Cyber-Security während Corona

Seit dem Ausbruch der Covid-19-Pandemie hat sich das Arbeitsumfeld vieler Menschen stark verändert. Laut einer Erhebung des Digitalverbandes Bitkom e.V. im März 2020 arbeitete während des Lockdowns jeder zweite Berufstätige in Deutschland im Homeoffice. Die im Juni 2020 erschienene IBM-Security- Studie „Work From Home“ verdeutlicht zudem, dass vor der Coronakrise in 37 Prozent der Unternehmen lediglich begrenzt und zu 46 Prozent überhaupt nicht von Zuhause aus gearbeitet werden durfte. Noch immer und vermutlich bis auf nicht absehbare Zeit wird in vielen Unternehmen im Homeoffice gearbeitet. So bietet Mastercard, der zweitgrößte Zahlungsabwickler der Welt, seinen Mitarbeitern an, erst mit der Verfügbarkeit eines Covid-19-Impfstoffs an ihre Büroarbeitsplätze zurückzukehren.

Infolge des plötzlichen Anstiegs der Telearbeit müssen Arbeitgeber ihre Mitarbeiter mit Geräten, wie Laptops, Tablets und Smartphones, versorgen. Der IBM-Studie zufolge arbeiten 53 Prozent der Befragten, die sich aufgrund der aktuellen Situation erstmalig im Homeoffice befinden, mit einem privaten Laptop oder PC. Da Corona bereits diverse Lieferketten unterbrochen hat, stellt die Neuanschaffung der Endgeräte für zahlreiche Mitarbeiter die Unternehmen vor finanzielle und logistische Probleme. Aufgrund dieser Hürden setzt das Management häufig auf eine Bring-your-Own-Device (BYOD) Strategie, bei der jedoch nicht auf grundlegende Sicherheitsmaßnahmen verzichtet werden darf, wie die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister anmerkt.

Eine dieser Maßnahmen ist die Virtual-Desktop-Infrastructure (VDI). Bei dieser erhält jeder Mitarbeiter eine eigene virtuelle Maschine, deren Daten auf einem Server im Firmennetz gespeichert werden. Die private IT-Infrastruktur weist im Vergleich zur Unter-nehmens-IT meist ein deutlich schlechteres Sicherheitsniveau auf: Häufig werden zuhause weniger sichere WLAN-Standards genutzt, wie beispielsweise WPA2-Phase-Shift-Key (PSK) statt WPA2-Enterprise, sodass kein zentraler Authentifizierungsserver existiert. Zudem werden oft Sicherheitsupdates einzelner Geräte zu spät oder gar nicht installiert. Somit treffen vertrauenswürdige Geräte auf solche mit Schwachstellen, was wiederum zur Verbreitung von Viren führen kann.

Werksseitig vorkonfigurierte Router-Passwörter, mit denen die Hersteller eine möglichst schnelle und einfache Inbetriebnahme ermöglichen, werden nicht immer angepasst. Die Abwesenheit gehärteter Bastion-Hosts in einer von zwei Firewalls abgesicherten neutralen entmilitarisierten Zone (Demilitarized-Zone – kurz: DMZ) zwischen dem Internet und dem eigenen Netz verhindert zudem eine tiefergehende Analyse verdächtiger Pakete.

Ein weiterer Stolperstein ist der Fernzugriff auf das Firmennetz. Mit der Einrichtung eines Virtual-Private-Networks (VPN) wird meist der gesamte Datenverkehr durch das Unternehmensnetzwerk geleitet, die Nutzung von Cloud-Anwendungen mit eingeschlossen. Der gesteigerte Anteil der Telearbeit in Coronazeiten führt somit schnell zu einer Überlastung der verfügbaren Bandbreiten, was wiederum Dienste und Anwendungen lähmt und die Produktivität der Mitarbeiter verringert. Daher sollte als erste Maßnahme ein eigenes Netzwerksegment für die VPN-Infrastruktur angelegt werden. Danach gilt es, die Ressourcen der Infrastruktur auf die neue Last auszulegen. Hierbei kann ein Load-Balancer verwendet werden, um die Last eines VPN-Gateways auf mehrere Server aufzuteilen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, direkte Verbindungen außerhalb des Tunnels zu nichtvertrauenswürdigen Systemen (“Split-Tunneling”) während einer VPN-Sitzung vollständig zu unterbinden. Zudem kann durch Overprovisioning (Bereitstellung zusätzlicher Speicherkapazität) die verfügbare Bandbreite des internen Netzes an die höchste Auslastung angepasst werden.

