Mit <kes>+ lesen

Verbreitete Schwächen : Typische Probleme aus der Sicht von Penetrationstests und Schwachstellenanalysen – und was viele immer noch besser machen könnten

Langjährigen Security-Expert:inn:en mag es vorkommen wie eine große Sammlung von Déjà-vus und das Drehen der sprichtwörtlichen Gebetsmühlen – dennoch stoßen ebenso langjährige Security-Expert:inn:en bei Penetrationstests und Schwachstellenanalysen auch heute noch auf immer wieder dieselben Schwächen. Unser Autor appelliert daher, hin und wieder doch noch einmal selbstkritisch durchzugehen, was „eigentlich“ längst selbstverständlich sein sollte – wo aber der Teufel im Detail liegen mag oder die Praxis der Theorie womöglich nicht ganz so gut folgt, wie man erwarten könnte.

Lesezeit 13 Min.

Auch nach über zwei Jahrzehnten Erfahrung in der Durchführung einer Vielzahl von Penetrationstests und Schwachstellenanalysen zeigen sich in der jährlichen Analyse der Ergebnisse, die HiSolutions-Expert:inn:en im Jahr zuvor durchgeführt haben, noch immer dieselben verbreiteten Schwächen. Dieser Artikel baut auf identifizierten Schwachstellen auf und bietet Einblicke in typische Testergebnisse, identifiziert kritische Problembereiche und beleuchtet die häufigsten Sicherheitslücken, die bei Unternehmen und Organisationen auch heute noch auftreten. Begleitend geht dieser Beitrag auf Trends und bedeutende Entwicklungen in der Sicherheitslandschaft ein und liefert abschließend Handlungsempfehlungen zum Gegensteuern.

Befunde

Doch zuvor lohnt sich ein Blick auf die häufigsten Ursachen für Befunde aus Penetrationstests, die mit einer Einstufung als hoch oder kritisch identifiziert wurden – also solche, die eine akute, ernsthafte Gefahr darstellen und ein kurzfristiges oder sofortiges Handeln erfordern. Dass hier viele „alte Bekannte“ zu finden sind, sollte niemanden davon abhalten, diesen Problemen noch einmal etwas Aufmerksamkeit zu schenken, sondern eher als Mahnung und Anlass zu einer (ggf. erneuten) Prüfung gelten, ob im eigenen Haus an diesen Stellen tatsächlich alles auf dem erwarteten Stand ist. Denn diese Faktoren spielen eine entscheidende Rolle bei der Entstehung von Sicherheitslücken und stellen somit ein erhöhtes Risiko für Unternehmen und Organisationen dar.

Falsche Sicherheitskonfiguration

Oft sind Systeme und Anwendungen nicht optimal eingerichtet, was Angreifern den Zugang erleichtert. Dies kann auf falsch gesetzte Berechtigungen, nicht aktivierte Sicherheitsmechanismen oder die Verwendung von Standardpasswörtern zurückzuführen sein. Nicht selten werden Systeme initial eingerichtet und danach wenig bis gar nicht mehr gewartet – etwa, weil kein Wartungsvertrag mit einem externen Dienstleister abgeschlossen wurde. Auch wenn hier eine Überschneidung mit der langfristig angelegten Systempflege vorhanden gegeben sein kann, ist die Konfiguration häufig schon zu Beginn nicht auf die individuellen Bedürfnisse innerhalb eines Unternehmens eingestellt.

Ungeeignete Sicherheitsarchitektur

Wenn IT-Systemlandschaften nicht ausreichend unter Berücksichtigung von Sicherheitsaspekten geplant und entwickelt werden (z. B. fehlende Netzwerksegmentierungen), entstehen Angriffsvektoren, die später schwer zu schließen sind. Eine solide und durchdachte Sicherheitsstruktur ist von Anfang an unerlässlich, da sie den Rahmen für den Schutz von Daten, Systemen und Netzwerken bildet. Angreifer nutzen ständig neue Taktiken und Techniken, um in Netzwerke einzudringen und Schaden anzurichten. Eine solide Sicherheitsarchitektur ermöglicht es Unternehmen, sich schnell an diese Veränderungen anzupassen und mögliche Schwachstellen proaktiv zu identifizieren und zu schließen.

