Gelegenheit macht Datendiebe

Exakt 429 Domains und 3483 Server von Unternehmen in Nord-Westfalen haben Mitglieder des Expertennetzwerks InfoSec im IT-Forum über das Internet inspiziert, um die Sicherheitslage der IT-Infrastruktur zu beurteilen. Dabei wurde selbstverständlich kein System gehackt, sondern ausschließlich öffentlich zugängliche Quellen angezapft.

Das Ergebnis ist gut und schlecht zugleich. Es zeigt, dass viele Unternehmen IT-Sicherheit bereits mit der notwendigen Aufmerksamkeit betrachten, aber längst nicht alle. Auf etwa sechs Prozent der Server (216 von 3483) wurden 519 Einfallstore für Angreifer entdeckt. In einer vernetzten Wirtschaft können diese Schwachstellen aufgrund vielfältiger Abhängigkeiten in Produktions- und Lieferketten ausreichen, um ganze Wirtschaftszweige lahmzulegen. Besonders Server, die als Webserver eingesetzt werden, bieten laut Untersuchung Angriffsflächen.

Im Schnitt sind die identifizierten Sicherheitslücken schon seit fünf Jahren bekannt. Einige Lecks kennt die IT-Welt sogar schon seit zehn Jahren. Betriebe, die ihre Systeme unregelmäßig bis gar nicht aktualisieren oder nur alle paar Jahre erneuern, geben Cyberkriminellen viel Zeit, Lücken auszuspionieren. Darum sollte es zur guten Praxis in Unternehmen gehören, alle sicherheitsrelevanten Updates, die die Hersteller bereitstellen, unverzüglich einzuspielen. Sobald für eine Softwareversion keine Sicherheitsupdates mehr bereitgestellt werden, sollte eine Migration auf die aktuelle Version erfolgen.

Für den Transport und die Speicherung ihres vertraulichen Nachrichtenverkehrs betreiben immer noch drei Viertel der Unternehmen eigene E-Mail-Server. Wie ist es um deren Sicherheit bestellt? Kurz gesagt, es besteht großer Nachholbedarf. Mehr als die Hälfte der Mailserver nehmen noch Mails an, die nach dem Protokollstandard TLSv1.1 verschickt worden sind, der nicht mehr als sicher eingestuft wird. Das aktuelle, sichere Protokoll der Version TLSv1.3 wird gerade einmal von gut 17 Prozent der untersuchten Mailserver unterstützt, obwohl es schon seit einigen Jahre verfügbar ist. Bei einem Viertel der untersuchten Systeme waren zudem die TLS-Einstellungen zur Verschlüsselung von Daten fehlerhaft konfiguriert. Die Ironie der Geschichte: Weil viele Unternehmen den kommerziellen Cloud-Diensten nicht den Transport und die Speicherung ihres vertraulichen Nachrichtenverkehrs überlassen wollen, betreiben sie selbst Systeme, die veraltet und unsicher sind.

Ein Problem, das offenbar viele Unternehmen unterschätzen, ist die richtige Konfiguration und Absicherung des Namensservice (DNS) – ein Dienst, der Anfragen an den richtigen Server weiterleitet. Wenn ein Angreifer diesen Dienst umstellen kann, dann kann er Anfragen auf seine eigenen Server umleiten und zum Beispiel Mails abfangen. Zur Absicherung gibt es den Service DNSSEC – dieser erkennt manipulierte Anfragen von Angreifern und kann diese zurückweisen. Erstaunlich und beunruhigend zugleich ist, dass nur bei neun von den 429 untersuchten Domains der Service DNSSEC aktiviert war.

Seitdem es Software in Unternehmen gibt, gibt es Probleme mit Passwörtern. Immer wieder fallen Cyberkriminellen ganze Datenbanken mit Zugangsdaten in die Hände, mit denen sie sich in Systeme anmelden und dort enorme Schäden anrichten. Die Untersuchung hat gezeigt, dass auch die Wirtschaft in Nord-Westfalen nicht von diesem Problem verschont geblieben ist.

Zu den meisten Domain-Namen haben die Experten beim Abgleich mit einer entsprechenden Datenbank nur einzelne Anmeldedaten gefunden, die geleakt worden sind. Diese Fälle deuten darauf hin, dass Beschäftigte ihre Firmen-Mailadresse für Anmeldungen in anderen Systemen genutzt haben, die dann gehackt worden sind. Problematisch wird es für Unternehmen insbesondere dann, wenn Beschäftigte die Firmen-Anmeldedaten auch privat verwenden.

Die Autoren