Alte Bekannte in einer Liste von NSA und CISA: die häufigsten Sicherheitslücken

Die üblichen Verdächtigen

Die häufigsten Versäumnisse sind dabei alte Bekannte:

• Keine Anpassung von Standard-Credentials
• Fehlende Trennung von nicht-administrativen und administrativen Konten
• Fehlendes internes Netzwerk-Monitoring
• Fehlende Netzwerk-Segmentierung
• Fehlendes Patch-Management
• Umgehung von System-Zugangskontrollen
• Schlecht oder falsch konfigurierte Multifaktor-Authentisierung
• Fehlende Access Control Lists
• Einfache Passwörter

Das sind alles Schwachstellen, die weder neu noch besonders aufregend sind.

Einfach zu lösende Probleme(?)

Einiges aus der Liste klingt zunächst einmal, als wäre es einfach zu lösen. Insbesondere die Standard-Credentials und die einfachen Passwörter sollten doch eigentlich leicht zu beheben sein, oder?

Theoretisch ja, doch durch Zeit- bzw. Kostendruck oder andere äußere Faktoren kommt es häufiger vor, dass Geräte „einfach mal schnell“ in Betrieb genommen werden. Das bedeutet, dass Passwörter nicht geändert oder einfache Passwörter auch für administrative Nutzer vergeben werden. Dies geschieht insbesondere bei Geräten des „Internet of Things“ (IoT) immer wieder, zum Beispiel bei IP-Kameras.

Der einzige Ausweg sind strenge Prozesse, die nicht umgangen werden können.

Auch die übrigen Punkte der Liste klingen eigentlich nach Lücken, die nicht vorkommen sollten. Punkte wie Netzwerk-Segmentierung, sparsame Vergabe von administrativen Rechten oder Patch-Management sind in allen gängigen Listen von Einfallstoren immer wieder zu sehen.

Also: Netzwerk segmentieren, Patches sofort einspielen, und alles wird gut?

Patch-Management

So einfach ist es leider nicht. Auch im Projektgeschäft der ComConsult zeigt sich regelmäßig, dass zum Beispiel das Einspielen von Updates nicht so schnell geht, wie es notwendig wäre, um die eigene Angriffsfläche zu reduzieren. Denken wir an die Sicherheitslücken bei Exchange, Citrix oder auch an log4j. Es handelt sich häufig um kritische Systeme, und Patches können zu Inkompatibilitäten und Ausfällen führen. Log4j hat auch gezeigt, dass es dauern kann, bis man herausgefunden hat, ob man überhaupt angreifbar ist. Dadurch vergeht durchaus Zeit, denn es muss getestet werden, Genehmigungen müssen eingeholt und Wartungsfenster vereinbart werden. Dies kann zu einer Verzögerung von mehreren Wochen führen, in denen man angreifbar bleibt.

Netzwerk-Segmentierung

Ebenso klingt die Netzwerk-Segmentierung eigentlich nach einem alten Hut. Doch findet man sie gerade bei kleinen und mittelständischen Unternehmen noch nicht vor. Das macht es einem Angreifer erheblich leichter, sich in einem Netzwerk auszubreiten. Wo er normalerweise „nur“ einen Webserver hätte übernehmen können, kann ein Angreifer in einem nicht segmentierten Netz wesentlich mehr Schaden anrichten. Hier kann auch wieder die o.g. fehlende Passwort-Komplexität eine Rolle spielen.

Sonstige Punkte

Die anderen Punkte sind etwas anders geartet und betreffen vor allem Konfigurationen und Prozesse. Hier spielt der menschliche Faktor eine Rolle. Eine fehlerhafte Konfiguration kann unter Zeitdruck durchaus passieren. Solange die Funktionalität weiterhin gegeben ist, merkt man ja auch nichts von den (sicherheitsrelevanten) Fehlern, sondern erst dann, wenn ein Sicherheitsproblem auftritt.

Und damit sind wir bei einem weiteren Punkt aus der Liste: der mangelhaften Überwachung des Netzwerks. Ohne eine solche fallen sicherheitsrelevante Vorfälle deutlich später auf. Sowohl Netzwerk-Monitoring-Tools als auch Security Incident and Event Management (SIEM) können hier helfen, bedeuten allerdings auch einen erheblichen Betriebsaufwand.

Fazit

So klassisch die Fehler auch sind und so vermeintlich einfach sie zu lösen sind, so schwierig können sie doch in der Realität zu vermeiden oder zu lösen sein. Denn jede Maßnahme bedeutet Aufwand und Kosten. Das ist kein Grund, diese Probleme nicht zu lösen, sondern eine Empfehlung, diesen Aufwand nicht zu scheuen, denn sonst macht man sich leicht angreifbar! Und ein Angriff verursacht meistens mehr Kosten als die oben genannten Probleme anzugehen.