Außerdem können Unternehmen aufgrund von Compliance-Anforderungen und gesetzlichen Vorschriften verpflichtet sein, angemessene Sicherheitsmaßnahmen zu ergreifen – eine gut durchdachte Sicherheitsarchitektur hilft dabei, entsprechenden Anforderungen gerecht zu werden und die Vertrauenswürdigkeit des Unternehmens gegenüber Kunden, Partnern und Aufsichtsbehörden zu gewährleisten. Herausfordernd sind hierbei nicht nur die Entwicklung, die mit einer umfassenden Risikobewertung beginnt, sowie die Implementierung in bestehende IT-Infrastrukturen und Geschäftsprozesse. Auch eine kontinuierliche Überwachung und Aktualisierung der Sicherheitsarchitektur sind unerlässlich und beides erfordert entsprechende Ressourcen.

Anfällige und veraltete Komponenten

Die Nutzung von nicht mehr unterstützten oder veralteten Softwareversionen, Betriebssystemen und Frameworks kann dazu führen, dass öffentlich bekannt gewordene Sicherheitslücken ungeschlossen bleiben und von Angreifern ausgenutzt werden – oder bereits wurden. Um dies zu verhindern, ist es wichtig, je nach Möglichkeit und Notwendigkeit stets aktuelle und gepatchte Versionen zu verwenden und regelmäßige Updates durchzuführen. Das liest sich oft einfacher, als es tatsächlich ist: Um ein gut funktionierendes Patchmanagement zu betreiben, braucht es eine enge Zusammenarbeit zwischen Entwicklern, IT-Teams und der Geschäftsleitung, um sicherzustellen, dass Sicherheitsupdates schnell und effizient implementiert werden. Abhängigkeiten verwendeter Software und Systeme müssen nicht nur bekannt, sondern idealerweise auch dokumentiert sein, damit man alle Komponenten bei Aktualisierungen berücksichtigt. Innerhalb dieser Zusammenarbeit müssen Rollen klar definiert sein: Wer ist für welche Systeme zuständig? Wer sorgt für die regelmäßige Prüfung auf Updates für alle Dependencies? Wer beurteilt die Relevanz von Patches und kann nach spezifischen Anforderungen und Risiken des Unternehmens entscheiden, ob ein Patch eingespielt werden sollte oder nicht? Und auch ein ausreichender Wartungs- und Testzeitraum gewährleistet, dass Störungen des Geschäftsbetriebs minimiert und unerwünschte Nebenwirkungen vermieden werden.

Mangelhaftes Benutzer- und Rechtemanagement

Die Vergabe von zu vielen (schlecht gepflegten) Berechtigungen, eine unzureichende Kontrolle über Benutzerzugriffe oder schlecht durchdachte Passwortrichtlinien können die Angriffsfläche für Cyberkriminelle enorm vergrößern. So gibt es in Unternehmen häufig keine personalisierten Administrator-Zugänge, sondern es wird ein gemeinsamer Account für die gesamte IT-Abteilung verwendet – nicht selten mit einem mangelhaften Passwort geschützt. Gängige Passwort-Muster wie (etwa „Sommer2023!“) sind problematisch. Solche Muster entstehen oft, wenn Nutzer viele Passwörter im Gedächtnis behalten müssen, keinen Passwort-Manager verwenden oder zu häufig ihre Passwörter ändern sollen. Diese und ähnliche Probleme betreffen meist alle Kontenarten – ob Domänen-, Funktions-, Dienst- oder Administrationskonten. Hier empfehlen sich einheitliche, angemessene Passwortrichtlinien, regelmäßige Kontrollen der Zugangsberechtigungen sowie Sensibilisierungen und Schulungen der Mitarbeiter:innen im Unternehmen, um bestehende Risiken und daraus resultierende Notwendigkeiten verständlich zu vermitteln.

