{"id":18980,"date":"2021-06-01T11:42:00","date_gmt":"2021-06-01T09:42:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18980"},"modified":"2021-05-26T10:17:47","modified_gmt":"2021-05-26T08:17:47","slug":"warum-sich-jedes-unternehmen-als-bank-betrachten-sollte","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18980","title":{"rendered":"Warum sich jedes Unternehmen als Bank betrachten sollte"},"content":{"rendered":"\n

Autor\/Redakteur: Michael Scheffler, Country Manager DACH von Varonis Systems<\/a>\/gg<\/p>\n\n\n\n

Es sieht fast nach einer Zeitenwende aus: Im Dezember 2020 wurden rund 18.000 Unternehmen und Organisationen (darunter auch prominente wie einige US-amerikanische Ministerien und Teile des Pentagons) zu potenziellen Opfern des Sunburst-Angriffs, bei dem Angreifer die Systeme von SolarWinds kompromittierten und Malware in Updates der weit verbreiteten Orion-Netzwerkmanagement-Produkte des Unternehmens einf\u00fcgten. Und nur wenige Wochen sp\u00e4ter stellte eine neue Sicherheitsl\u00fccke in Microsoft Exchange-Servern Sicherheitsverantwortliche von mindestens 30.000 betroffenen Unternehmen vor gro\u00dfe Herausforderungen \u2013 bis heute.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Varonis Systems<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Hinter beiden Angriffen werden staatlich unterst\u00fctzte Hacker vermutet, denen es gelang, unbemerkt in das innerste von Systemen und Prozessen einzudringen. So nutzten die Angreifer hinter der SolarWinds-Supply-Chain-Attacke offensichtlich ihren Zugang, um bei Microsoft Einblick in den Exchange-Quellcode zu nehmen, den sie f\u00fcr die Suche nach Schwachstellen wie diesen nutzen konnten.<\/p>\n\n\n\n

Herausforderungen nehmen zu<\/strong><\/p>\n\n\n\n

Wir m\u00fcssen erkennen, dass unsere Sicherheit nicht nur einzelne Unternehmen und Einrichtungen betrifft, sondern stark mit anderen verzahnt ist. Wir sind alle voneinander abh\u00e4ngig. Angriffe auf Supply-Chains waren schon immer denkbar, doch jetzt werden sie in gro\u00dfem Stil in der Praxis umgesetzt. Was zuvor zwar als m\u00f6glich, aber unwahrscheinlich erschien, ist nun Realit\u00e4t. Und wir k\u00f6nnen und m\u00fcssen davon ausgehen, dass weitere Angriffe dieser Art folgen werden.<\/p>\n\n\n\n

Durch Kryptow\u00e4hrungen sind Angreifer in der Lage, erbeutete Daten leicht zu monetarisieren. Sie suchen unerbittlich nach Schwachstellen und nutzen diese aus, um in den Opfer-Systemen Fu\u00df zu fassen. Sie gelangen dann an Unternehmensdaten, die sie durch Exfiltration, Verschl\u00fcsselung und Erpressung zu Geld machen. Auf ihrem Weg dorthin r\u00fctteln sie an jeder T\u00fcr, probieren jedes Schloss, jedes Fenster und jeden Schornstein aus, um einen Weg hinein zu finden. Man kann durchaus davon ausgehen, dass jedes verwundbare und mit dem Internet verbundene System bereits kompromittiert wurde. Und jedes mit dem Internet verbundene System mit einem Login \u2013 ob verwundbar oder nicht \u2013 ist wahrscheinlich gerade jetzt in diesem Augenblick einem Brute Force-Angriff ausgesetzt, bei dem Angreifer unz\u00e4hlige Kombinationen von Benutzernamen und Passw\u00f6rtern ausprobieren, bis sie eine finden, die funktioniert.<\/p>\n\n\n\n

Neue Taktiken, altes Vorgehen<\/strong><\/p>\n\n\n\n

Cyberkriminelle entwickeln ihre Methoden, Techniken und Taktiken stets weiter und passen sie an die Umst\u00e4nde an: W\u00e4hrend der Pandemie begannen viele Angriffe mit Schwachstellen in VPN-Ger\u00e4ten, Remote-Access-Servern und File-Transfer-Servern.  Aber auch Mitarbeiter lassen Angreifer (unabsichtlich) hinein, indem sie auf Links klicken, die sie dazu verleiten, Anmeldedaten preiszugeben oder b\u00f6sartigen Code herunterzuladen. Dabei m\u00fcssen die Angreifer nicht einmal mehr selbst \u00fcber profunde Kenntnisse und F\u00e4higkeiten verf\u00fcgen, sondern k\u00f6nnen im Dark Web auf zahlreiche \u201eDienstleistungen\u201c zur\u00fcckgreifen.<\/p>\n\n\n\n

