Wir haben 4 Schritte und eine Checkliste erstellt, wie jeder seine Cybersicherheit durch einfache Vorsorge up-to-date halten kann.
Was versteht man überhaupt unter IT-Hygiene und worauf muss ich als Firma und auch als privater Nutzer achten?
Cybersicherheit: Am Anfang steht die IT-Hygiene
Cyber-Hygiene oder auch IT-Hygiene? Was ist das?
Vereinfacht ist eine gemeinsame Vorsichtsmaßnahme von Sicherheitsexperten, Admins und Anwendern eines Unternehmens, um sich vor Angriffen zu schützen. Aber was bedeutet das konkret?
Das lässt sich nur schwer mit einem einzigen Satz beantworten.
4 Schritte zur erfolgreichen IT-Hygiene
- Alle Software-Patches müssen auf den neuesten Stand sein
- Alle Administrationszugriffe in der IT-Umgebung müssen transparent dokumentiert und einem strengen Regelwerk unterworfen sein.
- Alle Benutzerprofile dürfen nur die Rechte enthalten, die der jeweiligen Rolle und Arbeitsaufgabe entsprechen.
- Die IT-Umgebung muss nachvollziehbar dokumentiert sein.
Wir haben eine detaillierte Checkliste als erster Ansatz Punkt für IT-Hygiene entwickelt- doch wie setzt man diese Punkte um und wo sind die Herausforderungen?
Warum IT-Hygiene so wichtig ist
Alle Unternehmen und Organisationen haben inzwischen Firewall-Lösungen in Betrieb. Diese sind in der Regel gut administriert und tun ihren Dienst. Regelmäßiger Passwortwechsel mit immer komplexeren Passwörtern und klassische Antivirensysteme haben IT-Umgebungen sicherer gemacht. Gepflegte VPN-Umgebungen und sichere Remote-Desktop-Installationen haben dafür gesorgt, dass es Angreifer schwerer gemacht wird in IT-Umgebungen einzudringen.
Doch wer sich jetzt in Sicherheit wiegt, hat dem Angreifer bereits die Arbeit erleichtert. Denn die Cyber-Kriminellen haben dazugelernt und bereits andere Wege entdeckt, die es ihnen ermöglichen, ganz einfach in unsere IT-Infrastrukturen einzudringen. Jetzt denken bestimmt einige Beobachter an Phishing und Smishing (Phisihing via SMS oder Textnachricht – z.B. Pegasus-Hack) in den Sinn kommen. Das ist nicht ganz falsch, aber eben nur die halbe Wahrheit. Denn der Diebstahl von Zugriffsrechten, um den es bei diesen eCrime-Strategien geht, ist nur die halbe Miete. Es gibt noch viel, viel mehr Formen der Cyberattacken.
Nachdem der Angreifer in unserem Firmennetz ist, benötigt er weitere Schritte, um wirklich gefährlich werden zu können. Er benötigt beispielsweise die Rechte eines Administrators oder solche, die denen eines Administrators ähnlich sind. Er muss in der Lage sein, Software downzuladen und diese auszuführen – also zu installieren und zu nutzen.
Nur wenn er beides kann: Programme ausführen und den Zugriff auf die wichtigen Server und Rechner hat – dann kann er seinen Plan erfolgreich umsetzen. Es kommt zum Supergau, wenn er zudem noch die Möglichkeit hat Daten, aus der gekaperten IT-Umgebung an eine IP-Adresse seiner Wahl zu versenden, um sie dort zu speichern.
Vorhandene Lücken und Schwächen werden bei Cyber-Attacken schamlos ausgenutzt
Den Cyber-Kriminellen wird die Arbeit immer leichter gemacht. Es reicht meist aus, das Menü der CVE-Liste zu studieren. Das CVE Programm hat es sich zur Aufgabe gemacht Cybersicherheits-Schwachstellen zu identifizieren, zu definieren, zu katalogisieren und diese zu veröffentlichen. Das soll eigentlich auf Schwachstellen hinweisen um diese schnellstmöglich zu beheben – aber wie immer gibt es zwei Seiten der Medaille.
Man kann die Sache noch ein wenig weiter treiben und einfach einmal nach „exploit download“ googeln. Hier findet man Tools mit denen man noch nicht behobene Sicherheitslücken für seine Zwecke nutzen kann. Aktuelles Beispiel, der Hafnium Hack. Hier tut sich „Hacker’s Paradise“ auf– eine Vielzahl von Webseiten, wo sich der gewitzte Penetrationstester ebenso bedient wie ein kriminelle Hacker, der es weniger gut mit seinen Opfern meint. Ganz zu schweigen davon was man alles im Darknet, der Hacker-Spielwiese, finden kann.
Darüber hinaus finden regelmäßig Kongresse und Messen statt, auf denen immer wieder von neuen Sicherheits-Lücken berichtet wird. Doch das ist nur die Spitze des Eisbergs. Daneben existieren sogenannte „Zero-day-exploits“, das sind solche Lücken, die noch nicht „entdeckt“ worden sind, was hier als nicht einer breiteren Öffentlichkeit bekannt zu verstehen ist. Jüngste Beispiele sind HAFNIUM-Lücke, von der wir bereits berichtet haben, und weitere Lücken, die diese nach sich gezogen haben. Im Nachgang wurden Patches veröffentlicht, die diese bekannte Lücken schlossen, aber weitere eben nicht berücksichtigt hatten. Man vermutet, dass auch heute noch in Deutschland Exchange-Umgebungen am Netz sind, deren Patch-Level immer noch nicht auf dem neuesten Stand ist.