Die Versorgung der Mitarbeiter mit unternehmenseigenen Arbeitsrechnern und der Aufbau einer hinreichenden VPN-Infrastruktur zählen zu den wesentlichen Sicherheitsmaßnahmen, die die Unternehmen in der Corona-krise umsetzen müssen. Als eine zusätzliche Gefahr erweisen sich die in Heimnetzwerken genutzten IoT-Geräte und Router. Dies trifft besonders dann zu, wenn die eingesetzten Geräte nicht mit den aktuellen Firmware-Updates und Security-Patches versorgt oder Standardpasswörter zur Authentifikation genutzt werden. Schließlich ändern sich die von Hackern und Cyberkriminellen genutzten Angriffsvektoren permanent, sodass ständig neue Sicherheitslücken geschlossen werden müssen.

Der M-Trends-Report 2020 des Forensikunternehmens Mandiant zeigt, dass es sich bei 41 Prozent der festgestellten Malware um neue, unbekannte Formen handelt. Auch das BSI wies in seinem Lagebericht im Oktober 2019 auf rund 114 Millionen neue Schadprogramm-Varianten hin, die das unabhängige Forschungsinstitut für IT-Sicherheit in Deutschland, die AV-Test GmbH, registrierte. Deshalb darf das Management gerade jetzt, trotz sinkender Budgets, nicht an der IT-Sicherheit sparen und sollte kontinuierlich die bereits vorhandenen Sicherheitsmaßnahmen auf ihre Wirksamkeit überprüfen.

Eine Auswahl möglicher Angriffsketten, die die neue Homeoffice-Situation ausnutzen, ist in untenstehender Abbildung dargestellt. 

Im ersten Schritt sucht der Angreifer nach einem geeigneten Angriffspunkt, um Schadcode auf dem Arbeitsrechner zu platzieren. Das können Hardware-Komponenten aller Art sein, die sich im Heimnetzwerk befinden. Sicherheitsforscher von Palo Alto Networks haben beispielsweise herausgefunden, dass der Router DIR-865L des Herstellers D-Link bekannte Sicherheitslücken aufweist und über sechs verschiedene Arten angreifbar ist. Jeder unautorisierte Zugriff auf den Router des Mitarbeiters im Homeoffice kann dazu genutzt werden, eine Verbindung mit dem Arbeitsrechner aufzubauen und diesen ebenso mit Schadsoftware zu infizieren.

So nutzt aktuell die Krypto-Malware „Lucifer“ eine Liste bekannter Sicherheitslücken aus, um in das Unternehmensnetzwerk einzudringen. Danach wird eine Verbindung zu verschiedenen Command-and-Control (C2)-Servern aufgebaut, um den erfolgreichen Eintritt in das System zu kommunizieren. Diese C2-Server laden über ein professionell aufgezogenes Botnetz weitere Schadsoftware in das betroffene System, welche sich auf der Suche nach den für die Angreifer relevanten Daten lateral verbreitet und somit ebenso das VPN-Gateway angreift. Ist dieses nicht geschützt, erlangt der Angreifer Zugriff auf das Firmennetz. 

Zusätzlich nutzen Cyberkriminelle häufig ausgeklügelte Social-Engineering-Methoden, um ihre Opfer zur Preisgabe von vertraulichen Informationen zu bewegen. So berichtet Verizon in seinem aktuellen Data Breach Investigations Report 2020, dass Phishing mit 22 Prozent der am meisten verwendete, (im Sinne von Datenabfluss) erfolgreiche Angriffsvektor ist. Diese Zahl könnte in Zukunft steigen, weil Mitarbeiter im Homeoffice vermutlich abgelenkter sind. Wenn Schulen und Kindergärten geschlossen sind, müssen Eltern häufig einen schwierigen Spagat zwischen Arbeit und Kinderbetreuung meistern. Schnell entwickelt sich ein gesteigerter Lärmpegel, der die Konzentrationsfähigkeit beeinträchtigt. Dabei kann es zum Beispiel passieren, dass Phishing-Angriffe im Zweifel unerkannt bleiben.

