Warum Ransomware-Angriffe so einfach sind – 10 häufige IT-Sicherheitsfehler (Teil 1)

Verschlüsselte Dateien und eine Text-Datei mit einer Erpresser-Nachricht zeigen klar und deutlich: Ein Unternehmen ist einer Cyberattacke zum Opfer gefallen. Dabei ist das nur das Ende einer langen Angriffskette. Denn die Tätergruppe bewegt sich oft schon seit mehreren Wochen oder Monaten im Netzwerk. Meistens ungehindert und unbemerkt. Dabei zeigen IT-forensische Analysen, dass sehr viele Ransomware Angriffe mit grundlegenden und einfachen CyberSecurity Maßnahmen schon deutlich vor der Verschlüsselung unterbrochen werden könnten. Leonard Rapp, Security Engineer (DFIR*) bei G DATA Advanced Analytics stellt hier die ersten fünf von zehn typischen Problemen vor, die solche Angriffe möglich machen und warum viele davon lange unentdeckt bleiben.
* Digital Forensics and Incident Response

Das Problem: Insbesondere Unternehmen, die Systeme von Fortinet, Citrix oder Microsoft nutzen, kennen das. In den vergangenen Jahren gab es immer wieder Sicherheitslücken in den Anwendungen oder Betriebssystemen, die Tätergruppen direkt ausgenutzt haben,Der Grund: Zahlreiche Unternehmen patchen selbst kritische Lücken nicht zeitnah. Besonders risikoreich sind sogenannte Zero-Day-Exploits, Diese Schwachstelle, auch 0-Day genannt, ist dem Hersteller in der Regel unbekannt ist, sodass zunächst kein Patch oder eine andere Lösung verfügbar ist. Allerdings führt die reine Verwundbarkeit eines Systems nicht direkt zu einer Kompromittierung.

Die Lösung: Engmaschiges Monitoring zur frühzeitigen Anomalieerkennung ist ein guter Ansatz, um tiefergehende schadhafte Aktivitäten schnell einzudämmen. Außerdem sollten Verantwortliche Patch-Prozesse etablieren und ein gutes Asset Management aufbauen. So erhalten sie eine Übersicht über ihre Systemlandschaft und den jeweiligen Patch-Status. Nicht patchbare oder veraltete Systeme sollten isoliert betrieben werden. Gerade in Krankenhäusern sind viele Medizinprodukte im Einsatz, die aus technischen Gründen auf veralteten Betriebssystemen basieren. Diese dürfen dann nicht mit dem restlichen Netzwerk kommunizieren und schon gar nicht aus dem Internet erreichbar sein.

Das Problem: Schwache Kennwörter erleichtern Cyberkriminellen immer wieder den Weg in ein Unternehmensnetzwerk. Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für starke Passwörter sind zeitgemäß, werden aber in der Praxis oft auch von Fachleuten missachtet. Ein Domain-Administrator-Passwort mit sechs Zeichen oder ein lokales Administratorpasswort mit nur zwei Zeichen stellt für die Täter kein Hindernis dar.

Die Lösung:Um Angreifern den Zugang zu erschweren, braucht es eine strikte Passwort-Richtlinie. Dafür hält das BSI Tipps für sichere Passwörter bereit. Und sämtliche Zugänge, die auch über das Internet erreichbar sind, sollten zusätzlich mittels Multifaktor-Authentifizierung abgesichert sein. Dazu zählen insbesondere VPN-Zugänge. Denn mit einer steigenden Zahl von Benutzerinnen und Benutzern steigt auch die Wahrscheinlichkeit, dass eine Person oder mehrere Personen darunter schwache oder mehrfach genutzte Passwörter verwendet. Ein gutes Beispiel mit schwer zu kontrollierenden Benutzergruppen sind Universitäten oder Hochschulen. Sie versorgen tausende Studierende mit Zugängen zu Systemen, Anwendungen, etc. aber gleichzeitig müssen sie ihre Systeme schützen.

Das Problem:Angreifergruppen gelingt es häufig mit wenig Aufwand sich höhere Zugriffsrechte in einem Netzwerk zu beschaffen. Eine beliebte Vorgehensweise: Mit einem kompromittierten lokalen Administratorkonto lesen sie zwischengespeicherte Passwort-Hashes aus dem Arbeitsspeicher aus. Denn Passwort-Hashes werden bei jeder Anmeldung zwischengespeichert. Das betrifft sowohl die Anmeldung mit Benutzer- oder Administrationsaccounts als auch Serviceaccounts. Oftmals kann der Passwort-Hash direkt genutzt werden, ohne dass die Kenntnis des eigentlichen Passwortes nötig ist, um sich als eine andere Person anzumelden.

