IT-Verwaltung und Cybersicherheit

Sechs Lehren aus Hackerangriffen

| Autor / Redakteur: Kevin Switala* / Susanne Ehneß

Nutzer sollten keinen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken erhalten
Nutzer sollten keinen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken erhalten (© phecsone - stock.adobe.com)

Staatliche Organisationen müssen sowohl kritische Systeme und Mitarbeiter verwalten und supporten als auch sensible Daten schützen. Ein relativ neues Phänomen ist die Einflussnahme auf politische Prozesse durch Cyber-Angriffe, in der Regel durch professionelle und vermutlich staatlich gelenkte Angreifergruppen. In Baden-Württemberg beispielsweise wurde die Landesverwaltung angegriffen — betroffen waren auch Unikliniken und der Energiesektor. Welche Lehren lassen sich aus den Angriffen ziehen?

Von „diversen Phishing-Versuchen“ im Jahr 2017 berichtete das Land Baden-Württemberg. Angreifer hätten versucht, auf Uni-Rechnern lagernde Daten zu erbeuten, und auch in den Sektoren „Transport und Verkehr“ sowie „Energie“ habe es Vorfälle gegeben. Zudem habe das Landesamt für Verfassungsschutz „Kenntnis von einem Angriff mit mutmaßlich nach­richtendienstlichem Hintergrund gegen baden-württembergische ­Unternehmen aus dem KRITIS-Bereich“, der als IT-Sicherheitsvorfall zu werten sei.

Hacker im Rathaus

Im bayerischen Vogtareuth erlebte die Stadtverwaltung indes einen digitalen Super-GAU. Anfang März war es Hackern gelungen, alle städtischen Sicherheitsvorkehrungen auszutricksen. Als Bürgermeister und Mitarbeiter nach dem Wochenende an ihre Arbeitsplätze ­zurückkehrten und ihre PCs hochfuhren, waren alle Daten, Mails und Dokumente verschlüsselt. Selbst die hinzugezogenen Fachleute konnten kein Programm mehr aufrufen und keine Nachrichten mehr wiederherstellen. Umfang und verheerende Auswirkungen von Cyber-Angriffen haben nicht nachgelassen.

Die Polizeiliche Kriminalstatistik (PKS) weist für das vergangene Jahr 108.510 Cyber-Straftaten aus, aber die offiziellen Zahlen decken nur einen Bruchteil der Straftaten ab. Experten zufolge liegt die Dunkelziffer bei 90 Prozent, weil viele Betroffene gar nicht merken, dass sie Opfer von Attacken geworden sind. Hacker dringen unbemerkt in IT-Systeme von Firmen und staatlichen Institutionen ein und greifen auf sensible Daten zu. Im Fall von Vogtareuth wiederum legten die Attacken auf Computer die Abläufe im Rathaus lahm, um Schutzgeld zu erpressen.

Risiko Mitarbeiter

Die dokumentierten Sicherheitsvorfälle zeigen, dass Cyber-Angriffe immer komplexer werden und die IT-Abteilungen um die kontinuierlich wachsenden Herausforderungen wissen. Im neuesten „Privileged Access Threat Report 2018“ beispielsweise stellt der Sicherheitsanbieter Bomgar fest, dass jedes zweite Unternehmen mit einer schweren Sicherheitsverletzung durch Drittanbieter oder Mitarbeiter rechne. In der Studie wird zudem deutlich, dass Mitarbeiter mit wenig Sicherheitsbewusstsein in den meisten Organisationen für Kopfschmerzen sorgen. Das schriftliche Notieren von Passwörtern wird zum Beispiel von 65 Prozent der Unternehmen als Problem genannt — 54 Prozent der Firmen beklagen die Weitergabe von Kennwörtern an Kollegen.

Erkenntnisse

Der Dauerdruck auf die IT-Systeme führt aber auch dazu, dass sich aus wiederkehrenden Angriffs­szenarien wichtige Erkenntnisse ziehen lassen. Der Report zeigt eben auch, wie sich die Zahl der Sicherheitsverstöße deutlich senken lässt, wenn IT-Verantwortliche die Kontrolle über die Verwendung von Anmeldedaten zurückgewinnen. Was sind also die Lehren aus den Hackerangriffen?

  • Vertrauen in Dienstleister ist gut, Sicherheitskontrolle ist besser. Externe Dienstleister sind in die IT-Prozesse einer Organisation fest integriert und ein häufiges Sekundärziel von Hackerangriffen. Deshalb müssen IT-Verantwortliche wissen, welche IT-Systeme und Daten von welchen Nutzern aus mit welchen Zugriffsrechten abgerufen werden können. Neben klar definierten Benutzerrechteprofilen mit ActiveDirectory-Anbindung ist dafür eine revisionssichere Auditierung aller durchgeführten Vorgänge erforderlich. Auch eine durchgängige Verschlüsselung ist dafür unabdingbar.
  • Legacy-Lösungen mit VPN-­Zugriff aussortieren. Vom Einsatz von VPN-Verbindungen ist abzuraten. Denn über kompromittierte End-to-End-Verbindungen können sich Unbefugte mit erfolgreich gehackten Nutzerprofilen unbeobachtet im Zielnetz bewegen. Zur Steuerung, Kontrolle, Protokollierung und Gefahrenabwehr benötigen IT-Verantwortliche eine lückenlose Sicht auf alle Netzaktivitäten.
  • Keine Blankoschecks bei Zugriffsrechten. Wer darf auf welches System zu welchem Zeitpunkt zugreifen? Dies muss im IT-Verbund nachprüfbar geregelt werden. In keinem Fall dürfen Personen einen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken erhalten. Die Best-Practice-Empfehlung ist, dass Nutzer über individuelle Zugangsdaten verfügen, damit sich alle durchgeführten Konfigurationen auch den jeweiligen Administratoren zuordnen lassen.
  • Zugriffe überwachen. Sicherheitsverantwortliche und IT-­Administratoren setzen dafür professionelle Passwortmanagementlösungen ein, um Passwörter sicher verwalten und gemeinsam genutzte Konten schützen zu können. Passwörter werden zentral verschlüsselt gelagert, ­regelmäßig rotiert und bei Bedarf durch Credential-Injection-Technologie (direkt in Zielsysteme) eingespeist. Auf diese Weise erhalten autorisierte Anwender individuellen Zugriff auf Server und IT-Systeme, ohne dass die Passwörter offengelegt werden müssen.
  • Sichere Passwörter. Neben der automatisierten Rotation oder Einmalverwendung von Kennwörtern gehört zu einem schlüssigen Sicherheitskonzept noch eine weitere Maßnahme. Fest ­kodierte Passwörter aus Applikationen und Skripten müssen entfernt werden, um Zugangsdaten von Applikation zu Applikation ohne manuelles Eingreifen sicher zu übertragen. Viele Service-Accounts bieten oft jahrelangen Zugriff auf kritische Geschäftssysteme, so dass Hackeraktivitäten oft erst spät erkannt werden. Im Angriffsfall geht es oft um Minuten, sodass hier eine automatisierte Rotation Gold wert sein kann.
  • Least-Privilege-Policy. Anwender benötigen in der Regel keinen vollen und durchgängigen Zugriff auf alle Dienste, um ihre Aufgaben erledigen zu können. Als grundsätzliche Vorsichtsmaßnahme empfiehlt es sich daher, so wenige Berechtigungen zu vergeben wie nötig. So können Unbefugte weniger Schaden anrichten, wenn sie in den Besitz­ aktueller Anmeldedaten gelangen. Professionelle IT-Lösungen für Privileged Access Management erkennen und entfernen Administratorrechte und vergeben erhöhte Privilegien nur für geprüfte Applikationen und ­Aufgaben.

Der Autor: Kevin Switala
Der Autor: Kevin Switala (© Bomgar)

Fazit

Fachleuten ist bewusst, dass Sicher­heitsverletzungen nur eine Frage der Zeit sind. Viele dieser Verstöße gehen auf die missbräuchliche Nutzung von privilegierten Zugangsdaten von Insidern oder externen Personen zurück. Die Anzahl solcher Benutzer und Konten wächst exponentiell und der Zugriff auf Systeme und Daten wird oft unkontrolliert gewährt. Angesichts steigender Bedrohungen und neuer Gesetzesvorgaben wie der EU-DSGVO wächst der Druck, eine­ durchgängige IT-Strategie zur ­Verwaltung und Kontrolle dieser Zugriffsrechte durchzusetzen.

*Der Autor: Kevin Switala, Regional Sales Manager bei Bomgar.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45645043 / Standards & Technologie)