Fehlerhafte Zugriffsbeschränkungen

Nicht selten findet man problematische Dateifreigaben: Dabei gibt es zum einen die absichtlichen Freigaben, wie das allseits bekannte „Public Drive“. Darüber hinaus existieren oft spezielle Freigaben für bestimmte Arbeitsgruppen (z. B. Buchhaltung oder IT-Abteilung), die trotzdem auch für andere Benutzer zugänglich sind. Besonders kritisch sind jedoch unbeabsichtigte Freigaben, die ohne zentrale Kontrolle durch Administratoren oder Dienstleister entstehen. Diese können eine Vielzahl schützenswerter Dateien umfassen, auf die alle Mitarbeiter im internen Netzwerk zugreifen können. Häufig handelt es sich dabei um geschäftsrelevante Informationen, Dokumente mit personenbezogenen Daten oder technische Dateien und Skripte. Letztere enthalten nicht selten Passwörter und Zugangsdaten zu weiteren Konten und Systemen.

Wenn der Zugang zu sensiblen Daten und Systemen nicht sorgfältig kontrolliert und eingeschränkt wird, können Angreifer leichter in Netzwerke eindringen und erheblichen Schaden anrichten. Es ist daher entscheidend, Zugriffsbeschränkungen akkurat zu planen und umzusetzen, um ein hohes Sicherheitsniveau zu gewährleisten. Die Implementierung angemessener Zugriffsbeschränkungen sorgt dafür, dass nur autorisierte Benutzer auf bestimmte Daten und Systeme zugreifen können, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit von Geschäftsinformationen erhalten bleibt.

Eine der Hauptaufgaben besteht darin, eine geeignete Zugriffssteuerungs-Strategie zu entwickeln, die idealerweise auf dem Prinzip der geringsten Rechte basiert (Least Privilege). Ebenfalls kritisch ist die Implementierung von Authentifizierungs- und Autorisierungsmechanismen, um sicherzustellen, dass nur berechtigte Benutzer auf geschützte Ressourcen zugreifen können. Unternehmen müssen sich dabei für geeignete Verfahren und Technik entscheiden, wie zum Beispiel die Zwei-Faktor-Authentifizierung (2FA) oder rollenbasierten Zugriffskontrollsysteme (RBAC).

Schwachstellen rund um Active Directory (AD)

Risiken und häufige Befunde, die genutzt werden konnten, um die vollständige Kontrolle über eine AD-Umgebung zu erlangen, wurden im Schwachstellenreport von HiSolutions gesondert betrachtet. Obwohl es durchaus Parallelen zu den bereits erwähnten Schwachstellen gibt, ergeben sich in AD-Umgebungen besondere Risiken für Unternehmensnetzwerke, die gezielte Maßnahmen zur Behebung erfordern.

Auch in AD-Umgebungen sind veraltete Systeme eine Hauptursache für eine mögliche Kompromittierung: Die Verwendung nicht mehr unterstützter oder veralteter Betriebssysteme, Dienste und Anwendungen lässt bekannte Sicherheitslücken offen. Um das Risiko zu minimieren, sollten Unternehmen auch hier stets auf aktuelle und gepatchte Systeme setzen. Gerade beim Aktualisieren von Domaincontrollern braucht es jedoch eine besondere Sorgfalt und Planung im Patchmanagement, um die Verfügbarkeit und Integrität der AD-Umgebung zu gewährleisten.

Ebenso finden sich die bereits erwähnten Herausforderungen mit schwachen Passwörtern und -richtlinen auch in AD-Umgebungen wieder. Hier ist es wichtig, robuste Passwortrichtlinien durchzusetzen und sicherzustellen, dass Passwörter sicher verwaltet werden. Der Vorteil innerhalb der AD-Umgebung: Administratoren können entsprechende Richtlinien direkt festlegen – etwa was die Komplexität, das Alter oder die Passwortgeschichte angeht. Diese Vorgaben können definiert und über Gruppenrichtlinien, Organisationsstrukturen oder Sicherheitsgruppen auf alle Benutzerkonten in der Domäne angewendet werden.

