Ende Oktober hat Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), bei der Vorstellung des neuen BSI-Lageberichts 2021 nicht nur festgestellt, dass sich die Bedrohungslage weiter verschärft. Er hat auch deutlich gemacht, dass neben der zunehmenden Vernetzung sowie der Weiterentwicklung und Professionalisierung der Cyberkriminellen eine Vielzahl gravierender Schwachstellen in IT-Infrastrukturen für die prekäre Situation mit verantwortlich sind.
Und tatsächlich ist festzustellen, dass bei den meisten großen Cyberangriffen immer wieder die Ausnutzung mindestens einer, oft sogar mehrerer Sicherheitslücken innerhalb der Opfersysteme eine entscheidende Rolle spielt. Wer da schlicht sagt, IT-Administratoren machten ihren Job nicht richtig, weil sie die notwendigen Sicherheitspatches nicht oder nicht zeitnah genug einspielen, macht es sich zu einfach und verkennt gleich mehrere Probleme.
Wenig Zeit für komplexe IT-Landschaften
Ist die Installation von Sicherheitsupdates auf dem heimischen PC und Router vergleichsweise schnell und einfach umzusetzen, sehen sich IT-Administratoren einer überaus komplexen IT-Infrastruktur gegenüber. Die besteht aus einer Vielzahl unterschiedlichster Systeme und grundverschiedenster Anwendungen.
Hinzu kommt, dass nicht jede Schwachstelle mithilfe eines Sicherheitsupdates endgültig geschlossen werden kann. Oft ist es auch so, dass IT-Systeme, für die überhaupt keine Sicherheitsupdates mehr zur Verfügung gestellt werden, weiterhin eingesetzt werden müssen. Schwachstellen, die nicht durch Updates behoben werden können, müssen in Kauf genommen oder anderweitig behandelt werden, beispielsweise mithilfe von Workarounds.
Noch dazu müssen Sicherheitsupdates flächendeckend und innerhalb kürzester Zeit ausgerollt werden, gerade wenn die zu schließenden Lücken bereits aktiv ausgenutzt werden. Eine Herausforderung angesichts immer komplexerer und überdimensionierter IT-Infrastrukturen – selbst für personell gut ausgestattete Abteilungen. Dabei sollte auch nicht vergessen werden, dass die IT in erster Linie für den reibungslosen Betrieb der Systeme verantwortlich ist – Arbeitsroutinen, die dann durch die Einspielung der Sicherheitspatches und die Etablierung neuer Workarounds unterbrochen werden.
Sicherheitslücken als Einfallstor für Cyberangriffe
Dennoch hat der Präsident des BSI recht, wenn er in Sicherheitslücken ein großes Problem sieht, das es zu lösen gilt. Und trotz aller Herausforderungen stimmt es, dass die meisten der oft ausgenutzten Sicherheitslücken geschlossen sein könnten und müssten.
Angesichts von aktuell im Schnitt über 1.000 neu aufkommenden CVEs (Common Vulnerabilities and Exposures) im Monat und der traurigen Gewissheit, dass schon eine unentdeckte Sicherheitslücke zum Einfallstor werden und dem Unternehmen das Genick brechen kann, erscheint die Aufgabe übergroß. Demzufolge müssen Sicherheitslücken also permanent identifiziert werden. Systeme, die heute noch sicher sind, können bereits morgen gravierende Sicherheitslücken aufweisen und zum Risiko für das Unternehmen werden.
Zwei Sicherheitslücken, die in diesem Jahr besonders große Schlagzeilen geschrieben haben, wollen wir uns an dieser Stelle genauer ansehen.
Microsoft Exchange-Server-Hack
Anfang März dieses Jahres schloss Microsoft mit einem außerplanmäßigen Sicherheitsupdate gleich vier Schwachstellen in den Microsoft-Exchange-Server-Versionen 2010 bis 2019. Die zunächst vom Unternehmen selbst als gering eingestufte Bedrohung entwickelte sich innerhalb kürzester Zeit zu einer bis dahin ungeahnten Angriffswelle gegen ungepatchte Exchange-Instanzen.
Das BSI sah sich schließlich genötigt, die Alarmstufe „Rot“ auszurufen, um die Problematik bei den IT-Verantwortlichen von Unternehmen und Behörden entsprechend zu eskalieren, da die Lücke von verschiedenen APT-Gruppen massenhaft ausgenutzt wurde.
Die leichte Ausnutzbarkeit, aber vor allem die weite Verbreitung von Microsofts Exchange Server eröffnete Cyberkriminellen lukrative Geschäftsfelder. Zehntausende Unternehmen setzen bei der elektronischen Kommunikation und der Überprüfung auf schädliche Dateien auf Microsofts Exchange Server. Die Lücken eröffneten Angreifern die Möglichkeit, E-Mails mitzulesen, IT-Systeme mit Ransomware zu verschlüsseln und kompromittierte Rechner zu übernehmen.
