Ist mein Unternehmen ausreichend vor Cyber Angriffen geschützt?  Diese und ähnliche Frage stellen sich viele unserer Kunden.  Wir achten für unsere Kunden auf regelmäßige Updates für Betriebssysteme und Antivirus Software und überwachen die Systeme mit unserem Monitoring.  Außerdem sorgen unsere Firewalls für die Sicherung der Netzgrenzen und regeln welche Datenverbindungen erlaubt sind.  Solche Maßnahmen sind solide Grundlagen, um Unternehmen und ihre Mitarbeiter zu schützen.

Aber Vorsicht: Um einen Rund-Um-Schutz zu gewährleisten, reichen präventive IT-Sicherheitsmaßnahmen alleine nicht aus. Die Wirksamkeit Ihres IT-Sicherheitssystems sollte zusätzlich durch regelmäßige Audits geprüft werden, um sicherzustellen ob Ihre Security Lösungen den aktuellen Bedrohungslagen gerecht werden.  Zusätzlich können Mitarbeiterschulungen helfen, eine höhere Sensibilität und Akzeptanz für das Thema IT-Sicherheit bei den Endanwendern zu gewährleisten.

Unser Sicherheitsexperte Ralf Gesche berät unsere Kunden bei der Einrichtung stabiler, sicherer und flexiblen IT-Infrastrukturen und hilft Ihnen regelmäßig Sicherheitslücken zu schließen und mögliche Gefahren von außen zu minimieren.  Eine angemessene IT-Sicherheit ist gerade in Krisenzeiten wie der derzeitigen COVID-19 Pandemie von hoher Bedeutung.   Flexible Arbeitsplätze gehören zum ‚New Normal‘ und viele Unternehmen sind mit der Tatsache konfrontiert, dass sich der Cyberraum aufgrund von Home-Office & Co. massiv und schlagartig erweitert hat.

Immer mehr Kunden entschließen sich, Ihre gesamte IT-Landschaft kräftig unter die Lupe zu nehmen, um mögliche Gefahren von außen zu minimieren.  Im Rahmen eines Sicherheitsaudits wurden wir von unserem langjährigen Kunden biotherm Hagenow GmbH beauftragt, dessen IT-Systeme durch einen externen Security Analysten auf eventuelle Schwachstellen oder Sicherheitslücken testen zu lassen.

Der Auftrag? Unser Sicherheitspartner Florian Hansemann (www.hansesecure.de) wurde beauftragt, im Rahmen eines Penetrationstests und Security Assessments, eine Sicherheitsüberprüfung des internen Netzwerkes durchzuführen.  Ziel dieser Untersuchung war es, sicherheitsrelevante Schwachstellen beim Kunden zu identifizieren, die es einem Angreifer erlauben würden, die Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit der Kommunikation und der Daten zu gefährden.

• Eine projektbegleitende Phishing Kampagne hat gezeigt, dass durchaus einige Nutzer für Social Engineering anfällig sind und somit ein erfolgreicher Cyber-Angriff nur eine Frage der Zeit gewesen wäre. Warum einfache Firewalls und Virenscanner allein den Schutz nicht unbedingt garantieren können, kann hier nachgelesen werden:
  • Trügerisches Sicherheit: Antivirus und Firewall…
• Um also Zeit und damit verbundene Kosten einzusparen, wurde in diesem Szenario davon ausgegangen, dass sich der Angreifer durch eine Phishing Attacke bereits Zugriff auf einen PC eines der Mitarbeiter verschafft hat. Ziel war es, die eingeschränkten Rechte eines Domänen-Benutzerkontos zu erweitern, sich seitwärts im Netzwerk zu bewegen und durch Ausnutzung von Schwachstellen und mittels Hackertechniken, schlussendlich erfolgreich, Domänen-Administrator Berechtigungen zu erlangen. Alle dabei gefundenen Schwachstellen in Konfiguration oder Softwareprodukten wurden in einem Abschlussbericht dokumentiert und entsprechende Handlungsempfehlungen ausgesprochen.

Wie vorab schon erwähnt wurde das Projekt von einer 12-monatigen Phishing Kampagne begleitet.  Hierbei wird mit zunehmendem Schwierigkeitsgrad versucht, die Mitarbeiter zum Öffnen von Links oder Anhängen in E-Mails zu verleiten.   