Sobald Angreifer die Kontrolle \u00fcber einen Server oder Endpunkt erlangt haben, folgen sie in der Regel immer dem gleichen Schema: Sie richten ein Command and Control ein, um das erste System als Sprungbrett zu nutzen, erkunden heimlich weitere und kompromittieren wichtige Konten durch die Ausnutzung interner Schwachstellen, Sicherheitsl\u00fccken oder durch weitere Brute-Force-Angriffe. Sie nutzen dann diese Konten, um Daten zu stehlen und Backdoors zu installieren, verschl\u00fcsseln die Dateien und stellen ihre L\u00f6segeldforderung. Dieser Ablauf erstreckt sich in aller Regel \u00fcber mehrere Tage und Wochen. Es geht aber auch schneller: Die \u201eZerologon\u201c-Schwachstelle in Active Directory erm\u00f6glicht eine Abk\u00fcrzung, um eine ganze Dom\u00e4ne zu \u00fcbernehmen. Innerhalb von zwei Stunden k\u00f6nnen Angreifer so vom erfolgreichen Phishing bis zur vollst\u00e4ndigen Kontrolle gelangen.<\/p>\n\n\n\n

Die meisten Unternehmen sind datengesteuert, auch wenn sich viele dessen nicht gewahr sind. Sie verf\u00fcgen \u00fcber wertvolle Daten und Informationen, die f\u00fcr Cyberkriminelle einen ganz realen Gegenwert in Bitcoins darstellen. Entsprechend erscheint es sinnvoll, jedes Unternehmen als eine Art Informations-Bank zu betrachten. Doch leider sind die wenigsten so gut wie echte Banken gesichert. Vielmehr verf\u00fcgen sie \u00fcber unz\u00e4hlige \u201eGeldautomaten\u201c an jedem Standort und an jeder Ecke \u2013 mit einer direkten Verbindung zu den Tresoren. Und jede Woche taucht eine neue Schwachstelle in den Geldautomaten auf.<\/p>\n\n\n\n\n\n\n\n

Wie Unternehmen zu sicher(er)en Banken werden<\/strong><\/p>\n\n\n\n

Beginnen Sie am Ende, mit dem Tresor: Die meisten Angreifer haben es auf Daten abgesehen, da sich diese am leichtesten zu Geld machen lassen. Wo sind Ihre gr\u00f6\u00dften, gef\u00e4hrdetsten Tresore? Stellen Sie sicher, dass sich Ihre sensiblen Daten im Tresor befinden, dass nur die richtigen Personen darauf zugreifen k\u00f6nnen und dass Sie erkennen k\u00f6nnen, wenn jemand eine ungew\u00f6hnliche Abhebung vornimmt.<\/p>\n\n\n\n

Bestimmen Sie Ihren \u201eExplosionsradius\u201c: Wie schnell k\u00f6nnen Sie bestimmen, welchen Schaden ein kompromittiertes System oder ein kompromittierter Nutzer verursachen kann? Auf welche Daten konnten die Angreifer zugreifen und auf welche haben sie zugegriffen? Die Verringerung dieses Schadensradius bereits vor einem Angriff erschwert die Arbeit von Cyberkriminellen deutlich. Wenn Sie einen Zero Trust-Ansatz verfolgen, hat kein Benutzer oder Account mehr Zugriff als n\u00f6tig \u2013 auf Systeme, Anwendungen und Daten. Oder anders ausgedr\u00fcckt: Wer keinen Zugriff auf den Tresor braucht, bekommt auch keine Schl\u00fcssel oder die Kombination.<\/p>\n\n\n\n