In eine ähnliche Richtung ging bzw. geht die PrintNightmare-Lücke, hinter der ungepatchte Druckertreiber- und Spooling- Exploits (z.B. Druckerwarteschlange) in Windows-Umgebungen verborgen sind. Damit ist das Problem nicht komplett erfasst. Beliebte Angriffsziele sind alte Java-Installationen, nicht upgedatete Adobe-PDF-Software und – man kann es kaum fassen – alle Browser, die nicht auf den aktuellen Softwarestand gebracht sind.
Jeder Software mit einem gewissen Verbreitungsgrad, ist gefährdet.
Als Beispiel der Kaseya-Hack.
Warum IT-Hygiene so wichtig ist
Beispiel: Entwicklung der Ransomware Erpressungsstrategien
Was braucht ein Cyber-Krimineller? Zugriff, Administrationsrechte, Netzwerkzugriff. Die Art der Erpressung hat sich in immer weiterentwickelt und inzwischen gibt es 4 Phasen der Ransomare-Erpressung (Extortion).
Früher hat er einfach Daten verschlüsselt und dann ein Email geschickt. In dieser Email stand kurz und knapp: Dein System ist verschlüsselt. Das kostet dich X Bitcoins. Hierin überweist du die Bitcoins. Den Schlüssel für die Entschlüsselung findest du hier. Ende. Kurz und knackig. Probate Strategie: Ich zahle nicht und bringe meine Systeme in Ordnung. Das hat die eCrimer natürlich erheblich genervt. Das war die Single Extortion.
Der nächste Schritt war daher, den Ablauf aus der Sicht der Cyber-Kriminellen zu optimieren. Also hat man erst einmal so viele Daten abgezogen wie möglich und auf ein System gespielt, dass der Angreifer kontrolliert hat. Die Erpressernachricht enthält seither einen Link. Dort zeigt der eCrimer seinem Opfer, welche Daten er hat und lässt ihn wissen, dass er im Zweifel Daten veröffentlichen wird. Dafür gibt es bekannte Webseiten. Aus dem traditionellen Kidnapping, das wir aus den Fernsehkrimis kenn, ist das das Video mit dem Opfer, und wenn das nicht reicht, kommt der abgeschnittene linke Zeigefinger oder ein Ohr. Nun war man schon bei der Double Extortion.
Nun haben die Hacker noch DDOS-Attacken hinzugefügt und wir sind bei der Triple Extortion. Bei DDoS-Attacken (Distributed Denial-of-Service) nutzen Kriminelle die Kapazitätsbeschränkungen aus, die für jede Netzwerkressource besteht, wie z. B. die Infrastruktur, in der die Seite eines Unternehmens gehostet wird. Für einen DDoS-Angriff werden mehrere Anfragen an die angegriffene Webressource gesendet, um ihre Kapazität zur Verarbeitung von Anfragen zu überlasten und so die Verfügbarkeit der Seite zu stören. Daher hatten auch viele zunächst beim stundenlangen Ausfall von Facebook, Instagram und WhatsApp eine DDOS-Attacke vermutet.
Das ist noch steigerungsfähig. Der erfolgreicher Angreifer droht, die Personen oder Organisationen anzugehen, deren Daten er gekapert hat. In manchen Fällen haben die Cyber-Kriminellen das sogar zum Bestandteil ihres Vorgehens gemacht und kontaktieren Kunden und Lieferanten ihres Opfers, das nennt man dann Quadruple Extortion. Der Kaseya-Hack ist eine Blaupause dafür. Hier wurden auch betroffene Kunden direkt angegangen. Das erhöht das Drohpotential und zugleich auch die Erpressungssummen.
Die 4 Stufen der Ransomware-Erpressung
In nachweisbar allen Fällen wurde Lücken bzw. Exploits ausgenutzt. Es bedurfte nicht in allen Fällen des vorherigen Diebstahls von Zugriffsrechten über Phishing, Smishing (Phishing via SMS oder Textnachricht) oder andere Methoden des Social Engineering wie z.B. Malicious Apps oder Fake-Websites, die über gehackte Wifi-Umgebungen bereitgestellt wurden. Bei Kaseya reichte die bekannte Software-Lücke, um den massiven Angriff erfolgreich zu gestalten.
Checkliste für IT-Hygiene
Guter Rat ist nicht immer teuer. Teuer könnte es werden, wenn man auch weiterhin die Aufgabe der IT-Hygiene, wie bisher, dermaßen vernachlässigt und unterschätzt.
Gute Cybersicherheits- und Patch-Management-Lösungen können diese Fragestellung lösen helfen. Am besten wählt man eine Kombination aus beidem. Als Hilfestellung haben wir eine Checkliste bereitgestellt, die die wichtigsten Punkte erfasst. Sie haben Fragen zur Umsetzung oder den einzelnen Punkten, dann wenden Sie sich jederzeit gerne an unser Cyber Security Team.
Weitere interessante Cyber-Security Webcasts – finden Sie hier.
Übrigens: Bei unserem IT-Sicherheitscheck gehört die Prüfung der IT-Hygiene zu den Kernbestandteilen von Untersuchung sowie Abschlussbericht.