• Schockiert? Das waren viele Mitarbeiter auch!!!  Natürlich wurde durch die Links oder Anhänge keine Malware installiert. Vielmehr wurden die Mitarbeiter darauf hingewiesen, dass sie Opfer eines potentiellen Angriffs gewesen wären und es wurde Ihnen aufgezeigt, anhand welcher Informationen in der Mail der Betrug hätte erkannt werden können.  Für die Mitarbeiter des Unternehmens sicherlich eine etwas schreckhafte aber auch nachhaltige Form der Sensibilisierung und Schulung in Sachen IT-Security. 

Die wichtigsten Learnings für Unternehmen und Systembetreuer?

Fazit 1: Wir sind GUT😊! Laut #HanseSecure bieten wir im Bereich Patchmanagement und Softwareaktualisierung kaum Angriffsfläche. Laut Herrn Hansemann ist dies bei seinen Assessments eher selten der Fall. YES!!😊.  Durch unsere Monitoring – und Remote Management Lösung cMon können wir bei unseren Kunden die Aktualisierung für Betriebssysteme und Zusatzsoftware, sowohl Client- als auch Serverseitig sicherstellen. Auch die ersten Angriffsversuche mittels Wörterbuchattacken wurden durch unser Monitoring erkannt. In diesem Bereich sind wir also gut aufgestellt. 😊   

Fazit 2: Nicht alles ist perfekt ☹! #HanseSecure hat eine Schwachstelle in einer Clientkomponente unserer Monitoring Lösung gefunden, die es Ihm ermöglichte maximale Rechte auf dem lokalen System zu erlangen, NO!!☹.  Diese Schwachstelle wurde umgehend an den Softwarehersteller gemeldet, der schnell reagierte und innerhalb von 2 Tagen ein Update bereitstellte.  Die schnelle Reaktion des Softwareanbieters hat uns gezeigt, dass wir uns auch auf diesen Partner verlassen können. 

• Sicherheitslücken in Softwareprodukten werden immer wieder gefunden. Wichtig ist, dass die Hersteller zügig reagieren, entsprechende Updates bereitstellen die diese Lücken schließen und die Updates dann auch zeitnah durch den Systembetreuer installiert werden.

Fazit 3: Wir werden immer besser! Wir haben nach Auswertung der Ergebnisse unser Sicherheitskonzept in Active Directory Umgebungen weiterentwickelt und schrittweise strengere und zusätzliche Richtlinien implementiert.  Unsere Erfahrungen aus diesem Projekt werden wir in Zukunft bei all unseren Kunden berücksichtigen und im jeweiligen Kundenumfeld entsprechend umsetzen. 

Fazit 4:  Mehr Sicherheit = weniger Komfort! Unachtsamkeit und Bequemlichkeit kann bei der Administration und Anwendung die Sicherheit in den Systemen sehr schnell negativ beeinflussen. Auch bei unserem Kunden mussten Abläufe und Prozesse neu überdacht und angepasst werden.

Fazit 4: Keine Angst vor Audits!  Bei einem Sicherheitsaudit geht es nicht darum Unzulänglichkeiten der Administratoren und Systembetreuer aufzuzeigen, sondern durch die gewonnenen Erkenntnisse und der daraus abgeleiteten Maßnahmen das Sicherheitsniveau zu erhöhen und Bewusstsein zu schaffen, dass IT Sicherheit ein fortlaufender Prozess ist, der nicht mit der Anpassung einer Konfiguration oder einem Update abgeschlossen ist. 

Sie möchten mehr über IT-Security Lösungen und Sicherheitsaudits erfahren?  Unser Verantwortlicher für IT-Security Ralf Gesche hilft Ihnen gerne weiter. 

Gemeinsam mit unserem Partner HanseSecure haben wir für Sie verschieden Audit Pakete zusammengestellt. Kontaktieren Sie uns für ein individuelles Angebot!

Tel: 0385 | 64 64 20         Mail: mail@corent.de

Wir helfen Ihnen, Ihr Unternehmen ein Stück sicherer zu machen!