Lagebericht IT-Sicherheit_Schweiz_InfoGuard

Lagebericht zur IT-Sicherheit, diese 4 Schwachstellen müssen Sie kennen

IT-Verantwortliche von Schweizer Unternehmen sind gefordert. Mehr denn je! Das lassen nicht nur die neusten Entwicklungen vermuten. Nein. Auch unsere Cyber Security Analysten bestätigen es: Die Anzahl gezielter Hackerangriffe steigt rasant an – und wird auch in Zukunft weiter steigen. Soweit so gut. Was uns aber noch viel bedenklicher stimmt: Sensible Daten stehen wegen Falschkonfiguration frei zum Download bereit. Verschlüsselte Verbindungen sind nicht zwingend sicher. Consumer Electronic, NAS und Hausautomationssysteme sind direkt im Internet ansprechbar. Mit wenig oder sogar ohne Sicherheitsmassnahmen. Und dies sind nur einige der Problemfelder, welcher der aktuelle Swiss Vulnerability Report 2016 unseres Partners First Security Technology aufdeckt. First Security weist mit ihrem Report seit mehreren Jahren dediziert auf die Schwachstellen der ICT-Infrastrukturen von Schweizer Unternehmen hin. In diesem Artikel erfahren Sie, was die vier grössten Schwachstellen in der IT-Sicherheit sind - und wie Sie diese erfolgreich beheben können.

Die Meldungen von gehackten Unternehmen nehmen drastisch zu. Keine Woche vergeht, ohne in den Medien über einen grossen Hackerangriff in der Schweiz lesen zu müssen. Keine Branche ist sicher! Auch Ihre nicht! Denn auch vermeintlich gut geschützte Unternehmungen trifft es. Genauso wie kleinere Unternehmungen, welche denken, bei ihnen sei nichts zu holen. Sie täuschen sich! Garantiert. Lassen Sie es also nicht soweit kommen!

Für den erfolgreichen Einbruch in IT-Systeme sowie Datenmissbrauch nutzen Cyberkriminelle (oftmals bekannte) Schwachstellen aus. Mit Schwachstellen meinen wir einerseits Fehler in Betriebs- und Anwendungssoftware, andererseits aber auch Falschkonfigurationen von Infrastruktur-Komponenten, zum Beispiel durch den Einsatz von Default-Passwörtern, oder aber das Anbieten von Diensten, denen man sich nicht bewusst ist.

Die beiden letzteren kommt leider viel häufiger vor, als Sie vielleicht vermuten! Und damit auch Sie als IT-Verantwortlicher Ihres Unternehmens nachts wieder gut und sicher schlafen können, gehen wir noch einen Schritt weiter. Das sind die vier wichtigsten und häufigsten Schwachstellen in der IT-Sicherheit, die Sie zwingend kennen - und beheben müssen!

1. Default-Passwörter sind genauso gut wie... KEINE Passwörter!

Dienste im Internet sind meist mit Benutzernamen und Passwörter geschützt. Selbst wenn diese Dienste keine Schwachstellen aufweisen, um die Autorisierung zu umgehen, ist der Service nur so sicher wie das gewählte Passwort. Und jetzt kommt's: In rund 4% der überprüften Systeme in der Schweiz war ein Login über FTP, aber ohne Passwort möglich. Und die meisten bieten dies ungewollt an, da das System nicht richtig konfiguriert wurde. Die Erfahrung aus unseren Penetration Tests zeigt eindrücklich, dass davon ausgegangen werden kann, ja sogar muss, dass auf rund 10% dieser Systeme vertrauliche Informationen wie Backups, Kundendaten, interne Dokumente oder andere Datenschutz-relevante Daten liegen. Zudem kann sich Malware über solche ungeschützte Dateiablagen problemlos verbreiten, indem sich diese dort speichert und auf das Öffnen wartet. Unglaublich, nicht wahr?

Unsere konkrete Empfehlung für die erste Schwachstelle ist, diese zu beheben - das kostet rein gar nichts! Erzwingen Sie einfach starke Passwörter und stellen Sie sicher, dass diese regelmässig geändert werden müssen.

 2. Verschlüsselung ist nicht gleich Verschlüsselung

Seit rund zwei Jahren weiss jede/r, dass in SSL und TLS Verschlüsselungen einige Schwachstellen mit teils gravierenden Auswirkungen vorhanden sind. Umso bedenklicher ist es, dass in der Schweiz aber immer noch...

  • 78‘000 Server auf Poodle und
  • 25‘000 auf Freak anfällig sind.

Zudem war es bei über 26‘000 (!) Diensten möglich, den Private Key mittels dem Drown-Angriff auszulesen. Durch die zusätzliche Verifizierung der Mehrfachverwendung der Zertifikate auf verschiedenen Diensten und Servern hat sich zudem gezeigt, dass selbst sichere Verschlüsselungen entschlüsselt werden können.