Dabei war ein großes Problem, dass Microsoft sich mit der Bereitstellung der wichtigen Sicherheitsupdates zu lange Zeit ließ. Denn informiert über die Schwachstellen hatten die Sicherheitsforscher und Entdecker der Probleme Microsoft bereits am 5. Januar. Hinzu kamen Probleme beim Patchen. Viele konnten die Schwachstellen nicht schließen, weil die bereitgestellten Patches mit älteren kumulativen Updates nicht kompatibel waren.
Die Schätzungen zur Zahl betroffener Unternehmen gehen weit auseinander. Experten vermuten allein in Deutschland zwischen 60.000 und mehreren 100.000 Betroffene. Klar ist dagegen, dass nahezu jedes Unternehmen von der Lücke betroffen und potenzielles Angriffsziel war.
PrintNightmare: Kein Ende in Sicht
Seit Juni dieses Jahres kämpft Microsoft mit einem weiteren Problem, das noch immer kein Ende zu nehmen scheint. Die zahlreichen Schwachstellen im Drucker-Spooler-Dienst des Unternehmens werden inzwischen bereits unter dem Namen „PrintNightmare“ zusammengefasst.
Seither gab es zur Schließung der Schwachstellen zum allmonatlichen Patchday immer neue Updates, die wiederholt neue Probleme mit sich brachten. Nicht nur, dass mithilfe der Updates im Juli die PrintNightmare-Schwachstelle unvollständig gepatcht wurde. Zusätzlich bereiteten die Aktualisierungen weitere Probleme, die häufiger dazu führten, dass Drucker oder einzelne Druckerfunktionen nicht mehr funktionierten.
Mit den August-Updates hat Microsoft das Print-Nightmare-Problem schließlich so gefixt, dass bei der Point- and-Print-Druckerinstallation Administratorenrechte erforderlich wurden, wodurch bei der Aktualisierung zahlreicher Druckertreiber jedes Mal Admin-Rechte auf den einzelnen Clients erteilt werden mussten. Außerdem beklagten viele Nutzer, dass nach Anwendung des Sicherheitsupdates zahlreiche Drucker nicht mehr verbunden wurden.
Nach der Installation der September-Updates auf Druckservern konnten in einigen Fällen die auf dem Server definierten Druckeigenschaften nicht mehr korrekt für Clients bereitgestellt werden, die dann nur noch mit den Standardeinstellungen des Druckers arbeiten konnten. Und auch die Updates im Oktober führten zu neuen Problemen. So konnten nach dem Oktober-Update Neuinstallationen von Druckern mit Internet Printing Protocol (IPP) nicht abgeschlossen werden.
Auch zu Beginn dieses Monats sind die Probleme nicht endgültig behoben. Nach wie vor müssen durch das PrintNightmare streikende Netzwerkdrucker mithilfe eines Workarounds genutzt werden.
Die nicht enden wollenden Probleme bei Microsofts Print-Spooler und die sich immer weiter verschärfende Bedrohungssituation machen klar, wie wichtig eine umfassende Behandlung von Schwachstellen ist.
Warum patchen nicht ausreicht
Immer häufiger kursiert Exploit-Code kurz nach dem Bekanntwerden von Schwachstellen im Internet. Zeitgleich starten bereits groß angelegte Angriffe. Deshalb ist es wichtig, Schwachstellen schnellstmöglich und priorisiert nach Schwere und Ausnutzbarkeit zu beheben. PrintNightmare zeigt aber auch, dass Schwachstellen trotz bereitgestellter Patches häufig nicht sofort geschlossen werden können und anderweitig behandelt werden müssen. Eine Mammutaufgabe, die IT-Abteilungen nicht einmal so nebenher bewerkstelligen können.
Schwachstellen finden und priorisieren
Eine manuelle Überprüfung aller Systeme des Unternehmens – einschließlich der Geräte im Homeoffice – ist schlichtweg nicht möglich. Zudem wäre eine solche Untersuchung ineffektiv und fehleranfällig.
Möglich wird ein kontinuierlicher und flächendeckender Überblick über die Verwundbarkeit von IT-Systemen nur durch den Einsatz eines Vulnerability Managements. Die software-gestützte Schwachstellensuche auf allen IT-Systemen der Infrastruktur garantiert eine lückenlose Identifizierung von Sicherheitslücken, rund um die Uhr, ohne dass spezifische Besonderheiten einzelner Systeme unberücksichtigt bleiben und übersehen werden.
Einen wichtigen Beitrag leistet das Vulnerability Management auch, weil gefundene Schwachstellen entsprechend ihrer Kritikalität und Ausnutzbarkeit bewertet und mit geeigneten Maßnahmenempfehlungen an die IT-Abteilung gemeldet werden, wodurch sie priorisiert abgearbeitet werden können. Wo Updates nicht möglich oder nicht vorhanden sind, werden Handlungsempfehlungen in Form von Workarounds direkt mitgeliefert. Die IT-Abteilung wird dadurch in die Lage versetzt, die Behandlung von Sicherheitslücken mit besonders hohem Gefahrenpotenzial vorzuziehen und Geschäftsrisiken so effizient zu mindern.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de