Der Mensch bleibt IT-Sicherheitsrisiko
14. Januar 2021Fehlverhalten, ungenaue Richtlinien und falsche Konfigurationen von Endpunkten sind häufige Schwachpunkte. Die Cyber-Kill-Chain sucht sich meist das schwächste Glied in der Kette – und das ist oft der Mensch. Eine Analyse der Bitdefender-Telemetrie von 110.000 Endpunkten im ersten Halbjahr 2020 zeigt, dass Fehlkonfigurationen und der „Schwachpunkt Mitarbeiter“ die Ursachen Nummer Eins für einen sehr hohen Prozentsatz von Cyber-Angriffen sind.
Während in Hollywood-Filmen Hacker stets mit großem Aufwand Sicherheitssysteme und Firewalls knacken, sieht die Realität oft anders aus. Nur wenige Angriffe erfordern ein filmreifes Maß an Mühe. Angestellte und falsch konfigurierte Systeme übernehmen meist die Hauptarbeit und schaffen verwundbare Einfallstore. Die Attacken zielen zudem wirksam auf die Hauptschwachstellen der Unternehmenssicherheit – eine davon ist oft der Mensch.
Fehlkonfigurationen von Endpunkten verursachen rund ein Drittel aller Sicherheitsvorfälle und unpräzise Fernverwaltungsrichtlinien machen Hunderttausende Systeme anfällig. Plus: 93 Prozent der Mitarbeiter verwerten alte Passwörter immer wieder. Laut Telemetrie der Security Intelligence Cloud von Bitdefender stellt dies nur einen kleinen Bruchteil der Sicherheitsvorfälle dar, die in Unternehmen zu erwarten sind.
Unternehmen versuchen häufig nach dem Motto „Deploy and forget“, für IT-Sicherheit zu sorgen. Sie kaufen spezielle Lösungen und übertragen einem bereits überlasteten IT-Team die Verantwortung. Der Administrator braucht aber Hilfe. Angesichts der gezielten Angriffe sind spezialisierte Sicherheitsdienste eine bessere Antwort. Nur große Organisationen mit entsprechendem Budget können sich diese Dienste eines Security Operations Center (SOC) leisten.
Inzwischen hat sich das Angebot am Markt jedoch demokratisiert. Managed Services Provider (MSP) und Managed Security Services Provider (MSSP) bieten Pakete mit Enterprise-Detection-Response-(EDR) -, Managed-Detection-and-Response (MDR)-, und SOC-Diensten, die auch für kleinere und mittlere Unternehmen in Reichweite sind.
Faktor Mensch
Ungeachtet aller Sicherheitsvorkehrungen von Organisationen, bleibt das Verhalten des Anwenders eine Herausforderung. Menschliches Versagen umfasst dabei nicht nur eine Person, die einen Anhang mit Malware öffnet oder auf ein Phishing-Attacke hereinfällt. Es umfasst alle Aktionen und Verhaltensweisen des Anwenders, die dafür sorgen, dass eine bösartige Nachricht den Mitarbeiter erreicht, die Malware Fuß fasst oder das Sicherheitsereignis unbemerkt bleiben kann.
Darüber hinaus unterwandern Mitarbeiter häufig die Abwehrmaßnahmen, indem sie Richtlinien und IT-Prozesse zugunsten von Verfahren umgehen, die ihnen schneller und einfacher erscheinen. Paradebeispiel ist das Wiederverwenden von Passwörtern – der Spitzenreiter unter den von Mitarbeitern verursachten Risiken. 93,1 Prozent verwenden Login-Daten, die sie bereits früher genutzt haben oder für andere Zugänge nutzen.
Die Unternehmen tragen Mitschuld an der Misere: Sie geben den Mitarbeitern die Möglichkeit, diese Passwörter zu wählen, ohne dabei zu bestimmen wie sie zu ändern sind. Vorgaben, die verhindern sollen, dass Mitarbeiter in sicherheitsrelevante Prozesse und Einstellungen eingreifen, müssen von der IT aber definiert und durchgesetzt werden. Auch die Führungsspitze ist gefordert, solche Prozesse zu unterstützen.
Mit der falschen Einstellung
Menschliche Fehler passieren auch den Administratoren. Sie sind bei einer mangelnden Personalausstattung und angesichts komplexerer Systeme schnell überfordert. Das Risiko beginnt mit fehlerhaft definierten unternehmensweiten Sicherheitsrichtlinien. Für Hacker sind sie der Himmel auf Erden. So zeigt eine Analyse der Bitdefender-Telemetrie aus der ersten Hälfte des Jahres 2020 das Window Remote Management (WinRM) als Spitzenreiter.
Es ist bei 55,5 Prozent aller gescannten Endpunkte falsch eingestellt. Angreifer suchen nach WinRM-Schwachstellen und anderen lückenhaften oder schlecht definierten Richtlinien, um sich in Systeme einzuwählen und diese komplett fernzusteuern. So können sie Schadcode ausführen, Registrierungsschlüssel ändern oder PowerShell-Zugriff gewähren. Ein kürzlich veröffentlichter Bericht von ESG und Bitdefender zeigt, dass eine fehlerhafte oder riskante Einstellung der Endpunkte in 27 Prozent der Fälle der ausgenutzte Einstiegspunkt ist.
Internet-Einstellungen sind eine weitere wichtige und oft übersehene Sicherheitskategorie, auf die 73,1 Prozent aller Fehlkonfigurationen von Endpunkten entfallen. So sollten Benutzer eigentlich nicht in der Lage sein, unsignierte .NET-Framework-Komponenten aus dem Internet Explorer auszuführen. Dennoch kommt dies häufiger vor. Ein weiteres Problem entsteht bei SSL 3.0-Downgrade-Angriffen, durch die Angreifer Man-in-the-Middle-Attacken auf die eigentlich verschlüsselte Kommunikation ausführen.
Die allein gelassene IT
Durch die zunehmende Raffinesse und Diversifizierung von Cyber-Angriffen und chronisch unterbesetze IT-Sicherheitsabteilungen stehen viele Betriebe zunehmend im Risiko. Größere Unternehmen können sich für das Betreiben eines eigenen SOC entscheiden. Mittleren und kleinen Organisationen bieten MDR-Dienste eine wirksame und in den meisten Fällen hinreichende Alternative, die Sicherheit in externe Hände zu geben.
Ein solches dezidiertes Sicherheitsteam übernimmt und verantwortet dann auch die Konfiguration der Endpunkte – obwohl es aus der Ferne arbeitet und dennoch einen vollständigen Einblick in die Infrastruktur hat. Die beste Option besteht darin, Unternehmen mit einer umfassenden Endpunkt-Risikoanalyse zu versorgen. Ähnlich einem System-Audit werde sowohl technologische Risiken als auch Gefahren, die sich aus menschlichem Fehlverhalten ergeben, analysiert.
MDR bietet die Vorteile und die Expertise eines SOC zu einem Bruchteil der Kosten. MDR-Teams arbeiten dabei mit den Unternehmen zusammen, um vorab genehmigte Szenarien für die Reaktion auf Vorfälle zu erstellen. So reagiert die Abwehr richtig und schneller. Oft auch schon lange bevor ein zunächst unerkannt eingeschleuster Angriff die Infrastruktur kompromittiert.
Liviu Arsene ist Global Cybersecurity Researcher bei Bitdefender.