- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Darknet: Ransomware-Kit ist für 8 Euro zu habe


Neun Patch-Management-Tipps zum Schutz von Firmendaten
Der Einsatz von Tools zur Erkennung möglicher Schwachstellen minimiert die Gefahr eines Dateneinbruchs



Für ein paar Euro versetzen vorgefertigte Exploits Personen ohne technische Fähigkeiten in die Lage, komplexe Angriffe auf IT-Umgebungen auszuführen: Ein Ransomware-Kit ist im Darknet für gut 8 Euro zu haben. Der Zugang zu einem gehackten Server kostet gerade einmal 5 Euro. Doch die mit diesen Tools verursachten Schäden gehen in die Milliarden: Experten schätzen die finanziellen Verluste für Unternehmen und öffentliche Einrichtungen durch Ransomware-Attacken auf 4,1 Milliarden Euro – und dieser Wert soll sich bis 2019 mehr als verdoppeln.

Wie können sich Unternehmen also schützen? Das Patchen von Anwendungen ist der richtige Weg, einige der Angriffe zu blockieren. Jedoch reicht es nicht mehr aus, sich auf automatische Betriebssystemupdates mittels Windows Server Update Services (WSUS) oder den System Center Configuration Manager (SCCM) zu verlassen: Die gravierendsten Sicherheitslücken liegen bei Anwendungen von Drittanbietern, die nicht durch diese Tools abgedeckt werden.

Mit neun Patch-Management-Praktiken im Hinterkopf schützen Administratoren und IT-Sicherheitsexperten ihre Datenumgebungen.

Verwenden Sie einen geeigneten Such- und Erkennungsdienst
Der Einsatz von Tools zur Erkennung möglicher Schwachstellen minimiert die Gefahr eines Dateneinbruchs. Ein solcher Suchdienst umfasst eine Kombination von aktiven und passiven Erkennungsfunktionen sowie die Fähigkeit, physische, virtuelle und standortferne Systeme zu identifizieren, die auf ein Netzwerk zugreifen. Eine aktuelle Übersicht über den Bestand an Produktivsystemen, einschließlich aller IP-Adressen, Betriebssystemtypen, -versionen und physischen Standorte, hilft bei den nachfolgenden Patch-Aufgaben.

Lernen Sie bekannte Schwachstellen kennen
Verpasst bereits ein Rechner einer Umgebung einen Patch, kann dies die Stabilität aller Endpunkte gefährden. Es gilt es daher, veraltete Geräte mit potenziellen Sicherheitslücken zu identifizieren. Assessments und die Analyse von Informationen über bekannte Schwachstellen helfen, Risiken zu erkennen, bevor ein Angriff stattfindet.

Unterstützen Sie heterogene OS-Plattformen
Alle Tools im Patch-Prozess sollten eine breite Liste von Herstellern und Betriebssystemen unterstützen. Windows ist nicht das einzige Betriebssystem im Unternehmen. Linux und Unix machen in großen Unternehmen, je nach Region, zwischen 5% und 35% des Footprints des Rechenzentrums aus. Auch diese Betriebssysteme müssen in eine nachhaltige Patch-Strategie eingebunden werden.

Patchen Sie alle Applikationen
Viele Unternehmen beschränken sich beim Patchen nur auf das Betriebssystem und Anwendungen eines bestimmten OS-Herstellers. Es gilt allerdings, Software von Drittanbietern besonders zu beachten, denn diese stehen im Fokus von Cyber-Kriminellen. IT-Mitarbeiter dürfen sich zudem nicht auf Auto-Updater verlassen. Sie können deaktiviert werden, Benutzer könnten sie ignorieren und sie können versagen.

Decken Sie On- und Off-Premise ab
Das Patchen eines Betriebssystems und der darüber genutzten Anwendungen kann wirkungslos werden, wenn es nicht für jeden Computer an jedem Ort durchgeführt wird. Bei einer zunehmend dezentralisierten Belegschaft müssen Patch-Management-Systeme den gleichen Grad der Abdeckung und Kontrolle außerhalb der Firma bieten wie vor Ort.

Patchen Sie jede Woche
Da immer mehr Anwendersysteme das Netzwerk physisch verlassen können, wird die Frequenz beim Patching zur Achillesverse. Jeder Software-Anbieter hat seine eigene Release-Folge, die für seine spezifische Anwendung passt. Teils werden regelmäßige Zyklen eingehalten, teils haben Anbieter vollständig unvorhersehbare Release-Pläne. Das Aufspielen neuer Patches zweimal wöchentlich ist daher ein ausgezeichneter Ansatz, der vor allem Laptops schützt.

Verzichten Sie auf Agenten – wo es geht
Administratoren fügen nur ungern Serversystemen zusätzliche Agenten hinzu. Auch besteht häufig die Notwendigkeit, Teile der virtuellen Infrastruktur zu unterstützen, auf denen ein Agent nicht arbeitet. Darüber hinaus kann die Installation eines Agenten auf einer VM die Netzwerkressourcen belasten, was eine Netzwerkdegeneration fördert. Eine Mischung aus Beidem wird benötigt: eine flexible Architektur, die sowohl agentenlose als auch Agentenunterstützung für Server ermöglicht.

Achten Sie auf Ausnahmen
Im Alltag werden beim Patchen nicht selten Ausnahmen zugelassen. Danach müssen allerdings weitere Maßnahmen folgen. Beispielsweise gilt es, nach einer Patch-Ausnahme die Nutzerberechtigungen für diese Anwendung zu sperren, den direkten Internetzugang zu unterbinden oder das Whitelisting auf dem System anzuwenden. Zur Risikominimierung müssen zudem unbekannte/nicht vertrauenswürdige Payloads davon abgehalten werden, ausgeführt zu werden.

Integrieren Sie Patching in die gesamte IT
Idealerweise agiert das Patch-Management verzahnt mit der IT. Im Sinne einer Unified IT sollte das Patch-Management integriert und automatisiert laufen. Die Zusammenführung von Schwachstellenanalyse und Patching im Service Desk sowie die Nutzung von Automatisierungs-Tools und Reporting-Lösungen stellt sicher, dass die IT-Abteilung Einblicke in den Sicherheitsstatus aller Systeme gewinnt. Daraus leitet sie weitere Maßnahmen zum Schutz des Unternehmens ein.

Tools für das Patch Management sind immer nur ein Element einer umfassenden Sicherheitsstrategie. Schwachstellenanalysen und Reportings über das gesamte Unternehmen hinweg können ebenso wichtig sein. Das "entdeckende" Patch-Management ist für die Cybersicherheit von entscheidender Bedeutung. Mit den vorgestellten Tipps können Unternehmen Patch-Updates immer im Auge behalten und Ihre Datenumgebungen schützen, wenn wieder einmal eine von zahlreichen Sicherheitsbedrohungen versucht, einen Fuß in die Tür zu schieben.
(Ivanti: ra)

eingetragen: 14.07.18
Newsletterlauf: 23.07.18

Ivanti: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.