Es ist wichtig hervorzuheben, dass das schon erwähnte Passwort „Sommer2023!“, das formal die Kriterien „10 Zeichen und komplex“ erfüllt, nicht ausreichend sicher ist (siehe auch „Passwort 2020“, 2020#2, S. 26). Das unterstreicht, dass technische Richtlinien allein nicht ausreichen: Zusätzliche Maßnahmen sind erforderlich, einschließlich Sensibilisierungsmaßnahmen, möglicherweise Passwort-Audits und die Anwendung weiterer technischer Lösungen. Diese sollen die Verwendung von häufig genutzten, unsicheren Passwort-Element verhindern.

Und wenn ein Admin schon dabei ist, sollten auch gleich die Zugriffskontrollen auf schützenswerte Daten konfiguriert werden: Denn eine unbeschränkte Datenfreigabe ist eine weitere häufig auftretende Schwachstelle in AD-Umgebungen, die sich mit einer sorgfältigen und regelmäßigen Kontrolle vergleichsweise leicht beheben lässt.

Angriffe auf Netzwerkprotokolle, vor allem das Address-Resolution-Protocol (ARP) und die Link-Local Multicast-Name-Resolution (LLMNR), müssen in AD-Umgebungen ebenfalls betrachtet werden. Diese Protokolle sind für den ordnungsgemäßen Betrieb von Netzwerken zuständig und lassen sich von Angreifern missbrauchen, um Sicherheitslücken zu schaffen und sensible Informationen abzugreifen.

Hierfür zwei Beispiele: ARP ist ein Kommunikationsprotokoll, das IP-Adressen in physische MAC-Adressen auflöst. Angreifer können ARP-Spoofing-Angriffe ausführen, indem sie gefälschte Nachrichten im Netzwerk verbreiten. So kann sich ein Angreifer etwa selbst als Gateway-Router ausgeben – und durch diese Manipulation den Netzwerkverkehr zwischen zwei Geräten im gleichen lokalen Netzwerk abfangen und umleiten. Das ermöglicht Man-in-the-Middle-Angriffe, bei denen der Angreifer Zugriff auf vertrauliche Informationen erlangen oder den Netzwerkverkehr manipulieren kann.

LLMNR dient hingegen der Namensauflösung von Geräten im lokalen Netzwerk, wenn DNS-Verfahren fehlschlagen. Angreifer können LLMNR-Spoofing-Angriffe durchführen, indem sie sich als legitime Geräte im Netzwerk ausgeben und LLMNR-Anfragen abfangen. Das ermöglicht ihnen, sich als legitime Netzwerkressourcen auszugeben und Zugangsdaten oder andere vertrauliche Informationen abzugreifen. Dieser Zustand entsteht, weil das anfragende System versucht, auf eine Netzwerkressource zuzugreifen: Das vom Angreifer kontrollierte System fordert dann eine Anmeldung an, wodurch Zugangsdaten an ihn übermittelt werden – entweder als knackbarer Hash oder je nach Dienst sogar im Klartext.

Um solche Angriffe zu verhindern und die Sicherheit der AD-Umgebung zu gewährleisten, sollten Unternehmen ihre Netzwerkprotokolle regelmäßig überprüfen und absichern. Dazu gehören Maßnahmen wie die Segmentierung der Netzwerke, um den Umfang von ARP- oder LLMNR-Spoofing-Angriffen zu begrenzen, die Aktivierung von Sicherheitsfunktionen wie Dynamic ARP Inspection (DAI) auf Netzwerkgeräten oder die komplette Deaktivierung von LLMNR, wenn es nicht unbedingt erforderlich ist.

