Verteiltes Arbeiten absichern

Defensive in Zeiten der Corona

04. Juni 2020, 07:00 Uhr   |  Dr. Wilhelm Greiner

Defensive in Zeiten der Corona
© Wolfgang Traub

Die Zahl der Einbrüche dürfte letzthin drastisch gesunken sein. Schließlich fällt es selbst dem routiniertesten Langfinger schwer, in eine Wohnung einzusteigen, wenn dort Mama und Papa ihre Home-Offices aufgeschlagen haben, während die Kinder sich mal mehr, mal weniger eifrig dem Homeschooling widmen. Obendrein müsste der wagemutige Eindringling eine Ansteckung fürchten, bieten doch einfache Skimasken bekanntlich nur begrenzten Schutz vor Coronaviren. Schlechte Zeiten also für böse Buben? Nicht ganz, denn im Digitalen floriert das Treiben der Kriminellen – nicht zuletzt gerade wegen des Trends zum Arbeiten von zu Hause aus.

Das Böse ist immer und überall – das wusste die österreichische Kabarettkapelle Erste Allgemeine Verunsicherung schon in den 1980er-Jahren. Gleiches möchte man spontan auch für die Cyberkriminalität annehmen, findet diese doch dank ihres digital gestützten Geschäftsmodells und globaler Vernetzung per Internet jederzeit und weltweit schnellen Zugang zu ihren Opfern. Kaum verwunderlich: Alle Security-Anbieter berichten von einem deutlichen Anstieg von Phishing und Spear-Phishing mit Coronavirus-Bezug. Einige Forscher merken hier an, dass die Cyberbösen in der Zeit- und Ortswahl durchaus differenziert vorgehen: „Im Laufe des Aprils scheint die Zahl der Malware mit Corona-Bezug nicht nur in Europa, sondern auch in den Vereinigten Staaten und Südafrika zugenommen zu haben“, heißt es zum Beispiel bei Bitdefender. „Diese Bedrohungstelemetrie steht in gewisser Weise im Einklang mit der globalen Entwicklung von SARS-CoV-2.“ Dies zeige, dass die Kriminellen die Entwicklung des Virus weltweit genau beobachten und ihre Kampagnen entsprechend ausrichten, um möglichst viele Opfer zu erreichen.

Cybercrime heißt also: immer und überall, aber mitunter trotzdem selektiv. So ist laut Kaspersky in Remote-Work-Zeiten das beliebte Fernzugriffsprotokoll RDP (Remote Desktop Protocol) verstärkt ins Visier der Kriminellen geraten: In Deutschland habe sich die Zahl der Brute-Force-Angriffe auf RDP von Februar auf März mehr als verdreifacht, von knapp 4,7 Millionen auf über 15 Millionen. In anderen europäischen Ländern beobachte man Ähnliches, so Kaspersky.

In Zeiten sprunghaft gestiegener Beliebtheit von Web-Conferencing-Services wie GoToMeeting, Jitsi, Teams, Webex und Zoom üben auch diese Services magische Anziehungskraft auf die dunkle Seite der digitalen Welt aus, wie diverse Security-Anbieter schildern.  „Besonders auffällig sind dabei E-Mails, beispielsweise zu Zoom und Cisco Webex, die entweder die Nutzer vor einer Limitierung des Zugangs aufgrund einer angeblichen Schwachstelle der Applikation warnen oder über ein vorgeblich verpasstes Meeting informieren“, erläutert Proofpoint. „Hierbei ist das Ziel der Cyberkriminellen, dass ihre Opfer die entsprechenden Zugangsdaten preisgeben – natürlich auf einer gefälschten Website.“ SonicWall wiederum warnt vor Crypto-mining-Malware, die sich als Zoom-Installationsdatei ausgibt, um mit den Ressourcen des befallenen Rechners Kryptowährungen zu schürfen.

Zoombombing

Insbesondere die einfach bedienbare US-Videokonferenzlösung Zoom erlebte letzthin einen kometenhaften Aufstieg – gefolgt von einem Meteoritenschauer an Kritik wegen mangelnder Sicherheit und Vernachlässigung des Datenschutzes. Die Verbreitung der leicht erratbaren Zoom-Meeting-IDs ermöglichte das sogenannte „Zoombombing“, also das Eindringen in fremde Zoom-Meetings, um dort unerwünschte Inhalte zu veröffentlichen. Das US-Unternehmen sah sich gezwungen, einen 90-Tage-Plan aufzusetzen, um die Vielzahl der Lücken und Schwachstellen in den Griff zu bekommen (LANline berichtete).

Just in diesen videokonferenzlastigen Tagen meldete CyberArk eine Sicherheitslücke in Microsofts ebenfalls sehr beliebtem Konferenz-Service Teams: Laut CyberArk Labs konnte ein Angreifer eine kompromittierte Subdomain nutzen und ein schädliches GIF an ahnungslose Team-Benutzer senden, um alle mit diesem Konto verbundenen Daten abzugreifen. In der Folge hätte er den Angriff schnell auf andere Konten und Gruppen ausweiten können. CyberArk kooperierte mit Microsoft im Rahmen einer Coordinated Disclosure, und Redmond löschte die fehlkonfigurierten DNS-Einträge.