Abwehrma\u00dfnahmen sind wesentlich effektiver, wenn der \u201eExplosionsradius\u201c klein ist und das Nutzerverhalten kontrolliert wird. Wenn Mitarbeiter keine Anwendungskonten verwenden sollen, f\u00e4llt es auf, wenn ein Laptop eine Verbindung zu einem anderen System mit einem solchen Konto herstellt. Und wenn die Administratoren nur w\u00e4hrend der regul\u00e4ren Arbeitszeiten und von bestimmten Systemen aus \u00c4nderungen vornehmen, f\u00e4llt der Zugriff au\u00dferhalb dieses Normalbereichs auf.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Varonis Systems<\/figcaption><\/figure>\n\n\n\n

Trainieren Sie Ihre Abwehrma\u00dfnahmen: Gehen Sie davon aus, dass sich Angreifer bereits in Ihrer \u201eBank\u201c befinden, dass eine Ihrer Workstations, Server oder Gateways kompromittiert ist. K\u00f6nnen Sie erkennen, was ein Angreifer wahrscheinlich als n\u00e4chstes tun wird? K\u00f6nnen Sie die Aufkl\u00e4rungsaktivit\u00e4ten nachvollziehen? K\u00f6nnen Sie ungew\u00f6hnliche Aktivit\u00e4ten im Active Directory erkennen? Ungew\u00f6hnliche Zugriffe auf Daten oder Systeme? Hierzu m\u00fcssen Sie zun\u00e4chst wissen, was normales Verhalten ist und dieses dann mit dem gegenw\u00e4rtigen Verhalten vergleichen. Zudem k\u00f6nnen Red Team\/Blue Team- und Purple Team-\u00dcbungen helfen, Ihr Risiko besser zu analysieren.<\/p>\n\n\n\n

Schaffen Sie eine gesunde Basis: Vergessen Sie die Sicherheitsgrundlagen nicht. Wenn es eine bekannte Sicherheitsl\u00fccke gibt, wird irgendjemand versuchen, sie auszunutzen. Ihre IT-Abteilung muss stets in der Lage sein, die Systeme zeitnah zu patchen. Erfordert der Login auf Ressourcen nur einen Benutzernamen und ein Passwort, wird irgendjemand versuchen, diese zu erraten oder herauszufinden. Setzen Sie deshalb auf Zwei- oder Multi-Faktor-Authentifizierung und erschweren Sie es so den Angreifern, in Ihre Systeme einzudringen.<\/p>\n\n\n\n

Folgen Sie diesen vier Tipps, verbessern sich die Chancen Ihres Unternehmens auch gegen versierte Angreifer. Die Idee, Cyberkriminelle \u201edrau\u00dfen\u201c zu halten, ist l\u00e4ngst nicht mehr realistisch, zumal es aufgrund von Cloud-Nutzung und Remote Work kein wirkliches \u201eAu\u00dfen\u201c mehr gibt. Speichern Sie Ihre wertvollsten Daten in einem \u201eTresorraum\u201c, verschlie\u00dfen Sie ihn und stellen Sie sicher, dass nur diejenigen einen \u201eSchl\u00fcssel\u201c haben, die ihn auch tats\u00e4chlich ben\u00f6tigen. Beobachten Sie den Tresor und stellen Sie so fest, wenn Au\u00dfergew\u00f6hnliches passiert. Und betrachten Sie ihre Daten als Geld, denn Cyberkriminelle machen dies auch.<\/p>\n","protected":false},"excerpt":{"rendered":"

Es sieht fast nach einer Zeitenwende aus: Im Dezember 2020 wurden rund 18.000 Unternehmen und Organisationen (darunter auch prominente wie einige US-amerikanische Ministerien und Teile des Pentagons) zu potenziellen Opfern des Sunburst-Angriffs, bei dem Angreifer die Systeme von SolarWinds kompromittierten und Malware in Updates der weit verbreiteten Orion-Netzwerkmanagement-Produkte des Unternehmens einf\u00fcgten. Und nur wenige Wochen sp\u00e4ter stellte eine neue Sicherheitsl\u00fccke in Microsoft Exchange-Servern Sicherheitsverantwortliche von mindestens 30.000 betroffenen Unternehmen vor gro\u00dfe Herausforderungen \u2013 bis heute.<\/p>\n","protected":false},"author":1,"featured_media":18966,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2964,2049,175,8554,1390,14916,13861],"class_list":["post-18980","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bank","tag-exchange","tag-microsoft","tag-orion","tag-solarwinds","tag-supply-chain-attacke","tag-varonis-systems"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18980"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18980\/revisions"}],"predecessor-version":[{"id":18984,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18980\/revisions\/18984"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18966"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}