Schwachstellen als Einfallstor für Cyberkriminelle

Ende Juli 2021 veröffentlichte die Die US-Behörde für Cyber- und Infrastruktursicherheit (The Cybersecurity and Infrastructure Security Agency, CISA) einen Alert zu den 30 bekanntesten Schwachstellen (Common Vulnerabilities and Exposures, CVEs), die Cyberkriminelle von 2020 bis 2021 routinemäßig ausnutzten. Vier der häufigsten Schwachstellen im Jahr 2020 betrafen dabei Remote Work, VPNs oder Cloud-basierte Technologien, was das Patchen der Schwachstellen für Unternehmen enorm erschwerte.

Die CISA geht davon aus, dass einige der Schwachstellen unter kriminellen Akteuren weiterhin beliebt bleiben – denn solange keine Patches installiert werden, müssen die Akteure nicht nach neuen Schwachstellen suchen und können stattdessen altbekannte Schwachstellen ausnutzen. Im Alert wird daher darauf hingewiesen, dass für eine Vorbeugung der Ausnutzung von Schwachstellen Softwareupdates nach ihrer Verfügbarkeit am besten schnellstmöglich installiert werden. Wenn dies nicht möglich ist, müssen Anwender vorübergehende Workarounds in Betracht ziehen.

Kriminelle Hacker sind einen Schritt voraus

Unentdeckte Schwachstellen stellen ein leichtes Einfallstor für kriminelle Akteure dar. Gelingt es einem Hacker, die Schwachstelle unbemerkt auszunutzen, dann erhält er in kurzer Zeit Zugriff auf das gesamte Unternehmensnetzwerk. Ab diesem Punkt hat er ein leichtes Spiel damit, dem Unternehmen Daten zu stehlen, einzelne Prozesse oder gar den gesamten Betrieb lahmzulegen. Ab dann kann selbst die beste IT-Abteilung in einem Unternehmen nicht mehr viel ausrichten – weshalb nicht selten die von den Hackern geforderte Lösegeldsumme gezahlt wird, um den Betrieb wiederherzustellen oder Daten zurückzuerlangen.

Der Schlüssel liegt also darin, nicht erst zu warten, bis mögliche unentdeckte Schwachstellen es kriminellen Hackern ermöglichen, ins Unternehmensnetzwerk einzudringen. Denn in vielen solcher Fälle wäre ein zeitnahes Reagieren auf den Angriff schier unmöglich, da es sich bei den Schwachstellen nicht selten um Zero-Days handelt und sie also am Tag ihrer Entdeckung bereits aktiv von Hackern ausgenutzt werden – damit käme bei einem Vorfall jede Hilfe durch IT-Teams zu spät.

Investition in vorbeugende Maßnahmen lohnt sich

Unternehmen müssen bei ihrer Budgetierung der IT-Sicherheit vermehrt auf vorbeugende Maßnahmen setzen, um Angriffe auf ihr Netzwerk abzuwehren. Dabei ist es eine enorme Herausforderung, dass sich die Angriffstaktiken der kriminellen Akteure laufend verändern. Regelmäßig neu entdeckte Schwachstellen spielen ihnen dabei ganz besonders in die Hände. Es ist nicht absehbar, wann die nächste Schwachstelle entdeckt wird, wo sie im System auftaucht und auf welche Weise sie ausgenutzt werden kann. Maßnahmen zum Schutz von Unternehmen gegen derartige Angriffe müssen daher immer an der aktuellen Lage ausgerichtet sein.

Eine zeit- und kosteneffektive Möglichkeit ist eine automatisierte Überwachung der Schwachstellen, um eine aktive Ausnutzung der Schwachstellen in Echtzeit feststellen zu können. Der Anbieter von cloudbasierten IT-Sicherheits- und Compliance- Lösungen Qualys bietet hierfür die Anwendung Qualys VDMR. Mit der Gesamtlösung zur Verwaltung von Schwachstellen können Anwender diese erkennen und auf sie reagieren. Mithilfe eines Dashboards können unter anderem die am häufigsten ausgenutzten Schwachstellen der CISA-Warnung in Echtzeit verfolgt werden. Weitere Informationen finden sich auf der Webseite des Unternehmens: https://www.qualys.com/apps/vulnerability-management-detection-response/

Was vorbeugend hilft

Die CISA-Richtlinien geben Hinweise, welche Maßnahmen ergriffen werden sollten, um Unternehmen nachhaltig vor Angriffen zu schützen. So sollten relevante Bedrohungsdaten konsequent genutzt und alle Anzeichen für eine Kompromittierung (IOCs) genau im Auge behalten werden. Zudem lohnt es sich als proaktiver Ansatz, mit Teams regelmäßig Übungen zur Reaktion auf Vorfälle durchzuführen. Zum Schutz der Ressourcen sollte grundsätzlich für den Fernzugriff auf Netzwerke von externen Quellen aus eine Multi-Faktor-Authentifizierung verlangt werden, insbesondere für Administrator- oder privilegierte Konten.

Systeme und Geräte werden am besten umgehend und sorgfältig gepatcht. Unnötige Ports, Protokolle und Dienste sollten deaktiviert werden. Da häufig nicht allein eine Schwachstelle im System problematisch ist, sondern vielmehr das mangelnde Sicherheitsbewusstsein des einzelnen Mitarbeiters, lohnt es sich für Unternehmen bereits, grundsätzlich die Überwachung des Netzwerk- und E-Mail-Verkehrs zu verbessern. Bei einer Kombination der Ergreifung dieser grundlegenden Maßnahmen mit einer automatisierten Echtzeitüberwachung mittels einer geeigneten Lösung sind Unternehmen einer Ausnutzung von Schwachstellen nicht schutzlos ausgeliefert.