Nahezu wöchentlich erscheinen neue Studien und Reports zu aktuellen Trends der IT-Sicherheit und den damit verbundenen Herausforderungen. Doch wie sind die Wahrnehmungen „im Feld“? Welche Fehler erkennen die Security-Praktiker im täglichen Einsatz? Der Whitehat-Hacker Kody Kinzie erklärt hier die aus seiner Sicht größten Fehler, die Unternehmen in Bezug auf ihre Cybersicherheit derzeit machen.
Unternehmen schaffen sich Geräte und Lösungen an, die sie nicht verstehen
Gerade in der jüngsten Zeit entstehen vermehrt Probleme durch den Einsatz von Produkten und Lösungen, bei denen die Auswirkungen auf die Sicherheit von den Anwendern nicht (komplett) erkannt und verstanden werden. So berichtet Kody Kinzie von einem kürzlichen Arztbesuch, bei dem er im Wartezimmer auf eine ungeschützte Überwachungskamera gestoßen ist:
„Auf meinem Telefon bemerkte ich, dass hier eine Kamera eines bekannten Herstellers installiert ist, die über ein offenes WiFi-Netz verfügte. Ich lud die entsprechende App herunter und wurde sofort mit der Kamera verbunden. Diese übertrug aus einem anderen Zimmer der Praxis – auch private Daten und Diagnosen!“ Offensichtlich hat das Praxisteam nicht bedacht, dass es sich um ein smartes Device handelt und es einfach wie eine klassische Überwachungskamera angeschlossen.
„Es gibt bei diesen intelligenten Geräten eine Menge Funktionen, die das Praxisteam (wie auch viele andere Anwender) nicht nutzen. Und weil ihnen das offensichtlich nicht ausreichend klargemacht wurde, haben sie einfach das Gerät so eingerichtet, dass jeder in der Nähe darauf zugreifen und es konfigurieren kann.“
Ähnliches gilt auch für Router und andere (insbesondere vorkonfigurierte) Geräte, die in Unternehmen eingesetzt werden, weil sie zusätzliche Funktionen versprechen, die jedoch auch verwund- und angreifbar sind, wenn sie nicht richtig verstanden werden.
Unternehmen erkennen die potenziellen Auswirkungen von IoT-Devices nicht
IoT-Geräte werden immer häufiger auch von kleineren Unternehmen eingesetzt, beispielsweise zur Zahlungsabwicklung. Bei dem Audit für eine große Veranstaltungs-Location erkannte Kinzie, dass das Zahlungssystem an das Gästenetzwerk angeschlossen wurde, dessen Passwort oft geteilt wurde. Auf seine Frage, ob das vom Betreiber nicht als problematisch angesehen würde, antwortete dieser, dass dies ja egal sei, da der Zahlungsdatenverkehr ja verschlüsselt sei.
Mit seinem Android-Phone war Kinzie in der Lage, die ausgehenden Verbindungen zu unterbrechen, wodurch keine Zahlungstransaktionen mehr durchgeführt werden konnten. „Oft sind es Probleme, an die man gar nicht denkt, die einen am härtesten treffen. Eine Datenpanne ist sicherlich schlimm, aber enorme Umsatzeinbußen, weil man nichts mehr verkaufen kann, können bei Unternehmen wie Veranstaltern oder Händlern mindestens genauso verheerende Schäden verursachen.“
Unternehmen nutzen und erlauben schlechte Passwörter
Neben einer mangelnden Netzwerk-Segmentierung (insbesondere bei öffentlich zugänglichen WiFi-Netzwerken) und dem oft vernachlässigten Einsatz von VPNs, sieht Kinzie besonders bei Passwörtern große Defizite. Hierbei kommt es weniger auf die Komplexität, sondern eher auf die Länge an. Ebenso sollten Passwörter regelmäßig geändert und keinesfalls für verschiedene Dienste genutzt werden.
Wurde dieses (theoretisch) sichere Passwort bei einer Datenschutzverletzung geleakt, können Cyberkriminelle so gleich auf sämtliche Ressourcen zugreifen. Für alle Privat- und Geschäftsanwender empfiehlt er deshalb dringend Passwort-Manager, welche die Erstellung, Verwaltung und Rotation von Passwörtern wesentlich vereinfachen und einen oftmals auch warnen, wenn ein verwendetes Passwort in einer Liste mit geleakten Passwörtern auftaucht.
