Konfigurationsfehler, die es Hackern leicht machen

Nicht immer ist ein Hackerangriff das Resultat einer raffinierten Aktion. Oft sind Sicherhheitsverletzungen auch auf vermeidbare Fehlkonfigurationen zurückzuführen. Christoph M. Kumpa von Digital Guardian erläutert einige der häufigsten Konfigurationsfehler, die Unternehmen vermeiden sollten.

Auch wenn Cyberkriminelle immer anspruchsvollere Angriffstechniken nutzen, um in Unternehmensnetzwerke einzudringen – oft sind Sicherheitsverletzung auf vermeidbare, häufig übersehene Fehlkonfigurationen zurückzuführen. Um Hackern nicht Tür und Tor auf sensible Daten und IT-Umgebungen zu öffnen, im Folgenden die fünf häufigsten Konfigurationsfehler, die es für Unternehmen zu vermeiden gilt.

1. Standard-Anmeldeinformationen
   Nicht konfigurierte Standard-Benutzernamen und -Passwörter von Geräten, Datenbanken, und Installationen sind vergleichbar mit dem Hinterlassen des Schlüssels in einer verschlossenen Tür. Selbst Hobbyhacker können hier mithilfe frei verfügbarer Tools einem Unternehmen weitreichenden Schaden zufügen. Standard-Anmeldedaten auf Netzwerkgeräten wie Firewalls, Routern oder sogar Betriebssystemen ermöglicht es Angreifern, simple Passwort-Checkscanner zu verwenden, um einen direkten Zugang zu erhalten. Bei etwas ausgeklügelteren Attacken führen Hacker eine Reihe von Skriptangriffen aus, um Geräte zu knacken, indem sie sich entweder auf Standardbenutzernamen und -passwörter oder einfache Kennwörter wie "qwerty" oder "12345" konzentrieren.
    
2. Mehrfachverwendung von Passwörtern
   Werden in einer Flotte von Endpunkten auf jedem Gerät dasselbe Benutzerkonto und Passwort verwendet, gibt dies Cyberkriminellen die Möglichkeit, jede Maschine anzugreifen, selbst wenn nur eines der Geräte einen Sicherheitsverstoß erlitten hat. Von dort aus können Angreifer Credential-Dumping-Programme verwenden, um die Passwörter oder sogar die Hashes selbst in die Finger zu bekommen. Unternehmen sollten deshalb die Wiederverwendung von Passwörtern um jeden Preis vermeiden und nicht benötigte Konten deaktivieren.
    
3. Offene Remote Desktop Services und Standard-Ports
   Remote-Desktop-Dienste bieten Administratoren eine Schnittstelle zur Fernsteuerung von Computern. Für Cyberkriminelle können sie zum Einfallstor werden, wenn es hier bei der Konfiguration hapert. Beispielsweise kann Ransomware wie CrySiS und SamSam Unternehmen über offene RDP-Ports ansprechen, sowohl durch Brute Force als auch durch Dictionary-Angriffe. Jedes nach außen gerichtete Gerät, das mit dem Internet verbunden ist, sollte deshalb durch einen mehrschichtigen Schutz abgesichert werden, um Zugriffsversuche wie etwa einen Brute-Force-Angriff zu bekämpfen. Administratoren sollten eine Kombination aus starken, komplexen Passwörtern, Firewalls und Zugriffskontrolllisten nutzen, um die Wahrscheinlichkeit eines Sicherheitsverstoßes zu reduzieren.
    
4. Verzögertes Software-Patching
   Oft machen Zero-Day-Bedrohungen Schlagzeilen, doch die häufigsten Schwachstellen, die durch Cyberkriminelle ausgenutzt werden, sind in der Regel digitale Fossilien. Daher ist die Aktualisierung von Betriebssystemen und Patches entscheidend, um einen Sicherheitsverstoß zu verhindern. Auch wenn täglich zahlreiche Exploits und Schwachstellen gefunden werden und es schwierig sein kann, Schritt zu halten, gilt es für Unternehmen, verzögertes Software-Patching zu vermeiden.
    
5. Ausgeschaltete Protokollierung
   Deaktiviertes Logging erlaubt es Angreifern nicht unbedingt, in ein System einzudringen, aber es ermöglicht ihnen, dort unbemerkt zu agieren. Einmal eingedrungen, können sich Hacker seitlich durch das Netzwerk bewegen, um nach Daten oder Assets zu suchen, die sie hinausschleusen wollen. Ohne entsprechende Protokollierung hinterlassen sie dabei keine Spuren. Dies schafft eine Nadel im Heuhaufen für IT-Teams bei der Rekonstruktion eines Sicherheitsvorfalls. Daher sollte die Protokollierung aktiviert sein und an einen zentralen Ort wie eine SIEM-Plattform (Security Information and Event Management) gesendet werden. Diese Daten liefern die Spuren, die forensische Analysten während einer Incident-Response-Untersuchung benötigen, um den Angriff nachzuvollziehen und den Einbruch zu erfassen. Darüber hinaus hilft dies, adäquat auf Bedrohungen zu reagieren, die eine Warnung aufgrund bereits protokollierter Ereignisse auslösen.

Durch Fehlkonfigurationen und das Belassen von Geräten oder Plattformen in ihrem Standardzustand haben Cyberkriminelle leichtes Spiel bei ihren Angriffen. Deshalb sollten Unternehmen die oben genannten Sicherheitsmaßnahmen implementieren, um sich und ihre sensiblen Daten zu schützen.

Christoph M. Kumpa ist Director DACH & EE bei Digital Guardian

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Digitale Transformation

Stimmen von der Tutzing-Tagung

Digitale Souveränität als Gemeinschaftsaufgabe

„AWS European Sovereign Cloud“

Amazon verspricht souveräne Cloud in Europa

Studie zur Digitalisierung der Medizin

Jede siebte Praxis nutzt schon KI

Plattform-Soli

Digitalabgabe für Internetkonzerne: Gesetzesinitiative in Planung

Digitale Transformation auf Bundesebene

Jetzt wird’s digital – oder?