Sicherheitslücken: Ein Wettlauf gegen die Zeit 

Schwachstellen werden immer schneller ausgenutzt 

29.09.2022 | Die Zeit drängt: Wie der aktuelle Incident Response Report der Sicherheitsforscher von Palo Alto Networks aufzeigt, bleibt nach Bekanntwerden von Sicherheitslücken nur ein kurzes Zeitfenster, um die betroffenen Systeme abzusichern. Im Durchschnitt beginnen bereits nach 15 Minuten die ersten Scans. 

 Angesichts der kontinuierlich steigenden Zahl von CVEs – 2021 wurden mehr als 20.000 CVEs gemeldet – stehen IT-Verantwortliche vor einer schier unlösbaren Aufgabe. Die Uhr tickt und es stellt sich die Frage, wer schneller ist: Admins oder Angreifer?

Alles eine Frage der Zeit: Zero-Day-Lücken

Um in fremde Netzwerke einzudringen, ist den Angreifern jedes Mittel recht. Das gezielte Ausnutzen von Sicherheitslücken rangiert hier, wie der Bericht der Sicherheitsforscher belegt, mit 31 Prozent auf Platz zwei der häufigsten Angriffsmethoden – nur Phishing ist noch beliebter. Als besonders lukrativ für Hacker erwiesen sich in diesem Jahr die Lücken in Microsofts Exchange Server, die mit Abstand am häufigsten für Cyber-Attacken genutzt wurden. Doch auch die als kritisch eingestufte Java-Schwachstelle Log4j bot reichlich Angriffsfläche. 

Wie die Studie des IT-Sicherheitsunternehmens Palo Alto Networks zeigt, erfolgen die Angriffe immer schneller und zielgerichteter. Sobald eine Schwachstelle öffentlich bekannt wird, beginnt der Run aufs offene Scheunentor, sodass Admins kaum noch Zeit haben, die Systeme zu patchen. Im Durchschnitt bleibt zum Schließen der Sicherheitslücken ein Zeitraum von gerade einmal 15 Minuten. Was dann folgt, sind typischerweise die ersten Scans nach ungepatchten und damit verwundbaren Systemen.

In diesem Zusammenhang warnen die Sicherheitsforscher in ihrer Studie vor dem Einsatz so genannter End-of-Life-Produkte: Sobald der Support für eine Softwarelösung eingestellt wird und diese keine Sicherheitsupdates mehr erhält, wird sie zum unkalkulierbaren Risiko. 

Mittlerweile gehen die Cyberkriminellen äußerst systematisch vor und überwachen gezielt die Portale, über die sogenannte Common Vulnerabilities and Exposures (CVE) gemeldet werden. Denn sobald eine CVE-Nummer vergeben wurde, sind die Schwachstellen für die Angreifer ganz einfach aufzufinden. „Bei dem, was nach Bekanntwerden einer Lücke in den einschlägigen Foren los ist, läuft es einem eiskalt den Rücken runter“, erzählt Philipp Schmitt, Security-Experte der LEITWERK AG. „Hier tauschen sich die Hacker über mögliche Angriffsszenarien aus und veröffentlichen Exploit Codes. Die Bedrohung ist massiv.“

Basics der Cybersicherheit 

Um sich nach außen hin bestmöglich abzusichern und die kurze Zeitspanne, die zum Reagieren verbleibt, optimal zu nutzen, müssen Unternehmen jederzeit aktiv für den Schutz ihrer Systeme sorgen.

Dabei spielt ein automatisches Patchmanagement eine zentrale Rolle. Für einen bestmöglichen Schutz vor externen Bedrohungen reicht es nicht aus, einmal im Monat die Systeme auf Schwachstellen zu prüfen und gegebenenfalls zu aktualisieren. Vielmehr gilt es, jederzeit auf dem aktuellen Stand zu sein, da die Täter immer versierter werden und mittlerweile systematisch rund um die Uhr scannen – stets auf der Suche nach einer Schwachstelle, an der sie ansetzen können. „Auffällig ist die Häufung von Attacken an Wochenenden, Brücken- oder Feiertagen“, erklärt Philipp Schmitt. „Die Angreifer verlassen sich darauf, dass an diesen Tagen weniger User im System aktiv sind und sie sich somit länger unentdeckt darin bewegen können.“ 

In dem Zusammenhang ist es auch wichtig zu überprüfen, welche Geräte über das Internet erreichbar sind. „Unternehmen müssen hier auf ein möglichst minimalistisches Prinzip setzen und so wenig Informationen nach außen geben, wie nur möglich“, fasst Schmitt zusammen. Um den Überblick zu wahren, hat sich die Durchführung regelmäßiger Vulnerability-Scans bewährt. Dabei wird das System systematisch – und bei Bedarf auch automatisiert – auf Schwachstellen abgeklopft, die von außen erreichbar sind. Indem der Schwachstellen-Scan das Vorgehen der Cyberkriminellen imitiert, macht er es möglich, den potenziellen Angreifern den entscheidenden Schritt voraus zu sein und eventuelle Lücken zu schließen.

Wohin mit den Datenleichen? 

Eine weitere Schwachstelle in der IT-Infrastruktur von Unternehmen kommt in Form veralteter Datenbanken daher, die mitunter über Jahre hinweg ungenutzt bestehen bleiben, bis sie schließlich zum Sicherheitsrisiko werden. 

Der stetige technische Fortschritt sorgt dafür, dass sich IT-Systeme im Lauf der Jahre weiterentwickeln, ergänzt und verändert werden. Dabei sammelt sich nicht nur eine Unmenge an Daten an, sondern es entstehen auch komplexe Strukturen, die mitunter nur schwer zu überblicken sind. Aus Angst, wichtige Funktionen und Strukturen zu zerstören, werden alte Datenbanken oder auch Adminkonten von Personen, die nicht mehr im Unternehmen sind, deshalb oftmals einfach belassen, wie sie sind. „Datenleichen dürfen nicht einfach ignoriert werden!“, mahnt jedoch LEITWERKs Sicherheitsexperte Philipp Schmitt. Denn das Risiko, dass diese veralteten Datenbestände irgendwann zum Einfallstor für Cyberkriminelle werden, ist immens. 

Um sich bestmöglich vor Schwachstellen zu schützen und Angreifern möglichst wenig Angriffsfläche zu bieten, empfiehlt es sich, einen regelmäßigen Scan der internen Systeme vorzunehmen. Nur so können inaktive Konten zeitnah identifiziert und anschließend durch einen IT-Spezialisten bereinigt werden. Darüber hinaus gibt ein Security Scan Auskunft darüber, welche Nutzer über welche Adminrechte verfügen und welche Zugriffe auf das System erfolgt sind. Weist ein Konto ungewöhnliche Aktivitäten auf, können Unternehmen frühzeitig handeln.