Trotz umfassender IT Security Maßnahmen - warum sind Cyberangriffe auf Unternehmen erfolgreich?

Ein Active Directory Security Check gibt Aufschluss!

Wie anfällig ist Ihr Unternehmen für Cyberangriffe, beispielsweise in Form von Ransomware? Kaum ein Thema aus dem IT-Bereich erfährt so viel Aufmerksamkeit wie die Absicherung von sensiblen Daten. Dennoch gelingt es Hackern immer wieder, in vermeintlich abgesicherte Unternehmensnetzwerke einzudringen. Die Schäden, die dabei entstehen, sind mitunter immens. Das Strategie der Angreifer wird immer komplexer und konzentriert sich nicht mehr nur auf die Verschlüsselung von sensiblen Daten, sondern als zweite Option auch auf deren Veröffentlichung – sollte das betroffene Unternehmen nicht im Sinne der Angreifer kooperieren.

Wie kann es sein, dass trotz des Fokus auf die IT Security Angriffe von Hackern so oft von Erfolg gekrönt sind?

Dieser Beitrag betrachtet die fünf häufigsten Ursachen für unsichere Unternehmensnetzwerke – und erörtert, wie eine nachhaltige Absicherung erreicht werden kann.

❌1: fehlende Berechtigungsstrukturen und unklare Zugriffsrechte

Weitreichende Zugriffsberechtigungen für einen Nutzer sorgen für potenzielle Sicherheitsrisiken in vielen Unternehmen. Zwar setzen die meisten Unternehmen bereits ein zentrales System für die Erstellung von Zugriffsrechten ein, wie etwa das Active Directory (AD). Jedoch haben in vielen Fällen die Mitarbeiter mehr Zugriffsrechte als notwendig.

Häufig steht der sogenannte Referenzbenutzer am Anfang des hier entstehenden Sicherheitsrisikos. Administratoren legen in diesem Fall für neue Mitarbeiter kein eigenes Rechteprofil an, sondern kopieren ein bestehendes. Der Einfachheit halber wird auf einen Mitarbeiter aus derselben Abteilung zurückgegriffen. Auf den ersten Blick erscheint dieses Vorgehen unproblematisch. Was aber, wenn der Account des Mitarbeiters, dessen Profil als Vorlage galt, im Laufe der Jahre spezielle Berechtigungen erhalten hat? Diese gehen dann automatisch auf den neuen Mitarbeiter über, obwohl dieser für seinen Arbeitsbereich gar keinen Zugriff auf diese Bereiche benötigt oder schlimmer - gar nicht haben dürfte!

Diese Art des Kopierens von Berechtigungsstrukturen gehört in vielen Unternehmen riskanterweise zum Alltag. Das Verfahren ist schnell und unkompliziert, was es so beliebt macht. Die Unübersichtlichkeit bezüglich der Abgrenzung von Zugriffsrechten wächst jedoch, je länger sie in dieser Form vergeben werden - immer mehr individuelle Zugriffsrechte kommen hinzu. So wird das System zunehmend undurchsichtiger und damit auch zu einem steigenden Sicherheitsrisiko: Hacker haben unter diesen Voraussetzungen leichtes Spiel, einen Account mit weitreichenden Zugriffsrechten zu identifizieren oder - im schlechtesten Fall für das Unternehmen - sogar einen User mit lokalen administrativen Berechtigungen.

Das sicherere Vorgehen ist die Vergabe individueller Nutzerrechte für jeden Mitarbeiter, die auf einem ungenutzten Profil in Active Directories basieren. Dieses Grundprofil wird initial mit den entsprechenden Zugriffsrechten für eine Abteilung im Unternehmen definiert. Benötigt ein spezieller Mitarbeiter neue Berechtigungen, müssen diese individuell bei der IT-Abteilung angefragt werden. Sinnvoll sind in diesen Zusammenhang auch zeitlich begrenzte Zugriffsrechte. Gerade bei temporär benötigten Rechten, wie beispielsweise für Projektarbeiten, werden so langfristig klare Strukturen eingehalten.

❌2: keine klaren internen Regeln und Vorgaben

Die zweite Ursache für unsichere Unternehmensnetzwerke basiert auf den Ausführungen des ersten Beispiels: Viele Sicherheitslücken entstehen, weil es im Unternehmen kein klares Regelwerk für die Nutzung sicherheitsrelevanter IT-Systeme gibt.  

Ein nach wie vor aktuelles Thema ist die Regelung zur Vergabe von Passwörtern. Vielfach nutzen Unternehmen eine der folgenden zwei Lösungen für die Accounts der Mitarbeiter: Entweder legt der Administrator die Passwörter fest oder der Nutzer erstellt sein eigenes Passwort beim erstmaligen Login.