Deshalb unsere konkrete Empfehlung für die zweite Schwachstelle: Verwenden Sie nur starke Verschlüsselungsverfahren mit starken Schlüsseln. Nutzen Sie wenn möglich TLS1.2. Zusätzliche Sicherheit bieten dedizierte Web-Application Firewalls oder SSL-VPN Gateways mit spezifischen Sicherheitsfunktionen. Viele Services – auch wenn diese über HTTPS erreichbar sind – sind nicht in erster Linie hinsichtlich der Sicherheit optimiert.

3. Consumer Elektronik, NAS und IoT als neuer Angriffspunkt

Die Sichtbarkeit von Consumer Electronic und NAS im Internet hat um ein Vielfaches zugenommen. Unsere IT-Sicherheit-Spezialisten sind überzeugt: Genau diese Systeme wurden nicht aus Sicherheitsaspekten heraus entwickelt. Und immer öfters findet man solche Geräte, wie beispielsweise Smart TVs in Unternehmen. Und dies wird - auch z.B. dank der aktuellen Fussball-Europameisterschaft in Frankreich - noch weiter zunehmen. Dies bietet einerseits potenziellen Angreifern neue Möglichkeiten. Andererseits kann es als Eintrittspunkt dienen, wenn solche Systeme direkt aus dem Internet ansprechbar sind. Dies kann zu einem regelrechten Eigentor für Unternehmen werden. Ähnlich verhält es sich auch bei den Hausautomationssystemen. Auch hier sind viele sichtbar und zu wenig geschützt.

Unsere Empfehlung für die dritte Schwachstelle: So smart diese Technologie ist, auch hier gilt für Unternehmen: Sicherheit geht vor! Es gilt das Netzwerk so zu segmentieren, dass solche Systeme in einer entsprechend geschützten Zone integriert werden und nicht direkt aus dem Internet erreichbar sind. Die Lösung ist eine sichere Netzwerk- & Sicherheits-Architektur - und diese finden Sie hier.

4. HTTPS für Web und E-Mail auf dem Vormarsch – endlich!

Web Services sind die mit Abstand am häufigsten angebotenen Dienste. Gegenüber den letzten Jahren hat dabei die Anzahl von HTTPS Diensten massiv zugenommen – was natürlich sehr erfreulich ist. Die verschlüsselte Variante findet sich über 225‘000 mal im Schweizer Internet (gegenüber weniger als 180‘000 unverschlüsselten Diensten). Ein klarer und sehr erfreulicher Trend! Das Sicherheitsbewusstsein hat aber nicht nur in diesem Bereich zugenommen. Auch bei den Datenbanken zeigt sich eine erfreuliche Tendenz. So sind aktuell viel weniger Datenbanken direkt aus dem Internet erreichbar.


Unser Fazit 

Trotz dem versöhnlichen Abschluss dieses Reports zeigt sich, dass es in der Schweiz leider immer noch (zu) viele Systeme gibt, die relativ einfach angreifbar - und schwer verbundbar - sind. Unsere Erfahrung sowie die Erfahrung betroffener Unternehmen deckt eines schonungslos auf: Regelmässige Schwachstellen-Scans und Überprüfungen mittels Penetration Tests sollten in jedem Unternehmen zwingend durchgeführt werden, um das Sicherheitsniveau nachhaltig zu verbessern. InfoGuard bietet interessierten Unternehmen das Schwachstellen-Management als Service aus unserem Cyber Defence Center in der Schweiz an.

Viele weitere spannende Erkenntnisse und Informationen zur Untersuchung der 20 Millionen Schweizer IP-Adressen finden sich im Swiss Vulnerability Report 2016 unseres Partners First Security Technology.

 

Free Download - Swiss Vulnerability Report 2016

 

Welche Erfahrungen haben Sie gemacht? Welches sind aus Ihrer Sicht die häufigsten Schwachstellen in der IT-Sicherheit? Wir sind gespannt und freuen uns über Ihren Kommentar.

Falls Sie Fragen haben oder weitere Auskünfte wünschen, helfen Ihnen unsere IT-Spezialisten gerne weiter. Sie erreichen uns unter der Telefonnummer 041 749 19 00 oder via E-Mail info@infoguard.ch. Wir freuen uns auf Sie!


 

<< >>

Cyber Defence , IT-Sicherheit

Markus Limacher
Über den Autor / Markus Limacher

InfoGuard AG - Markus Limacher, Head of Security Consultant, Mitglied des Kaders

Weitere Artikel von Markus Limacher


Ähnliche Artikel
Cyber Security Blog

Der InfoGuard Cyber Security Blog liefert Ihnen regelmässig News und detaillierte Berichte aus der Welt der Cyber Security und Cyber Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-phishing-poster