Angreifer locken ihre Opfer derzeit häufig auf kompromittierte Internetseiten, indem sie versprechen, Lösungen für Corona-bezogene Probleme bereitzustellen und dafür Produkte oder Dienstleistungen anbieten. Dort werden die Webseitenbesucher entweder dazu verleitet, ihre personenbezogenen Daten zu hinterlegen oder es findet unbemerkt ein Drive-by-Download von Schadcode statt. Oft werden die Nutzer dazu aufgefordert, aktiv ein Programm zu installieren, beispielsweise ein vermeintliches Sicherheitsupdate. So gelangen unter anderem sensible Login-Informationen zu Firmenaccounts in falsche Hände.

Eine kostengünstige und wirkungsvolle Maßnahme gegen solche Phishing-Angriffe ist ein gezieltes Security-Awareness-Training. Sensibilisierte Mitarbeiter werden in die Lage versetzt, die Auswirkungen von IT-Sicherheitsvorfällen für ihr Unternehmen einzuschätzen. Sie achten deshalb nachhaltiger auf sicherheitskritische Situationen. Allerdings offenbarte die zuvor zitierte IBM-Studie, dass bisher 45 Prozent der Befragten von ihrem Arbeitgeber keine Security-Awareness-Trainings in Bezug auf das Arbeiten von zuhause aus erhielten, was den Bedarf verdeutlicht. Eine Awareness-Kampagne ist besonders effizient, wenn sie interaktiv gestaltet ist und auf die unterschiedlichen Zielgruppen im Unternehmen konkret eingeht: Das Management ist aufgrund seines Zugangs zu strategisch relevanten Daten häufig das Ziel von Whaling-Angriffen, einer schwer erkennbaren Phishing-Variante, die mit einer persönlichen Anrede oder der präzisen Funktionsbezeichnung speziell auf Mitarbeiter aus der Chefetage einhergeht. Für diese Angriffstechnik vermittelt ein dediziertes Awareness-Training das entsprechende Feingefühl.

Administratoren wiederum können mit ihren weitreichenden Berechtigungen umfassend auf vertrauliche Informationen wie Dokumente, Kommunikationsinhalte oder Datenbanken zugreifen und sollten in ihrem Security-Training darauf hingewiesen werden, ihre Aufgaben ausschließlich mit speziell gesicherten Workstations zu erledigen und auf die Einhaltung besonderer Anforderungen in Bezug auf die Sicherheit ihrer Accounts zu achten. Für Außendienstmitarbeiter liegen die Trainingsschwerpunkte häufig in der Verarbeitung personenbezogener Daten und der Nutzung erlaubter Kommunikationskanäle von unterwegs aus. In jeder Hinsicht sollten sich die Inhalte an den für die Zielgruppe maßgeblichen Fragestellungen orientieren. Zusätzlich empfiehlt es sich, die bei den Mitarbeitern erzielten Lerneffekte in kurzen Abschlusstests messbar zu validieren und die Lernkurve durch regelmäßige Weiterbildungsangebote aktiv zu steuern.

Den Analysen der FireEye Corporation zufolge benötigte ein Unternehmen im Jahr 2019 durchschnittlich 56 Tage, um einen IT-Sicherheits-Vorfall überhaupt zu erkennen. Die sogenannte durchschnittliche Verweildauer (Dwell-Time) beschreibt die Zeit, in der sich ein Angreifer unbemerkt im Unternehmensnetz befindet. Innerhalb dieser Zeit hat der Angreifer alle Möglichkeiten, den Datenverkehr mitzuschneiden, dabei besonders wichtige Server ausfindig zu machen bis hin zur Übernahme derselben. Die Kennzahl konnte in den vergangenen Jahren erheblich verkürzt werden - von 416 Tagen im Jahr 2011 und 78 Tagen im Jahr 2018 auf aktuell 56 Tage. Während der durch die Coronakrise hervorgerufenen Kurzarbeit ist nun ein erneuter Anstieg der Dwell-Time möglich, da auch in der IT-Abteilung die Personaldecke dünner wird.