Beide Methoden bergen ohne weiterführende Richtlinien massive Schwachstellen: Erstellt ein Administrator das Passwort für den Nutzer, dann ist dieses meist übermäßig kompliziert, da es aus einer wahllosen Zusammenstellung an Zeichen, Ziffern und Symbolen besteht. Solche Passwörter bieten zwar einen hohen Schutz vor direkten Hackerangriffen, jedoch können sich die Nutzer diese ohne Gedächtnisstütze nicht merken. Dies führt noch immer häufig dazu, dass die Mitarbeiter das Passwort auf einen Zettel schreiben oder in ihrem Smartphone speichern. Somit ist das vermeintlich sichere Passwort direkt zugänglich und alle Sicherheitsmaßnahmen nutzlos. Erstellt ein Mitarbeiter hingegen sein eigenes Passwort, kommt es immer wieder zu extrem schwachen Kombinationen. Diese knacken Hacker z.B. via Brute-Force-Methode oder sind sogar in der Lage, das Passwort zu raten, wenn Details über die persönlichen Hintergründe des Mitarbeiters vorhanden sind.

Im Falle der einzusetzenden Passwörter sind beispielsweise klare Vorgaben bezüglich der Länge und Zusammensetzung erforderlich. Im Rahmen des Active Directory Konzepts werden idealerweise individuelle Komplexitätsanforderungen sowie die Länge der zu wählenden Passwörter festgelegt. Die Länge ist hierbei von noch größerer Bedeutung: Besitzt ein Passwort mehr als 12 Zeichen, spielt die Komplexität eine Nebenrolle und der Mitarbeiter kann sich das Passwort besser merken. Es sollten daher besser längere Kennwörter erzwungen werden als ein 8-stelliges Kennwort mit hoher Komplexität.

Eine der wichtigsten Empfehlungen ist, ein Passwort nicht für unterschiedliche Systeme zu verwenden, d.h. es muss für jeden Account ein individuelles Passwort eingesetzt werden. Die Empfehlung der secion IT Security Experten: Es sollte nur anlassbezogen das Passwort gewechselt werden, wie beispielsweise nach einem Virenbefall. Eine turnusmäßige Änderung von Passwörtern, z.B. alle 3 Monate, führt zu einer deutlichen Verschlechterung der Passwortqualität, da viele Mitarbeiter der Einfachheit halber Zahlen am Ende lediglich hochzählen.

Ein weiterer wichtiger Punkt ist eine Vorgabe für administrative Benutzerkonten. Hierbei spielt ein sinnvolles Delegationsmodell eine wichtige Rolle, womit die globalen Domänen Admin-Berechtigungen enorm reduziert werden können. Hierbei erhält jeder administrative Mitarbeiter einen nur für dedizierte Funktionen berechtigten Admin-Account. Die globalen Administratoren sollten in der Regel gar nicht verwendet bzw. höchstens im Notfall genutzt werden. Darüber hinaus ist es erforderlich, dass die privilegierten Accounts ebenfalls überwacht werden und vorhandene Sessions (RDP) beispielsweise nach 4 Stunden getrennt werden - eine aktive Admin-Session ist für einen Angreifer Gold wert!

Wichtig ist also eine initiale Überprüfung und regelmäßige Anpassung des Active Directoy (AD) Konzepts, das u.a. die Zugriffsberechtigungen für Mitarbeiter, die Definition der Gruppenrichtlinien oder die Passwortvergabe regelt. Darüber hinaus sollte ein sinnvolles Delegationsmodell definiert werden.

❌3: keine Trennung zwischen Netzwerkebenen

Mit fortschreitender Digitalisierung wachsen auch die Netzwerkstrukturen in Unternehmen. Die klassische Struktur besteht aus zwei Netzwerken - zum einen dem externen Netzwerk, also dem Internet, und zum anderen den internen Strukturen, dem LAN. In der modernen, digitalen Welt ist diese einfache Netzwerkstruktur extrem anfällig für Hackerangriffe.

Beispiele aus der Praxis gibt es hierzu viele. Ein Mitarbeiter im Homeoffice, der direkt an das Netzwerk des Unternehmens angebunden ist, kann z.B. ein hohes Sicherheitsrisiko bergen. Auch wenn er nur bestimmte Berechtigungen hat, haben Hacker potenziell die Möglichkeit, Zugriff auf das gesamte Unternehmensnetzwerk und somit auch den Administrator-Account zu erhalten: Da sich das Homeoffice außerhalb der Unternehmensstrukturen befindet, ist eine Kontrolle der Zugriffe noch diffiziler. So kann ein Unbefugter physikalischen Zugriff auf den Rechner im Homeoffice haben oder das dortige WLAN nutzen und so bei fehlenden Sicherheitsmechanismen unbemerkt in das Firmennetzwerk eindringen. Problematisch dabei: Die gleichzeitige Verbindung mit dem Firmennetz per VPN und dem Internet des Hausanschlusses. So können Daten aus der Firma über den VPN Zugriff über den Hausinternetanschluss exfiltriert werden, ohne dass zentrale Instanzen der Firma dieses mitbekommen. Als Schlussfolgerung gilt daher: Sobald ein VPN Zugriff aktiv ist, muss der lokale Internetzugriff unterbunden sein.