Bleiben noch die AD-Zertifikatsdienste (AD CS) für das Erstellen und Verwalten digitaler Zertifikate, etwa zur Identitätsüberprüfung oder für die Datensicherheit. Fehlerhafte Konfigurationen der Dienste und Vorlagen, unsichere Praktiken bei der Ausstellung von Zertifikaten oder Schwachstellen in der Implementierung von Zertifikatsdiensten können Angreifern den Zugriff auf kritische Systeme ermöglichen. In vielen Fällen haben Prüfungen festgestellt, dass aufgrund einer fehlerhaften Konfiguration der Zertifikatsvorlage jeder Domänenbenutzer in der Lage ist, sich ein Anmeldezertifikat für einen anderen Benutzer (einschließlich Domänenadministratoren) ausstellen zu lassen. Dieses Zertifikat könnte er dann beliebig für missbräuchliche Anmeldungen verwenden. Um solche Schwachstellen zu beheben, sollten Unternehmen die Sicherheit ihrer Zertifikatsdienste sorgfältig überprüfen und bestehende Probleme adressieren.

Abhilfe

Die mit den häufigsten Schwachstellen der jüngeren Vergangenheit verbundenen Risiken für Unternehmen lassen sich durch präventive Maßnahmen minimieren. Die folgenden Empfehlungen hat der Autor in Zusammenarbeit mit der Forensik- und Incident-Response-Abteilung von HiSolutions zusammengetragen. Sie können dazu beitragen, potenzielle Angriffsflächen zu reduzieren und die IT-Sicherheit zu stärken.

Mehrfaktor-Authentifizierung (MFA)

MFA ist heute ein entscheidender Schritt zur Stärkung der IT-Sicherheit. Ein konkretes Beispiel für einen sinnvollen Einsatz ist der Fernzugriff auf Unternehmensnetzwerke: Wenn Mitarbeiter:innen von zu Hause oder unterwegs arbeiten, sind sie möglicherweise anfälliger für Cyberangriffe, besonders wenn sie sich über ungesicherte (etwa heimische) WLAN-Netze verbinden. Gleiches gilt auch für Cloud-Dienste und -Anwendungen.

Strenge Zugriffskontrolle auf administrative Konten und Konsolen

Indem man den Zugriff auf privilegierte Konten beschränkt und Administratorenaktivitäten überwacht, lässt sich verhindern, dass Unbefugte Änderungen an kritischen Systemen und Einstellungen vornehmen, die zu Sicherheitslücken oder Ausfällen führen könnten. Eine effektive Zugriffskontrolle beinhaltet die regelmäßige Überprüfung von Zugriffsrechten und -berechtigungen für alle Benutzerklassen, insbesondere für Administrator:inn:en.

Backups

Datensicherungen sind ein oft vernachlässigter Punkt. Dabei können Offline-Backups oder isolierte Sicherungen den Unterschied zwischen Fortbestand und Aufgabe eines Unternehmens machen, wenn es darum geht, Daten und Systeme vor Ransomware-Angriffen und anderen Bedrohungen zu schützen. Manipulationsgesicherte Backup-Lösungen gewährleisten, dass Sicherungskopien unzugänglich für Angreifer sind und im Falle eines Sicherheitsvorfalls schnell und zuverlässig wiederhergestellt werden können. Isolierte Sicherungen, die von den betroffenen Systemen getrennt sind, ermöglichen es, Daten wiederherzustellen, ohne auf die Forderungen der Angreifer eingehen zu müssen.

Ein ausgefeiltes Backup-Verfahren ist auch bei vermeintlich weniger dramatischen Vorfällen – etwa nach Hard- oder Softwarefehlern – von großer Bedeutung, um den Verlust von wichtigen Daten zu verhindern und die Ausfallzeiten von Systemen zu minimieren.

