Schwachstellen in Firmennetzwerken Aufgedeckt statt gehackt
11. August 2017Hacker und Spione haben oftmals völlig freie Hand, denn zahlreiche Unternehmensnetzwerke weisen deutliche Sicherheitslecks auf. Unsichere Konfigurationen, Netzwerkarchitekturen und Passwörter, fehlende Updates sowie unsichere Produkte/Software zählen zu den häufigsten Einfallstoren. Diese ohnehin kritische IT-Sicherheitslage wird zusätzlich verstärkt durch die Industrie 4.0-Entwicklungen. Viele Anbieter entwickeln eigene Systeme und Lösungen, die keinem Standard entsprechen. Die Folge sind zunehmende heterogene und proprietäre IT-Landschaften, die kaum zu kontrollieren sind.
BSI warnt
Die Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zählen in Deutschland täglich bis zu 400.000 neue Schadprogramm-Varianten – Tendenz steigend. So erhöhte sich im Jahr 2017 beispielsweise die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang um 1270 Prozent gegenüber dem Vorjahr. Gleichzeitig explodiert auch die Häufigkeit der weiteren Angriffsmethoden und es kommen stetig neue Arten hinzu.
„Es sind in der Breite die mehr oder weniger einfachen Methoden, die leichtes Spiel haben, weil oftmals die IT-Sicherheits-Basics nicht eingehalten werden. So werden Konfigurationen übersehen oder fehlinterpretiert, Updates verpasst, veraltete und angreifbare Software nicht erkannt oder Standardkennwörter nicht geändert“, erklärt Vyacheslav Fadyushin, Senior IT-Security-Analyst der Blue Frost Security GmbH. „Je heterogener die IT-Landschaft dabei ist, desto schwieriger ist es, einen vollständigen Überblick über das Netzwerk zu erreichen und beizubehalten“, ergänzt Vyacheslav Fadyushin.
Dies wird zusätzlich verstärkt durch zahlreiche Hard- und Softwarelösungen, die derzeit zur Umsetzung der Industrie 4.0-Anforderungen (Vernetzung von Maschinen, Systemen und Prozessen) auf den Markt kommen. So entstehen proprietäre Anwendungen, heterogene IT-Landschaften und weitere undurchsichtige Appliances.
Kritische Schwachstellen
Die generelle Frage in diesem Kontext lautet: Wie verschafft sich ein Angreifer Zugang zu einem Netzwerk und wie kann er dieses vollständig übernehmen? In durchschnittlichen Firmennetzwerken ist die IT-Sicherheit in der Regel nicht ausreichend und ermöglicht daher eine zügige Rechte-Eskalation.
Häufig gibt es fehlerhafte Konfigurationen bei Switches, Firewalls, Netzwerkdiensten, Windows-Domänen sowie ein unvollständiges Patch-/Update-Management (d.h. veraltete und angreifbare Software). Schwache, leicht lösbare Passwörter von Benutzerkonten und Software (z.B. Webserver) erleichtern Angreifern ebenfalls ihr Handwerk. In einem Großteil der Fälle kann das Netzwerk auf Grund von derart vermeidbaren Fehlern übernommen werden.
Manche Lücken lassen sich dabei nur zeitversetzt schließen: Security Patches sollten meistens nicht direkt nach der Veröffentlichung eingespielt werden, weil Software-Updates teilweise zu Problemen führen können, die den Betrieb der Firma gefährden. Daher werden Updates in der Regel von Experten erst nach Tests oder einer gewissen Wartezeit eingespielt.
Hinzu kommt: Mit der Bereitstellung des Patches ist die zu behebende Schwachstelle gleichzeitig öffentlich und kann von technisch versierten Angreifern ausgenutzt werden. Der Patch wird dann von Angreifern beispielsweise mittels Reverse Engineering untersucht, um die zu schließende Lücke zu identifizieren. Ist diese bekannt, kann nun ein entsprechender Exploit geschrieben werden, der diese Sicherheitslücke ausnutzt. Damit ist der Zugriff auf ein Serversystem erlangt.
Es ist in der Regel ausreichend, über nur eine Schwachstelle auf nur ein Serversystem Zugriff zu gewinnen. Denn ist ein administrativer Zugang zu einem Server erreicht (z.B. via Tomcat Application Server) kann ein Angreifer den Hauptspeicher des Systems nach Anmeldedaten durchsuchen. Es ist designbedingt, dass etliche Anmeldedaten im Speicher der Systeme einer Windows-Domäne gehalten werden.
Die häufige Vorgehensweise ist, mit den gefundenen Anmeldedaten Zugriff auf weitere Serversysteme zu erlangen, um dort dann ebenfalls den Speicher zu durchsuchen. Dies wird so lange weiter betrieben, bis im Speicher die Daten eines Domänenadministrators gefunden werden. Erfahrungsgemäß ist dies spätestens nach drei Serversprüngen der Fall. Und ein Domänenadministrator hat vollständige Kontrolle über die Windows-Domäne und könnte beispielsweise auf das Notebook des Vorstands zugreifen und dort frei agieren.