Wenn sich dann – häufig - aus Bequemlichkeit Administratoren oder Servicekonten mit domänenadministrativen Rechten auf einem einfachen PC anmelden, wird dieser höchstprivilegierte Login lokal zwischengespeichert und gelangt so unkompliziert in den Besitz der Cybergangs.

Die Lösung: Um solche Risiken zu minimieren, braucht es eine Account-Trennung. Ein gutes Beispiel dafür beschreibt Microsoft in ihrem Tiering-Modell (Abstufungsmodell). Die Idee dahinter ist: Systeme in verschiedene Tiers (Stufen) einzuteilen und für jedes Tier ein eigenes Administratorkonto zu verwenden. Dieses Vorgehen verhindert, dass die Angreifer bei der Kompromittierung des Systems eines niedrigen Tiers Zugangsdaten für Systeme eines Höheren Tiers erlangen und somit ihre Berechtigung einfach erweitern können, um Zugriff auf sensible Teile der Infrastruktur zu erhalten.

Das Problem: Viele Unternehmen nutzen noch immer große flache Netzwerke oder vergessen, dass eine Netzwerksegmentierung nur dann einen Sicherheitsgewinn bietet, wenn die Übergänge reglementiert sind. Ansonsten müssen sich Verantwortliche sich nicht wundern, wenn Cyberkriminelle sich schnell im Netzwerk ausbreiten können.

Die Lösung: Mit durchdachter Netzwerk-Segmentierung lassen sich deutliche Hindernisse für Angreifergruppen aufbauen, die nur schwer zu überwinden sind. So sollten Firmen Server- und Client-Netzwerke strikt trennen und nur explizit notwendige Verbindungen zulassen. Denn gerade in großen Unternehmen ist schnell auf den Anhang einer Phishing-Mail geklickt. Genauso wichtig ist die Trennung von Operational Technology (OT) und IT. Produktions- und Steueranlagen haben beispielsweise in einem reinen Büro-Netzsegment nichts zu suchen. Insbesondere Unternehmen mit kritischen Infrastrukturen wie etwa Stadtwerke müssen sicherstellen, dass keine Zugriffe möglich sind. Darüber hinaus sind auch Quick-Wins sind möglich wie etwa ein Managementnetz. Dieses extra Netzwerk enthält Management-Interfaces, auf die normale Nutzer keinen Zugriff benötigen. Hier erhalten ausschließlich administrative Accounts Zugang, der jeweils über ein VPN mit einem zweiten Faktor abgesichert ist. Dies bringt einen hohen Sicherheitsgewinn, ohne die alltägliche Arbeit der normalen Nutzer zu beinträchtigen.

Das Problem: Kein Back-up? Kein Mitleid! Ganz so einfach ist die Sache leider nicht. Ein Backup zu haben, ist nicht die ganze Lösung. Denn es muss auch einsatzfähig sein. Hinzu kommt: Cyberkriminelle suchen sehr gezielt nach Backups, um diese zu löschen oder ebenfalls zu verschlüsseln. Dadurch steigt der Druck auf Unternehmen, Lösegeld zahlen zu müssen.

Die Lösung: Grundsätzlich sollten Back-ups vom Netz und Internet getrennt sein. Das bedeutet: Keine Anbindung ans Active Directory und in ein eigenes abgeschottetes Netzsegment, damit sie nach einer Ransomware-Attacke einsatzfähig sind.  Denn immer wieder brechen Tätergruppen ihre Angriffe ab, wenn sie die Back-up-Server nicht finden oder nicht darauf zugreifen können. Dann verlieren sie das Druckmittel, um ihre Forderungen durchzusetzen. Gleichzeitig gilt: Je länger sie das Back-up suchen, desto mehr Zeit haben Firmen, den Angriff zu entdecken.

Daher gilt: Eine gute Back-up-Strategie beinhaltet auch eine sicher aufbewahrte Offline-Kopie aller Informationen. Zusätzlich sollte sowohl die Funktionsfähigkeit als auch das Einspielen der Backups regelmäßig getestet werden.

Übrigens: Schwierig wird es, wenn die Back-ups passwortgeschützt sind, das Kennwort aber in einem Passwortmanager gespeichert ist, der von den Tätern verschlüsselt wurde.