In diesem Fall ist das also nochmal gut gegangen. Malwarebytes erinnert allerdings daran, dass auch APT-Gruppen (Advanced Persistent Threat) – also gut ausgestattete und teils regierungsnahe Angreiferorganisationen, die gezielt gegen bestimmte Opfer vorgehen – Corona als Lockmittel für sich entdeckt haben. Die Angriffstechniken reichen laut den Forschern von Template-Injektionen und bösartigen Makros bis zu RTF-Exploits und schändlichen LNK-Dateien. Malwarebytes geht davon aus, dass diese Bedrohungsakteure in den kommenden Wochen und Monaten die Corona-Krise weiterhin für gezielte Angriffe ausnutzen werden.

 Patrick Oliver Graf
© NCP

„Bei uns hat sich die Zahl der Anfragen versechsfacht“, so NCP-Chef Patrick Oliver Graf.

Datenschutz droht, unter die Räder zu geraten

Neben Unternehmensnetzen und Nutzer-Credentials steht auch der Datenschutz unter Beschuss. So wurde hierzulande zur Verfolgung der Corona-Ausbreitung zunächst über eine Tracing-App mit zentraler Datenhaltung diskutiert, obwohl Sicherheitsexperten und Datenschützer dringend zu einer dezentralen, anonymisierten Architektur raten. Um solche dezentrale Tracing-Apps zu ermöglichen, arbeitet nun sogar Apple mit seinem Erzmarktbegleiter Google zusammen. Man muss das erst mal sacken lassen: Apple kooperiert mit Google – das hätt’s B.C. (Before Corona) nicht gegeben.

Die beiden US-Konzerne einigten sich darauf, iOS und Android über APIs für Tracing-Apps zu öffnen, damit diese auf die BLE-Funktionalität (Bluetooth Low Energy) der Mobilgeräte zugreifen können. Dieser Ansatz erschwert dank wechselnder Geräte-IDs die personalisierte Zuordnung der Nutzerdaten. Der Endanwender muss dabei lediglich dem Smartphone-Lieferanten seines Vertrauens vertrauen – dem ist er aber ohnehin schon längst mit Haut und Haaren ausgeliefert.

Bedenklich: Zeitgleich legten laut einem Bericht der Nachrichtenagentur Reuters Hersteller von Überwachungs- und Spionagesoftware diversen Regierungen nahe, man sollte doch die Tracking-Technik aus dem jeweils eigenen Hause zur Totalüberwachung der Bevölkerung einsetzen. Hier geht es um Anbieter wie Cellebrite, Intellexa, NSO Group oder Verint, die ihre Technik normalerweise zu Überwachungszwecken an die Polizei und, nun ja, sagen wir: an „sonstige Behörden“ mal mehr, mal weniger demokratisch legitimierter Regierungen verkaufen.

Laut Reuters ist Indien, derzeit geführt von einer nationalistisch-hinduistischen Regierung, eines der Ziele des US-Anbieters Verint. Und laut einer Reuters-Quelle arbeitet Intellexa daran, derlei Überwachungstechnik in zwei westeuropäischen Ländern zu installieren. Israel nutzt laut Medienberichten bereits eine solche Massenüberwachung von Telekommunikationsdaten und Bewegungsprofilen, um Corona-Infizierte aufzuspüren.

Manch einem Leser mag es egal sein, ob er von Apple, Google oder einem Spyware-Spezialisten überwacht wird. Man stelle sich allerdings vor, was alles passieren könnte, wenn eine zentrale, landesweite Datenbank mit Bewegungsprofilen und Gesundheitsdaten aller Deutscher in die Hände eines egomanischen Möchtegern-Despoten oder eines „lupenreinen Demokraten“ gerät, wie man sie heute in Amerika und auch in Europa findet.

Schutz für verteilte Unternehmensinfrastrukturen

Doch zurück zu den Risiken für die Unternehmensnetze. Was Security-Experten zur Absicherung des nunmehr deutlich stärker verteilten Arbeitens aus den Home-Offices der Nation raten, darüber hat LANline schon online und in Ausgabe 5 berichtet. Das Wichtigste dazu aus CIO-Sicht fasst Security-Spezialist Palo Alto Networks wie folgt zusammen: erstens einen sicheren Remote-Zugang gewährleisten, zweitens „alles messen“ (mit „alles“ ist gemeint: Metriken von der Systemverfügbarkeit bis hin zur Nutzung von Collaboration-Tools), drittens IT-Hilfe überall verfügbar machen (bis hin zum On-/Offboarding von Mitarbeitern per Self-Service und Fernzugriff) sowie viertens „kommunizieren, kommunizieren, kommunizieren“.