Der Verteidiger eines Netzwerks muss daher stets einen vollständigen Überblick über alle Server, Clients und Dienste behalten, um sicherzustellen, dass keine Schwachstellen auftreten. Dies ist für nicht-triviale und natürlich gewachsene Netzwerke praktisch unmöglich. Der Angreifer dagegen muss nur eine Lücke im gesamten Netzwerk finden, was vergleichsweise einfach ist. Die häufigsten Angriffspunkte/Schwachstellen im Netzwerk:
WLAN: Ausnutzen angreifbarer WLAN-Umgebung.
Physikalischer Zugriff: Betreten des Gebäudes oder Firmengelände, um Zugriff auf Computer oder Netzwerkdosen zu erlangen.
Social Engineering: Angriffe über Mitarbeiter, z.B. Phishing, Malware, USB-Sticks.
Appliances: Ausnutzen von angreifbaren Appliances, z.B. Firewalls, Mail-Gateways etc.
Netzwerkdienste: Ausnutzen von angreifbaren Netzwerkdiensten, die innerhalb der DMZ gehostet werden.
„Regelmäßig entdecke ich bei Sicherheitsanalysen verschollene Systeme, die als bereits entfernt angenommen wurden. Ist dies der Fall, kann die wichtigste Sicherheitsmaßnahme, nämlich ein vollständiges Update-/Patch-Management, nicht funktionieren“, erklärt Vyacheslav Fadyushin.
Systeme, Dienste und verwendete Netzwerkprotokolle sollten daher regelmäßig mit Portscans und Netzwerk-Sniffern inventarisiert werden – so lautet seine Empfehlung. Ist ein ausreichender Überblick über alle Parameter des Netzwerks geschaffen, muss dieses bei Änderungen (Konfigurationsänderungen, neue Software, neue Hardware) aktualisiert werden. Hierbei sollte dann gleichzeitig eine Einschätzung stattfinden, welche Risiken konkret oder potenziell mit der Änderung des Netzwerks eingegangen werden.
Unwissenheit schützt nicht
Zahlreiche konkrete Sicherheitsprobleme in Unternehmen entstehen dadurch, dass niemand die konkrete Verantwortung oder das notwendige Bewusstsein dafür besitzt, an welchen Stellen die bestehenden und kritischen Schwachstellen der IT-Infrastruktur liegen. Die Ursache dafür liegt in der Personalstruktur: Das IT-Management agiert eher auf abstrakter Ebene und bereitet Sicherheit beispielsweise mit Policies vor. Die IT-Administration ist ebenfalls nicht mit konkreten Schwachstellen beschäftigt, sondern mit dem Aufsetzen neuer Systeme und dem Reparieren von Störungen. Oftmals gilt „never change a running system“, so dass die laufenden Systeme nicht proaktiv sicherheitstechnisch untersucht werden oder rein personell nicht untersucht werden können.
Viele kritische Schwachstellen überleben so oft mehrere Jahre unbemerkt. Ein Beispiel aus der Praxis: Ein Stromanbieter, der zur ‚kritischen Infrastruktur‘ gehört, sicherte die Systeme, die entscheiden, welche Regionen Strom haben, mit dem Nutzer „admin“ und dem Passwort „admin“. Diese Systeme waren physikalisch für Angreifer zugänglich. Trotz der täglichen Verwendung dieser Systeme wurde dieser Umstand erst durch meine Nachfrage beleuchtet. Oft ist ein mit Trivialpasswörtern „gesicherter“ Application Server die Schwachstelle, die eine vollständige Übernahme der Domäne erlaubt. Hinzu kam, dass der betroffene Server vor einigen Jahren von einem Praktikanten zu Übungszwecken aufgesetzt wurde. Das System lief unbedacht bis zum Sicherheitstest.
Somit zeigt zumindest die Praxis: Netzwerke können nie vollständig geschützt werden, denn es wird immer Schwachstellen geben, durch die Außen- und Innentäter eindringen können. Gleichzeitig potenziert sich die Angriffsfläche durch den digitalen Wandel und die immer stärker vernetzten Systeme sowie unerprobte Lösungen um ein Vielfaches.
Die Sicherheit lässt sich aber erhöhen. Beispielsweise durch gut geplante und sauber umgesetzte Netzwerksegmentierung sowie Durchleuchtung der Infrastruktur durch Penetrationstests. Im Bereich moderner Lösungen, wie beispielsweise Industrie 4.0-Anwendungen, können mittelfristig nur Standardisierungen einen entscheiden-den Sicherheitsbeitrag leisten. „Fundamental ist, dass Unternehmen sich ins Bewusstsein rufen, wie angreifbar sie in Zeiten der zunehmenden Digitalisierung und Vernetzung wirklich sind und welche fatalen Folgen ein Angriff für das gesamte Unternehmen bedeutet. Beispielsweise IT-Sicherheitsanalysen, die automatisierte und manuelle Tests kombinieren, gehen über herkömmliche Maßnahmen hinaus und erhöhen den Grad der IT-Sicherheit erheblich“, erklärt Vyacheslav Fadyushin. (rhh)