Hohes Schadenspotenzial
MSPs im Fadenkreuz
Fortsetzung des Artikels von Teil 1
Remote-Zugänge als Risiko
Mit dem Ausbruch von Covid-19 ist RDP zudem noch mehr zum Problemkind geworden. Viele Unternehmen schickten ihre Mitarbeiter ins Home Office und richteten RDP-Verbindungen ein. Dies rief vor allem Ransomware-Gruppen auf den Plan, die gezielt diese Mitarbeiter attackierten. Das zeigen Telemetriedaten von Eset, denen zufolge die Zahl der Clients, die einen RDP-Angriffsversuch gemeldet haben, deutlich nach oben schnellte.
MSP kennen das Dilemma aus ihrem Alltag – weil sie selbst von solchen Angriffen betroffen sind, aber auch weil Kunden die Absicherung von RDP-Verbindungen und anderen Remote-Access-Diensten vernachlässigen. Wo Mitarbeiter leicht zu erratende Kennwörter verwenden und es keine zusätzlichen Authentifizierungs- oder Schutzschichten gibt, haben es Eindringliche meist leicht. Das ist wahrscheinlich auch der Grund, warum RDP in den letzten Jahren zu einem so beliebten Angriffsvektor geworden ist, insbesondere unter Ransomware-Banden. Diese setzen typischerweise Brute-Force-Attacken ein, um schlecht gesicherte Netzwerke zu attackieren. Dann verschaffen sie sich Administratorrechte, deaktivieren oder deinstallieren Sicherheitslösungen und führen Ransomware aus, um wichtige Unternehmensdaten zu verschlüsseln.
Die Eset-Sicherheitsexperten empfehlen, auf allen Rechnern, die keinen RDP-Zugang benötigen, die entsprechenden Ports zu deaktivieren. Wo RDP benötigt wird, sollte die Zahl der Benutzer, die über das Internet eine direkte Verbindung herstellen darf, minimiert werden. Sichere und komplexe Passwörter sollten eine Selbstverständlichkeit seien, besser wäre eine Zweifaktor- beziehungsweise Multifaktorauthentifizierung zur Sicherung der Zugänge. Zu den weiteren Best Practices der Eset-Experten zählen VPNs für alle RDP-Verbindungen von außerhalb des lokalen Netzwerks, das Blocken von Zugriffen über RDP-Ports auf lokale Rechner mit Hilfe der Firewall. Und natürlich die Einrichtung einer Endpoint-Sicherheitslösung sowie deren Schutz gegen Manipulation und Deinstallation. Alte Rechner, die sich nicht mehr richtig sichern lassen, sollten isoliert und schnellstmöglich ersetzt werden.
Natürlich gelten diese Maßnahmen auch für andere Dienste wie FTP, SMB, SSH, SQL, TeamViewer und VNC. Dazu hilft ein restriktives Patch-Management dabei, Sicherheitslücken zu schließen und die Angriffsfläche zu verringern, denn wenn Update-Möglichkeiten nicht genutzt werden, wird Cyberkriminellen die Arbeit in geradezu fahrlässiger Weise erleichtert. Und auch ein Anwendungswhitelisting, die Einschränkung von Administratorrechten, die Anpassung von Makroeinstellungen in Office-Anwendungen sowie regelmäßige Backups dienen dazu, die Sicherheit von MSPs und ihren Kunden zu erhöhen.
Faktor Mensch berücksichtigen
Neben allen technischen Raffinessen, deren Cyberkriminelle sich bedienen, ist häufig der Faktor Mensch am Arbeitsplatz eine nicht zu unterschätzende Schwachstelle. Durch die Definition von Profilen kann häufig schon verhindert werden, dass durch unbedachtes Klicken auf einen Link in einer Mail eine Malware-Seite geöffnet wird. Regeln in der Firewall können das für bestimmte Nutzerprofile unterbinden. Unabhängig von den eingesetzten Technologien ist es jedoch immer erforderlich, dass alle Beteiligten beim MSP und in den Kunden-Unternehmen ein Bewusstsein für Gefahren entwickeln und sich an Sicherheitspolicies halten, was durch Schulungen erreicht werden kann. Eine gute Security-Lösung arbeitet am sichersten in Kombination mit Regeln, die den fahrlässigen Umgang mit Daten schon im Ansatz unterbinden. Hier können MSPs ihre Kunden unterstützen und wertvolle Beratungsarbeit leisten.
- MSPs im Fadenkreuz
- Remote-Zugänge als Risiko
Lesen Sie mehr zum Thema