Patch-Management

Auch wenn es in diesem Artikel mehrfach zu lesen war, soll an dieser Stelle noch einmal daran erinnert werden: Es ist von essenzieller Bedeutung, exponierte Dienste und Systeme zeitnah zu patchen. Das regelmäßige Aktualisieren von Software und Betriebssystemen schließt bekannte Sicherheitslücken und schützt vor Angriffen, die auf solche Schwachstellen abzielen.

Die jüngsten Ereignisse im Zusammenhang mit den Schwachstellen „Shitrix“ (CVE-2019-19781), „Log4j“ (CVE-2021-44228) und „Hafnium“ (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) haben die immense Bedeutung einer zeitnahen Aktualisierung/Patchen von Systemen deutlich gemacht. Bei diesen Sicherheitslücken handelte es sich um schwerwiegende Bedrohungen, die bei einer Ausnutzung weitreichende Auswirkungen auf die betroffenen Systeme haben konnten. Ihre rechtzeitige Behebung war entscheidend, um den potenziellen Schaden zu minimieren und die Kontinuität der Geschäftsprozesse zu gewährleisten. Diese Ereignisse unterstreichen eindringlich, dass ein proaktives Patch-Management nicht nur eine Best Practice, sondern eine Notwendigkeit für die Aufrechterhaltung der IT-Sicherheit ist.

Angriffserkennung

Intrusion-Detection-Systeme (IDS) und andere Überwachungstechnologie ermöglichen es, verdächtige Aktivitäten frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen, um potenzielle Schäden abzuwenden oder zu minimieren.
Ein Beispiel hierfür ist die Erkennung von Anomalien im Netzwerkverkehr, die auf den Missbrauch von Systemen oder Daten durch Angreifer hindeuten könnten. Ein IDS kann verdächtige Muster im Netzwerkverkehr erkennen, die einen laufenden Distributed-Denial-of-Service-(DDoS)-Angriff vermuten lassen, und einen Alarm an das Sicherheits- oder Administratorenteam ausgeben – oder gegebenenfalls schon selbstständig entsprechende Gegenmaßnahmen ergreifen, um den Angriff abzuwehren.

Auch die Überwachung von Endpunkten kann sinnvoll sein, um Anzeichen für Schadsoftware oder andere bösartige Aktivitäten zu erkennen. Durch den Einsatz von Endpoint-Detection-and-Response-(EDR)-Lösungen können Unternehmen dort verdächtige Verhaltensmuster identifizieren und schnell reagieren, um die Bedrohung zu neutralisieren und die Auswirkungen auf das Unternehmen zu begrenzen.

Fazit

Die Angriffsflächen für Cyber-Attacken sowie die damit für Unternehmen einhergehenden Risiken sind groß, fast schon überwältigend. Jedes eingesetzte System ist eine potenzielle Schwachstelle – und wenn es von außen erreichbar ist, wird es mit sehr hoher Wahrscheinlichkeit auch attackiert.

Um sich zu schützen, stehen Unternehmen mannigfaltige Maßnahmen zur Verfügung – diese müssen jedoch gewissenhaft überprüft werden, um herauszufinden, ob sie im eigenen, individuellen Fall sinnvoll und in einem angemessenen Rahmen umsetzbar sind. Jede Maßnahme erfordert Ressourcen: Zeit, Geld und vor allem Fachpersonal – und alle diese Ressourcen sind in der Regel Mangelware.

Wer sich nicht sicher fühlt oder nicht sicher ist, sollte daher auch nicht zögern, bei Bedarf externe Expertise einzubinden -– sei es, um eine Übersicht der unmittelbaren Maßnahmen zu erhalten oder um individuelle Projekte gezielt umzusetzen. Zwar sind auch hier Investitionen vonnöten, jedoch ist jede Investition in die Härtung der eigenen IT-Systeme auch eine Investition in die Sicherung der laufenden Produktion und letztendlich in die Langlebigkeit des Unternehmens. ■

Patrick Taege ist Cyber Security Consultant bei der HiSolutions AG.

Diesen Beitrag teilen: