Firmen werden gehackt

Es ist keine Frage ob ihre Firma einmal gehackt wird, sondern des wann. Die Wahrscheinlichkeit steigt je mehr Personen mit Computern arbeiten je wenige diese sensibilisiert und und zu holen gibt es bei jeder Firma etwas.

Mehrere Vorfälle im Jahr 2020/2021 habe ich begleiten dürfen und ich möchte die Seite wirklich nutzen, um den ein oder anderen Administrator und Geschäftsführer aus seiner Komfortzone zu holen.

Siehe dazu auch Ransomware - Fiktive Story, War-Room und DC Backup/Restore

Maßnahmenkatalog Ransomware
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf?__blob=publicationFile&v=2

Bei mir gibt es nichts zu holen?

Solche Sätze werden immer wieder in der Raum geworfen, wenn ich das Thema "Sicherheit" anspreche und entsprechend gekontert.

Aussage Bewertung

Wir sind zu klein, uns kennt man nicht

Nicht alle Angreifer suchen gezielt nach lohnenden Zielen. Der klassische Einbrecher muss seine Opfer auskundschaften um sein Risiko zu minimieren und eingrenzen, um Zeit zu sparen. Im Internet ist jedes Ziel gleich nah und mehrere Ziele können parallel "gechecked" werden. Sie sind eher wie Gelegenheitsdiebe, die eine Change ergreifen. Das "Suchen" machen kostenfreie automatische Skripts. "Phishing as a Service" oder leichtsinnige Anwender, die ihre Firmenadresse und das gleiche Kennwort in sozialen Netzwerken verwenden.

Bei uns gibt es nichts zu holen

Ohne Gewinne würde das Finanzamt ihr Unternehmen sehr bald als "Hobby" einstufen und den Laden dicht machen. Solange Sie und ihre Mitarbeiter davon leben können, gibt es auch etwas zu erpressen. Überlegen Sie mal.

  • Schließen Sie ihre Firma abends ab? Haben Sie eine Alarmanlage oder Wachschutz?
    Sie lassen doch sicher nicht ihre Waren, Werkzeuge etc. ungeschützt?
  • Haben Sie ein Bankschließfach?
    Es kann auch ein Safe o.ä. sein aber jeder Geschäftsführer hat Unterlagen, die noch einmal gesondert gesichert sind. Und wenn es nur die Arbeitsverträge und Listen der Mitarbeiter mit deren Einkommen sind.
  • Haben Sie "Geheimnisse", die ihre Wettbewerber nicht wissen darf?
    Das müssen keine Patente o.ä. sein. Es reicht schon ihre interne Kalkulation, ihre Angebot und ihre Einkaufsbedingungen.

Wir haben ein Backup

Das funktioniert nur, wenn der Angriff sofort einen sichtbaren Schaden verursacht, Sie die Tragweite kennen und die Zeit zum "Neuaufbau" ausreicht. Angreifer löschen keine Daten sondern "verändern" oder "kopieren" Daten auch über lange Zeit und Erpressung lohnt sich mehrfach. Ihr Backupserver ist sicher ein "Offline" Backup der nicht angegriffen wurde.

Letztlich geht es immer um Geld und die "Einnahmen" der Erpresse sind ja durchaus beachtlich.

Das sind aber alles nur "Schätzungen", denn viele Angriffe bleiben unbemerkt oder werden aus Scham verschwiegen. Die Dunkelziffer dürfte hoch sein.

Es gibt lohnendere Ziele?

Die Frage, ob sich etwas lohnt, beantwortet der Dieb für Sie. Wenn ein Einbrecher ein hohes Risiko eingehen muss, zieht er vielleicht weiter. Wenn er aber zufällig ein offenes Fenster findet, dann wird er sich nicht lange bitten lassen. Klassische Einbrecher müssen um die Häuser ziehen. Im Internet machen das kostenlos Skripte, die anonym gestartet werden und ohne Risiko an allen Türen rütteln.

Bekommen Sie Spam-Mails bzw. haben Sie sogar einen Spam-Filter?

Ich bin sicher, dass Sie hier nicht mit "NEIN" antworten. Sie sind also schon "unter Beschuss" und die meisten Angriffe beginnen tatsächlich mit einer Mail, die einen Anwender zu einem Fehler verführt, z.B.:

  • Eine Webseite aufruft, um sich anzumelden
    Der Mitarbeiter gibt damit gültige Anmeldedaten preis, die der Angreifer als Zugang per VPN, Terminaldienst o.ä. nutzen kann.
  • Ein "Update" herunterlädt und installiert
    Das kann automatisch über eine Lücken im Browser/Betriebssystem passieren. Es gibt aber auch Anwender, die bewusst eine Applikation oder Installationsquelle herunterladen uns ausführen. In beiden Fällen läuft der Programmcode des Angreifers zumindest als "Domain Benutzer" auf einem Computer in ihrer Firma.
    Je nach Schwerpunkt wird der Angreifer versuchen "unerkannt" zu bleiben um möglichst lange ihre Firma auszuspähen und relevante Daten auszuleiten oder der wird zumindest die Daten verschlüsseln, die dieser "DomainUser" erreichen kann und Forderungen stellen.

All diese Prozesse sind heute hoch automatisiert und sogar "as a service" zu kaufen. Es gibt sogar die Arbeitsteilung, dass jemand nur Zugänge ausspioniert aber die Ausnutzung dann anderen Gruppen überlässt. Wie sonst lässt es sich erklären, dass Zugangsdaten "verkauft" werden?

Es ist also keine Frage des "OB" sondern nur noch des "WANN" auch sie betroffen werden.

Einfallstor

Als einen "Hackerangriff" bezeichne ich eine gezielte Ausnutzung von Schwachstellen eines Systeme, um privilegierte Rechte zu erhalten, mit denen ich dann Schaden anrichte, sei es durch Erpressung, Verschlüsselung, Datendiebstahl zum Weiterverkaufen oder Datenlöschungen. Der klassische "White Hat", der Systeme auf Schwachstellen untersucht und bei Erfolg den Hersteller informiert gibt es auch. Aber diese Kompetenz gepaart mit Freundlichkeit ist selten und vor allem weniger profitabel.

Natürlich gibt es die Angriffe auf verwundbare Systeme. Wer aus dem Internet erreichbare Router, Firewalls, Reverse-Proxy-Server, VPN-Zugänge, Terminalserver-Zugänge o.ä. hat, sollte immer einen aktiven Kontakt zum Hersteller halten und Prozesse für Updates und Patches etablieren. Das weit größere Tor sind ihre internen Computer, Benutzer und Server. Hier nur ein paar Ideen als virtuelle Bösewicht:

  • Bösewicht kauft eine Domain "ihrefirma-gewinnspiel.de"
    Ein "Let's Encrypt" ist schnell erstellt.
    Dort legt er eine Webseite an, die zur Sicherheit die Zugangsdaten abfragt oder die Anlage eines Benutzerkontos anbietet.
    Zudem "sichert" er die Domäne natürlich per SPF/DKIM entsprechend ab.
  • Er sendet Mails mit dem Link an die Firmenadressen.
    Spamfilter machen einen guten Job aber ohne "Malware" und eine "ungefährliche Webseite" als Link und gültige DKIM/SPF-Einträge machen es sehr schwer, so eine individuelle Mail zu erkennen.
  • Nun die Fragen:
    Wie viele Mitarbeiter klicken auf den vielversprechenden Link?
    Wie viele melden sich mit ihrem "Domänenkonto" an?
    Alternativ: Wie viele würden ein neues Konto mit der Firmenadresse anlegen und das gleiche Kennwort verwenden

Eigentlich ist es egal, wie viele Mitarbeiter den Fehler begehen. Es reicht schon ein Benutzer.

Mit einem gültigen Anmeldekonto beginnt die zweite Stufe. Ein "Angriff" ist es ja nicht mehr, denn nun hat ja von intern jemand eine Tür geöffnet. Der Angreifer kann nun einen der Wege nutzen, die sie ihren Anwendern in der Regel anbieten. Wenn diese nicht durch einen weiteren Faktor gesichert sind, dann denke ich an

  • VPN-Zugang
    Der Angreifer könnte so einfach "Teil ihres Netzwerks" sein und ist Domain Benutzer. Er kann problemlos ihr internes Netzwerk auf Schwächen filtern, sich auf andere interne Server (z.B. Terminal Server) anmelden oder per SMTP authentifiziert Mails senden. Wenn er bei der Suche ein internes System findet, welches eine bekannte Lücke hat, dann kann er die Rechte ausweiten. Tools zum Scannen und Ausnutzen sind öffentlich verfügbar. Der beste Schutz ist ein weiter Faktor für VPN (z.B. Gerätezertifikate). Eine Erkennung solchen Verhaltens per IDS kann helfen aber wenn sie nicht schnell reagiere, ist es zu spät. Der Angreifer kann zumindest die Daten verschlüsseln, verändern, löschen, die er als legitimer Benutzer erreichen kann.
  • RDP/ICA-Zugang
    Auch der Zugang per "Terminal Dienst" wird gerne genommen und mit den Anmeldekonten einfach zu nutzen. Wenn der Anwender so auch eine Shell oder ein VBA-Makro in Office oder einen Download im Browser starten kann, hat nun sogar einen Host in ihrem LAN, um mit viel Bandbreite noch schneller ihre Umgebung zu analysieren und mehr...
  • OWA/EWS
    Ohne direkten Zugriff auf eine Shell kann aber auch der Zugang per EWS schon viel weiterhelfen. Angreifer gewinnen so Informationen über den internen Aufbau ihrer Firma, um zielgerichtet Mails von Internet zu senden. Stellen Sie sich mal ein gekapertes Konto eines "Mitarbeiters" vor, der nun eine Mail an die Personalabteilung oder privilegiertes Konto mit einem Link auf eine Malware sendet. In der Mail behauptet er natürlich, es wäre ein ZIP-Archiv mit den gewünschten Unterlange. Wie "robust" ist hier der Empfänger dies zu durchschauen? Der Spamfilter ist hier nicht im Spiel.

Ich kann nur die Aussage wiederholen, dass es keine Frage des "OB" sondern nur noch des "WANN" ist und keine Firma und keine Person sich davon freisprechen kann.

Einfache Vorkehrungen

Es wäre auch vermessen einen 100% Schutz zu versprechen. Wenn jemand irgendwo rein will, dann schafft er es irgendwann auch aber der Aufwand nimmt immer weiter zu. In der "Standardkonfiguration" hat der Angreifer aber keinen Aufwand, weil seine frei verfügbaren Skripte einfach so funktionieren. Ihr Ziel muss es also sein, überall so viel sicherer zu werden, wie sie es mit vertretbarem Aufwand und Kosten bei ausreichender Nutzbarkeit umsetzen können. Es gibt keine "Reihenfolge" oder Priorität. Setzen Sie alles soweit um, wie sie können.

Thema

Beschreibung

vorhandene Produkte

Antivirus
AntiSpam

Beide Lösungen gehören zum zentralen Ansatz und wer ohne AntiSpam arbeitet, belastet die Menschen mit stupider und damit gefährlicher Löscharbeit. Der Virenscanner ist das zweite wichtige Standbeim und alles ist besser als kein Scanner. Selbst der in Windows eingebaute "Defender" ist sind gute Lösung.

Auch auf den Server gehört ein Virenscanner!

Windows Defender oder 3rd Party

Kennwortschutz

Wenn ein Angreifer einen Zugang als Benutzer in ihre Netzwerk per VPN, Terminaldienste o.ä. hat, dann ist er schon sehr weit. Hier müssen Sie zumindest alle Register ziehen, die einfach möglich sind:

  • "Kennwort erraten"
    Machen Sie es Angreifern schwer, indem das Kennwort lang ist und nicht aus einem Wörterbuch stammt. Die Länge können Sie per Richtlinie (Fine-grained Password Policy) erzwingen.
  • Benutzer trainieren
    Sensibilisieren sie die Anwender hinsichtlich des Risikos. Wenn jemand seinen Hausschüssel verliert, dann wird er sehr unruhig. Anwender dürften ihr Kennwort nie aus der Hand geben.
  • Unbekanntes Gerät/Standort
    Zumindest die Anwender, die unterwegs oder zuhause arbeiten, sollten zusätzlich nachweisen, dass Sie es sind. Das kann ein VPN mit Zertifikaten sein, ein Mobileclient mit Exchange Quarantäne etc.

Auch der Verzicht auf die immer neue Eingabe von Kennworten, z.B.: durch Windows Hello, Anmelden per PIN oder richtiges "SingleSignOn" sollte Anwender für unerwartete Dialogboxen sensibilisieren.

Policies, Training, VPN

Reduzierte Rechte

"Es" wird dennoch passieren, und dann ist es wichtig, den Schaden einzugrenzen. Es müssen nicht alle Benutzer automatisch "Domain Benutzer" sein. Sie können, wenngleich etwas aufwändiger, problemlos weitere Windows Gruppen anlegen und diesen nicht nur Rechte auf Dateien und Freigaben sondern auch auf die "Lokale Anmeldung" auf PCs u.a. geben.

Auch auf Dateiservern muss nicht "jeder" Rechte haben und überlegen Sie mal, ob ältere Dateien nicht einen "Schreibschutz" erhalten könnten. (Siehe CryptoProtect / TeslaCrypt / Locky / Ransomware-Schutz).

Konzept

Updates/Patch

Wer bekannte Schwachstellen nicht durch vom Hersteller bereitgestellte Updates korrigiert, macht sich mitschuldig. Ein aktiv betriebenes Patch-Management samt Erfolgskontrolle ist unerlässlich.

WSUS

Code Kontrolle

Etwas aufwändiger aber sehr wirkungsvoll ist die Kontrolle, welche Programme von wo überhaupt gestartet werden. Ab Windows Enterprise können Sie per AppLocker (vorher Software Restriction Policies) steuern, welche Programme aufgrund von Pfad, Name, Zertifikat, Hashwert ausgeführt werden dürfen. Damit könnte man auf vielen PCs den Start von unbekannten Programmen direkt blockieren.

Applocker(Win Enterprise)

Basis Netzwerkschutz

Sicher haben Sie eine Firewall aber wann haben Sie das letzte mal das Regelwerk überprüft? Wie "freizügig" ist es denn überhaupt, z.B. welche Ports sind von innen nach außen geöffnet und welche Schutzfunktionen haben sie auch umgesetzt und überwacht? Wie sieht es intern mit ihrem WLAN aus. Merken Sie, wenn jemand einen eigenen AccessPoint anschließt.

vorhandene Firewall, 802.1x

Allein diese Punkte werden Sie nicht unverwundbar machen aber das Risiko deutlich minimieren und vielleicht die Folgen reduzieren. Sie sind aus meiner Sicht aber mit einem vertretbaren Aufwand und schnell umzusetzen. Die meisten Baustein gibt es in den meisten Firmen schon. Sie müssen nur angewendet werden.

Fangen sie vor allem heute noch damit an!

Verbesserte Maßnahmen

Mit mehr Zeit und mehr Geld können Sie ihre Absicherung natürlich noch deutlich anheben. Es gibt sehr viele Hersteller von Zusatzprodukten, so dass es schon unübersichtlich ist. Nur ein paar Stichpunkte.

  • Netzwerkzugang
    Haben Sie in ihrem LAN schon "802.1x" aktiv oder kann jeder Mitarbeiter (und Angreifer) einfach einen Computer in eine Netzwerkdose stecken?. Ein kleiner Mini-PC kann schnell hinter dem Drucker versteckt und damit ins LAN eingebunden werden. Ihr Netzwerk ist aber auch per VPN von extern erreichbar. Beschränken Sie den Zugriff auf "bekannte Clients" z.B. per Zertifikat oder reicht tatsächlich eine Anmeldung mit "Benutzername/Kennwort"?
  • Kennwort, MFA, Conditional Access
    Solange eine Anmeldung per Benutzername und Kennwort möglich ist, müssen Sie nicht nur eine Risikobewertung durchführen sondern auch Maßnahmen zur "Rückfrage" umsetzen. Unregelmäßigkeiten, z.B. verwendeter Client, Quell-IP-Adresse o.ä. sollten eine Rückfrage auslösen oder einen zweiten Faktor erzwingen. Das macht es für externe Angreifer schon sehr schwer einen erratenen oder verratenen Zugang von extern zu nutzen.
  • Logging und Intrusion Detection
    Alle internen Systeme sollten Zugriffe und insbesondere fehlerhafte Anmeldungen überwachen, damit ein weitere System diese zusammenführen kann. Sie können vielleicht die ersten Spuren eines Angriffsversuchs erkennen oder bei erfolgreichem Angriff die Schwere und Auswirkungen besser abschätzen.
  • Sensibilisierung und Testen
    Bei allen technischen Vorkehrungen ist der Mensch immer noch das schwächste Glied. Es reicht dem Angreifer nur ein Konto, welches er erlangen konnte um sich in der Firma "umzuschauen" und weitere Angriffspunkte zu ermitteln. Da reicht schon ein LDAP-Export das AD um zu sehen, welche Benutzer, Hierarchien und Teams es gibt, um individuelle Phishing-Mails mit dem Postfach des Benutzers zu senden.
  • und mehr
    Das sind nur drei Punkte, die ich etwas ausführlicher beschrieben habe und ich möchte sie gar nicht der Illusion hingeben, dass dies schon alles ist und sie in wenigen Minuten "sicher" sind. Es gibt noch viel mehr Aspekte.

Der Betrieb einer komplexen Lösung führt zur vielen Produkten und Server, die ihrerseits wieder abgesichert sein müssen. Teilweise sogar besonders gut gegen Administratoren, denn wenn ein Angreifer ein "Golden Ticket" hat, dann wird er sehr früh versuchen, seine Spuren zu verwischen und genau nach solchen Schutzsystemen suchen.

Cloud für Security

Es könnte durchaus interessant sein, solche Systeme nicht mehr selbst zu betreiben sondern zumindest die Verwaltung auszulagern. Damit sind wir dann wieder in einer Cloud und zufälligerweise hat auch Microsoft den Markt erkannt, dass Firmen hier zusätzlich Geld ausgeben werden und steht gleich mit mehreren Produkten auf der Matte:

  • AzureAD P1
    Erst damit können Sie "Conditional Access" und erweiterte Multi-Fakator Authentifizierungen nutzen. Aber auch das Azure AD Application Proxy kann für eine sichere Veröffentlichung interner Dienste genutzt werden
  • Intune
    Über das Device Management können Sie ihre Geräte verwalten, Inventarisieren und so neben WSUS auch Updates besser überblicken und durchsetzen.
  • Windows Enterprise E3
    Mit diesem Baustein können Sie z.B. auch Applocker und DeviceGuard nutzen. Mit Endpoint Security - Bitlocker erschweren Sie Seitenangriffe auf Windows Notebooks.
  • Azure ATP
    Überwacht ihre Domain Controller auf "Unregelmäßigkeiten"
  • Defender ATP und Cloud App Security
    Umfangreiche Überwachung der Clients samt Steuerung der erlaubten Dienste
  • Azure Sentinel
    Damit können Sie eine Unzahl von Datenquellen (Auch Firewall, Router etc.) an einer Stelle in der Cloud zusammenführen.

Achten Sie dabei auf die Kombination von Paketen. So sind AzureAD P1 und Intune in "EMS E3" enthalten. Die Teilmenge "Microsoft 365 E5 Security" enthält quasi alle Bausteine für die Sicherheit, wenn sie nicht gleich das ganz große "Microsoft 365 E5" lizenzieren wollen.

Auch wenn es so aussieht, dass Microsoft alles mitbringt, so sollten Sie zuerst ihren Bedarf ermitteln und erst dann überlegen, welche Umfang sie einsetzen können, wollen und dürften.

Gerade mein letzter Satz sollten Sie sich auf der Zunge zergehen lassen.

  • Können
    Damit meine ich insbesondere die Folgeaufwände für den Betrieb der Lösung. Denn allein mit der Installation ist es ja nicht getan. Sie müssen nicht nur auf erkannte Angriffe reagieren können sondern das Gesamtsystem verstehen, konfigurieren und betreiben. Es gibt betroffene Firmen, die hatten Produkte lizenziert aber einfach nicht "scharf" geschaltet, weil das Personal noch nicht dazu gekommen ist.
  • Wollen
    Die Kostenrechnung ist immer im Boot, denn natürlich will jeder absolute Sicherheit aber auch Mittel sind nicht unbeschränkt. Dennoch muss auch die Geschäftsführung einsehen, dass IT-Sicherheit zum IT-Betrieb dazu gehört. Genau wie Sicherheitsgurte, Airbags, ABS, OBD-Schnittstelle und andere Sicherheitsfunktionen im Auto die sie in der Regel gar nicht brauchen aber dennoch mitbezahlen.
  • Dürfen
    Jede Überwachung erfasst Informationen, die auch "anders" verwendet werden können. Wer z.B. Anmeldungen auf Unregelmäßigkeiten überwacht kann damit auch Anwender ausspähen. Der Betriebsrat/Personalrat ist zwingend mit im Boot und nicht alles, was wünschenswert wäre, darf auch aktiviert werden.

Sie werden in allen drei Bereichen zu Kompromissen und kontinuierlichen Dialogen gezwungen. Aber die Auseinandersetzung ist der erste Schritt.

Ich will ihnen keine Panik machen aber schon etwas Angst. Ich unterhalte mich nämlich lieber vorab in Ruhe mit ihnen anstatt mir die Nächte mit dem Neuaufbau eines Active Directory um die Ohren zu schlagen.

Schlusswort

Vor allem müssen Sie aber zwei Dinge akzeptieren.

  • Sicherheit gibt es nicht kostenfrei
    Sie benötigen Know-how, Zeit und vermutlich weitere Produkte, um das gewünschte Level zu erreichen.
  • Sicherheit ist ein Prozess
    Sie sind nie fertig. Neue Produkte, Anforderungen und Angriffswege führen zu veränderten Ansprüchen und Schutzlösungen. Sicherheit muss kontinuierlich gelebt werden.

Aber wenn sie nicht anfangen, sind Sie eher früher als später ein "Opfer". Nur in dem Fall werden Sie sich fragen müssen, zu welchem Maß sie auch noch selbst daran schuld waren.

Weitere Links