereinander gilt es zu unterbinden.

Drittanbieter gleich behandeln: Externe Dienstleister, Lieferanten und Spezialgeräte fallen häufig durchs Raster. Das darf nicht sein. Sobald eine Verbindung mit dem Netzwerk besteht, müssen grundlegende Sicherheitsanforderungen erfüllt sein.

MDR/MSSP als echten Partner verstehen: Ein guter Dienstleister sendet nicht nur Alerts, sondern unterstützt Unternehmen beim Untersuchen, Priorisieren und Reduzieren von Risiken. Voraussetzung: Anregungen und Hinweise werden ernst genommen.

Fazit: Resilienz beginnt bei den Grundlagen

Es sind nicht unbedingt die Unternehmen mit dem elitärsten Sicherheitsbaukasten, die sich bei Angriffen am schnellsten erholen und Bedrohungen am wirkungsvollsten gegenübertreten. Häufig sind es jene, die IT-Basiswissen konsequent, vollständig und fehlerfrei anwenden. Sicherheitslücken sind meist administrativer oder verfahrenstechnischer Natur oder verbergen sich in Systemen, die niemand überprüft hat. Doch genau auf diese Schwachstellen setzen Angreifer. Ergo: Die Sicherheitslage eines Unternehmens wird nicht durch die erworbenen Sicherheitsmaßnahmen bestimmt. Sie definiert sich über Maßnahmen, die tatsächlich umgesetzt, durchgesetzt und aufrechterhalten werden.

Paul

Moll

Senior Field Marketing Manager Central Europe

WatchGuard Technologies

Bildquelle: WatchGuard Technologies
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.