Aus diesem Grund ist die Netzwerksegmentierung bzw. Netztrennung so wichtig. Getrennte Netzwerke sind immer dort sinnvoll, wo ein direkter, übergreifender Datenaustausch nicht notwendig oder unerwünscht ist. Das traditionelle Netzwerkkonzept, nach dem nur das Internet und die Demilitarized Zone (DMZ) Gefahren bergen und das interne Lan vertrauenswürdig ist, ist nicht mehr zeitgemäß. Vielmehr sollte man im Netzwerkbereich auch interne Systeme untereinander abschotten, damit man Angreifern das sog. lateral movement (das Springen von Rechner zu Rechner über Netzgrenzen hinweg) so schwer wie möglich macht.

Realisiert wird dies mit physikalischen Trennungen durch separate Netzwerkstrukturen sowie klaren Sicherheitszonen innerhalb des Unternehmens. Jeder Sicherheitszone werden dabei bestimmte Sicherheitsmechanismen zugeordnet, die für den Zugriff auf Ressourcen in dieser Zone erfüllt werden müssen.

Die Herausforderungen in großen Netzen ohne ausreichende Netzsegmentierung kann mit Hilfe von Mikrosegmentierung begegnet werden, wodurch Regelwerke pro Server aufgesetzt werden.

Ein weiterer Ansatz ist Zero Trust, hier werden Client Systeme grundsätzlich identisch authentifiziert, z.B. mit Multi-Faktor-Authentifizierung - unabhängig vom Standort (ob im Büro, im Homeoffice oder als mobiler Hotspot).

❌4: keine ausreichende Absicherung bei Ausfällen

Inzwischen ist die IT in faktisch allen Unternehmensbereichen involviert und das völlig unabhängig von der Branche. Mitarbeiter sind auf zuverlässige und vor allem ständig erreichbare Systeme angewiesen. Bei einem Ausfall steht im Worst Case das gesamte Unternehmen still. Bestimmte Szenarien sind jedoch absolut vermeidbar.

Von elementarer Bedeutung ist es, rechtzeitig ein Failover (Ausfallsicherung) für die eigene Infrastruktur zu planen. Dieses Thema wird umso wichtiger, wenn hybride Lösungen in Kombination mit Cloud-Infrastrukturen vorhanden sind, bei denen die Authentifizierung im Rechenzentrum (RZ) des Unternehmens erfolgt. Hierbei führt ein Ausfall des RZ dazu, dass auch keine Anmeldung an den eigentlich unabhängigen Cloud Systemen mehr möglich ist. Dieser Fall betrifft häufig hybride Microsoft Azure AD Umgebungen, bei denen die Passwörter nur lokal im RZ des Unternehmens vorgehalten werden. In diesem Fall müssen weitere Authentifizierungsserver an anderen Standorten oder bei Cloud Providern vorgehalten werden.

❌5: unvollständige oder fehlende Backup-Strategien

Die Datensicherung ist ein weiterer Schwachpunkt in vielen Unternehmen. Obwohl der Verlust der digitalen Daten inzwischen einer Bankrotterklärung gleichkommt, haben viele Unternehmen nach wie vor keine umfassende Backup-Strategie. Oftmals organisieren die Unternehmen die Datensicherung selbst und gehen dabei halbherzig vor. Datensicherungen im 24-Stunden-Rhythmus oder nur Sicherungen von Teilbereichen der Unternehmensdaten kommen in der Praxis häufig vor.

Was jedoch, wenn es zu einem Datenverlust kommt? Beliebte Waffen von Hackern gegenüber Unternehmen sind Erpressungen. Die Cyberkriminellen setzen auf Ransomware und verschlüsseln ganze Bereiche der Unternehmensdaten oder blocken den Zugang zu Servern. Ohne aktuelles Backup steht das Unternehmen nun mit dem Rücken zur Wand. Gibt es jedoch eine umfassende Backup-Strategie, ist die IT in der Lage, ein Rollback durchzuführen und das gesamte System ist innerhalb von kurzer Zeit wieder einsatzbereit – bei minimalem Daten- und Zeitverlust.

Ein Backup, das Sie im Falle einer Verschlüsselung wiederherstellen können, ist einer der wenigen effizienten Schutzmechanismen gegen Verschlüsselungstrojaner.