Unternehmen verwenden keine Zwei-/Multi-Faktor-Authentifizierung
Um die Sicherheit der Konten weiter zu verbessern, sollten Unternehmen eine Multi-Faktor-Authentifizierung einführen. „Einer meiner früheren Kunden erzählte mir vor ein paar Jahren eine Geschichte, die ich so auch noch nie erlebt habe: ‚Ab und zu haben wir diesen Typen in unserem System, der unsere Passwörter kennt, aber wir wissen nicht, wie er sie bekommen hat.‘ Es lag wohl daran, dass sie alle ihre Passwörter geteilt haben. Dieser Angreifer versuchte alle paar Monate auf recht plumpe Art und Weise einen Phishing-Angriff bzw. CEO-Fraud. Die Reaktion war meistens ‚Ach, da ist dieser Typ schon wieder‘.“
„Die Mitarbeiter betrachteten die ganze Situation eher als eine lustige Anekdote und hatten fast schon Mitleid mit dem Angreifer, der aus seinem Zugriff einfach kein Kapital schlagen konnte. Die Priorität bei dem Unternehmen lag ganz klar auf ihrem Kerngeschäft und es standen keine Ressourcen zur Verfügung, um diese lästige, aber insgesamt ungefährliche Situation zu beenden. Dabei wäre dies mit einer 2-Faktor-Authentifizierung sehr leicht möglich gewesen. Auf diese Weise lässt sich sicherstellen, dass selbst wenn das Passwort in die Hände eines Cyberkriminellen gerät, dieser nicht auf das entsprechende Konto zugreifen kann, da er keinen Zugang zu dem verbundenen Mobiltelefon oder der Authentifizierungs-App hat.“
Natürlich garantiert auch eine Multi-Faktor-Authentifizierung keine hundertprozentige Sicherheit, aber es geht bei allen Sicherheitsmaßnahmen vor allem darum, für Angreifer ein möglichst schwieriges Ziel zu sein.
Unternehmen vernachlässigen den physischen Schutz
Auch Unternehmen, die viel in ihre IT-Sicherheit investieren, übersehen oftmals den physischen Schutz. So bieten beispielsweise USB-Ports an Monitoren in Wartezimmern oder offene Ethernet-Ports potenzielle Einfalltüren für Angreifer.
„Unternehmen sollten die Perspektive eines Außenstehenden einnehmen und untersuchen, auf welche Bereiche des Unternehmens man entweder aus der Ferne über Wi-Fi oder physisch (in einem Warteraum oder über die Verkabelung) zugreifen kann. Genau dies ist der Punkt, bei dem viele Unternehmen ihre ganzen Sicherheitsanstrengungen vermasseln: Sie errichten einen sicheren Perimeter, lassen aber ein gigantisches Loch durch mangelnden physischen Schutz, das sofort die Aufmerksamkeit von Angreifern auf sich zieht.“
Unternehmen setzen den Least-Privilege-Ansatz nicht um
„Ich habe früher für eine große Firma gearbeitet, die sehr paranoid in Bezug auf die Teilnahme an bestimmten ‚vertraulichen‘ Meetings war. Aber gleichzeitig hatten alle Mitarbeiter Zugriff auf das Google-Laufwerk, auf dem in Echtzeit das Protokoll dieser geheimen Sitzungen gespeichert wurde. Viele Unternehmen spielen eine Art Sicherheitstheater, aber wenn es um Least-Privilege geht, scheitern sie.“
Die Frage, wer Zugriff auf welche Dateien hat, ist aus Sicherheitssicht entscheidend. Durch den Fehler eines einzigen Mitarbeiters, der etwa auf eine Phishing-Mail hereinfällt, kann enormer Schaden entstehen, da der Angreifer auf die gleichen Dateien zugreifen kann wie der legitime Nutzer. Und je mehr (insbesondere sensible) Dateien dies sind, umso größer sind die potenziellen Auswirkungen. Deshalb müssen Unternehmen genau prüfen, wer wirklich Zugriff auf welche Ressourcen benötigt, und nur diesen Zugriff erlauben.