Die Nachrichten wurde 2020 von Neuigkeiten über Viren dominiert. Doch ging es hier nicht nur um das Corona-Virus sondern auch um digitale Viren. 2020 war ein Jahr des Umbruchs und so haben viele Unternehmen Ihre Mitarbeiter Hals über Kopf mobilisiert. Eine Welle von Homeoffice-Setup durchzog die IT Abteilungen ab April.
In diesem Zuge wurde allerdings viel Wert auf Geschwindigkeit und Funktion gelegt – nicht unbedingt auf Sicherheit. In den letzten Jahren haben die meisten Unternehmen eine große Summe in die Absicherung Ihres Unternehmensnetzwerks investiert. Perimeter-Netzwerke, Firewalls, IDS/IPS und Proxy-Systeme wurden eingerichtet, um die Kommunikation zu schützen – solange man sich innerhalb des Netzwerk befindet. Aber die Mitarbeiter befinden sich nun zu Hause und nicht mehr hinter den geschützten Mauern der IT-Festung.
Genau wie bei Corona, kämpfen IT Sicherheitsforscher gegen die Tricks der Cyberkriminellen. Und leider sind die Angreifer meist ein bisschen schneller. Sogenannte „Zero-Day“ Lücken verbreiten sich im Darknet rasend schnell und finden Anwendung in Schadsoftware.
Eine der bekanntesten Arten von Schadsoftware ist „Ransomeware“ – diese verschlüsselt Dateien. Manchmal verbunden mit einer Lösegeldforderung, um den Schlüssel für die verschlüsselten Dateien zu erhalten.
Jüngst haben vor allem die Funke Mediengruppe und die Uniklinik Düsseldorf Schlagzeilen gemacht mit solchen Angriffen gemacht.
Wie kommt diese Schadsoftware in mein Netzwerk?
Das größte Einfallstor sind Mitarbeiter. Und das nicht absichtlich oder mit Vorsatz, sondern aus Unwissenheit oder weil sie gestresst sind und nicht genau aufpassen. Phishing E-Mails werden immer besser und verleiten Mitarbeiter dazu Dokumente zu öffnen und Dateien herunterzuladen. Ist dies einmal geschehen, hat sich der Virus auf dem Gerät des Mitarbeiters eingenistet. Es gibt nun zwei Möglichkeiten wie es weiter geht:
1. Der PC des Mitarbeiters wird verschlüsselt und ist unbrauchbar.
2. Der Virus nutzt weitere Lücken und verbreitet sich im Firmennetzwerk.
Eine gutes Beispiel für Variante 2 ist der Virus „Ryuk“. Nach jüngsten Aufzeichnungen braucht dieser ca. zwei Stunden um sich von einem PC bis zu den Domain-Controllern (dem Herz eines jeden Windows-Netzwerks) vorzuarbeiten und eine weitere Stunde später sind alle aktuell erreichbaren Server und Clients infiziert.
Nur drei Stunden insgesamt um ein ganzes Netzwerk lahm zu legen.
Dazu nutzt der Virus bekannte und weniger bekannte Lücken, um entsprechende Berechtigungen zu erlangen (in diesem Fall: Zerologon CVE-2020-1472) und sich anschließend auf anderen Server zu verteilen.
Ist ein Homeoffice-PC via VPN mit dem Netzwerk des Unternehmens verbunden, kann dies auch aus dem Homeoffice passieren.
Übrigens wurden auch in vielen VPN Lösungen Sicherheitslücken gefunden.
Was kann ich tun, um mich zu schützen?
Neben regelmäßigen Schulungen für „digital Hygiene“ gibt es auch technische Maßnahmen, die ergriffen werden können.
Wir sind Kunden begegnet, bei denen Mitarbeiter mit ihren Privat-Computern VPN Verbindungen in das Unternehmensnetzwerk aufgebaut haben. Solche Szenarien sollten Sie sofort unterbinden. Nutzen Sie entweder vertrauenswürdige Endgeräte (verwaltete Notebooks) oder eine echte Bring-Your-Own-Device Lösung mit einem gesicherten Live-Betriebssystem.
1. Patchmanagement: Regelmäßiges Updaten von Servern und Client schützt vor der Ausnutzung von bekannten Schwachstellen und macht Eindringlingen das Leben schwerer. Hier sind sowohl Server, Clients als auch Firewall-Systeme und Anwendungssoftware relevant.
2. SPAM / Virenfilter: Sandbox-gestützte Filter öffnen automatisiert jeden Anhang in einer gesicherten Umgebung und prüfen, wie dieser sich verhält. Ob er Systemänderungen vornehmen will oder sich anders als beispielsweise ein „Word-Dokument“ verhält. Erst nach erfolgreicher Prüfung wird das Dokument zugestellt.
3. Remote-Access Lösungen: Nutzen Sie Remote-Access Lösungen, die Ihre Mitarbeiter von Ihrem internen Netzwerk differenzieren. Applikationsbasierte VPN Lösungen mit Deep Packet Inspection sind in der Einrichtung zwar etwas komplexer, schaffen aber eine zusätzliche Sicherheitsebene. Ebenso ist der Einsatz von Boot-Sticks mit Live-Betriebssystemen ein guter Weg für BYOD-Hardware.
4. 2 Faktor Authentifizierung: Führen Sie neben der Kombination aus Benutzername & Kennwort noch einen weiteren Faktor für die Anmeldung ein.
5. Offline-Datensicherung: Stellen Sie sicher, dass eine Datensicherung nicht auch von der Ransomeware verschlüsselt werden kann. Im Worst-Case kann so die Umgebung aus dem Backup wiederherstellt werden und die Arbeitsfähigkeit relativ schnell wieder hergestellt werden.
Nutzen Sie z.B. Offsite-/Cloud-Backups oder Tape-Backups.
6. Erstellen Sie eine IT-Notfall-Planung: Ein geordneter Wieder-Anlaufplan hilft Ihnen, Ihre Infrastruktur strukturiert wiederaufzubauen. Verschwenden Sie im Ernstfall keine Zeit mit dem Suchen nach Informationen und dem entwerfen von Plänen.
Eine 100%ige Sicherheit gibt es natürlich nicht, aber die oben genannten Tipps helfen Ihnen, sich besser zu schützen und im Krisen-Fall schnell wieder zu einer arbeitsfähigen Infrastruktur zu kommen.
Ein Expertenbeitrag von:
Henning Andreseck
Geschäftsführer
eves_consulting GmbH
+49 531 123 129 50
Henning.Andreseck@eves-co.de
www.eves.de
Hermann-Blenk-Str. 22a, 38108 Braunschweig
Wir freuen uns, wenn Sie mir Ihrem Beitrag das AGV WissensNetz weiter wachsen lassen. Um im „Expertenrat" veröffentlicht zu werden, muss der Beitrag, das Video oder der Podcast einen echten Mehrwert für den Nutzer bieten. Kontaktieren Sie uns gerne, mit unsere AGV Service- und Beratungsgesellschaft stehen wir auch für die Aufzeichnung von Bild und Ton zur Verfügung.
Themen Einreichen