Sicheres mobiles Arbeiten

Das BSI-Empfehlungspapier „Tipps für sicheres mobiles Arbeiten“ bündelt die wichtigsten Maßnahmen für sicheres verteiltes Arbeiten auf angenehm kompakte Weise. Die wichtigsten IT-Schlagwörter lauten hier VPN (Virtual Private Network), IAM (Identity- und Access-Management) mit MFA (Mehr-Faktor-Authentifizierung), Zero-Trust und – zumindest wenn es nach dem Analystenhaus Gartner geht – neuerdings auch SASE (Secure Access Service Edge).

Dass ein verschlüsselter Fernzugriff die Basis für die sichere Remote-Arbeit bildet, leuchtet jedem Administrator sofort ein. So überrascht es nicht, dass VPN-Ausrüster von dramatisch gestiegener Nachfrage berichten. „Bei uns hat sich die Zahl der Anfragen versechsfacht“, erklärte Patrick Oliver Graf, CEO des Nürnberger VPN-Spezialisten NCP Engineering, gegenüber LANline. „Die Nachfrage stammt von Unternehmen wie auch Behörden aller Größen und reicht bis zu einer Anfrage von 50.000 zusätzlichen Pay-per-Use-Lizenzen. Generell stellen wir angesichts der Pandemiesituation eine massive Bereitschaft fest, schnell zu agieren.“

Laut Falko Binder, Netzwerkexperte bei Cisco, hat die Anforderung, die VPN-Umgebung möglichst schnell auzubauen, viele Unternehmen unter starken Handlungsdruck gesetzt. Er berichtete von einem typischen Fall, bei dem ein Finanzdienstleister mit mehreren 10.000 Mitarbeitern zwar bereits ein Drittel der Belegschaft für das Home-Office ausgerüstet hatte, nun aber plötzlich auch die restlichen zwei Drittel schnellstmöglich von zu Hause aus arbeiten lassen wollte. Laut Binder sind hier rein softwarebasierte Lösungen, die sich auf Standard-x86-Servern installieren lassen, anstelle klassischer Appliances das Mittel der Wahl. Diese Einschätzung bestätigen auch Security-Anbieter wie eben NCP oder der Münchner VPN-Spezialist sayTEC, die ebenfalls auf rein softwarebasierte Lösungen setzen und deren schnelle Skalierung betonen.

Eine Alternative zum klassischen VPN liefern „VPN as a Service“-Angebote wie zum Beispiel das Cloud-VPN von Reddoxx. Auch solche Managed Services erfreuen sich laut NCP-Chef Graf zunehmender Beliebtheit: „Für VPN as a Service setzen wir auf Managed-Services-Partner wie die Telekom, und auch hier haben wir eine stark gestiegene Nachfrage festgestellt.“

Wie gut es derzeit Angestellte im Kurzarbeit-erprobten Deutschland haben, zeigt Grafs Vergleich mit jenem Land, das der Autor dieser Zeilen aufgrund der dortigen maroden Zentralregierung gerne als „Trumpistan“ bezeichnet: „Unsere Niederlassung in den USA berichtet hingegen von gegenteiligen Effekten“, so der NCP-Chef. „Hier fragen Unternehmen, ob es möglich sei, die Subscriptions auszusetzen, weil man aufgrund der Krise zahlreiche Mitarbeiter entlassen hat.“

Ein VPN ist nutzlos, wenn nicht feststeht, dass der Endanwender auch der ist, der er zu sein vorgibt. Hier rät Sven Kniest, Zentraleuropachef bei Okta, zu cloudbasiertem Identity- und Access-Management. Okta unterstütze hierfür MFA gemäß dem FIDO2-Standard. Dieser Standard sorgt für bestmögliche Authentifizierung des Endanwenders, indem dynamisch die jeweils sichersten verfügbaren Mechanismen zum Einsatz kommen – also nur notfalls Nutzername und Passwort, wo immer möglich hingegegen eine Alternative wie ein Fingerprint-Scanner, Gesichtsabgleich oder Iris-Scan, wie bei Smartphones oder Windows Hello üblich. Mittels Biometrie und Oktas FastPass könne man sogar eine passwortlose Authentisierung umsetzen, so Kniest – ein derzeit in der Branche vieldiskutierter IAM-Ansatz.

Kniest sieht sein Unternehmen – laut Gartner Marktführer vor Microsoft, Ping Identity, IBM und Oracle – für rapide steigenden IAM-Bedarf gut gerüstet, biete man doch mit Okta Identity Cloud einen cloudnativen Dienst, den man kürzlich modularisiert und zur Plattform ausgebaut habe. Über APIs oder Konnektoren arbeite er mit über 6.000 Apps zusammen. Die Lösung skaliere extrem hoch, für einen US-Kunden habe man 30 Millionen Nutzer auf der Plattform.

Seite 1 von 2

1. Defensive in Zeiten der Corona
2. Zero-Trust

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

LANline