München, Starnberg, 01. Dez. 2020 - Wie bereits einfache Sicherheitsmaßnahmen beitragen können, Risikien deutlich zu reduzieren; ein Beitrag mit Hinweisen von SentryOne...
Zum Hintergrund: Kleine Fehler, große Schäden… Datendiebstähle sind häufig mit der Vorstellung verbunden, dass Hacker stunden- oder tagelang gegen die Verteidigungssysteme eines Unternehmens kämpfen, um Zugang auf eine Datenbank zu erhalten. Die Wahrheit ist jedoch oft anders. Viele Kriminelle kämpfen nicht mit "Händen und Füßen", sondern suchen schlichtweg mit der Einstellung des geringsten Widerstands, um an ihr Ziel zu gelangen. Oft wird ihnen die Arbeit sogar sehr leicht gemacht, wie einige der nachfolgenden und „berühmten" Fälle von Datendiebstählen zeigen. Kevin Kline, Principal Program Manager, SentryOne (1) hat für Sie im folgenden gelistet, welche Erkenntnisse man daraus mitnehmen kann und welche simplen Sicherheitsmaßnahmen hierzu beitragen können, mögliche Risiken deutlich zu verringern:
- Marriott, 2020: Am 31. März gab der Hotelgigant Marriott bekannt, dass "eine unerwartete Menge an Gästedaten unter Verwendung der Anmeldedaten von zwei Mitarbeitern eines Franchise-Unternehmens abgerufen worden sein könnte". Dabei wurden 5,2 Millionen Kundendaten offengelegt - darunter Namen, Adressen, Telefonnummern, Geburtsdaten und weitere Reiseinformationen. Um Zugang zu gültigen Anmeldedaten zu erhalten, hatte der Hacker demnach kaum mit Widrigkeiten zu kämpfen.
- Marriott hätte nach Ansicht von SentryOne eine Reihe von Maßnahmen ergreifen können – die sowohl kostengünstig als auch einfach zu implementieren gewesen wären – um ein unerlaubtes Eindringen zu verhindern. Die Überprüfung der Logins wäre ein Anfang gewesen. Die Security-Teams hätten damit nachvollziehen können, von welchem Ort aus sich die Personen eingeloggt haben und potenzielle Bedrohungen sofort erkennen können. Eine Multi-Faktor-Authentifizierung hätte außerdem für Abschreckung sorgen können.
- Equifax, 2017: Equifax, eine der größten Auskunfteien für Verbraucherkredite in den USA, berichtete am 17. September 2017, dass die Namen, Adressen, Telefonnummern, Geburtsdaten, Sozialversicherungs-Nummern und Führerscheinnummern von 148 Millionen Amerikanern bei einem Verstoß aufgedeckt worden waren. Darüber hinaus seien 209.000 Kreditkartennummern gestohlen worden. Die Web-Anwendung der Organisation lief auf Open-Source-Software. Das ist an sich kein Problem. Die Tatsache, dass die von Equifax verwendete Software ein bekanntes Sicherheitsproblem aufwies, jedoch keine Patches dafür enthielt, hingegen schon. Das Belassen von installierter Software auf Standard-Installationseinstellungen ist laut SentryOne allgemein eines der größten Einfallstore für Hacker. Die Angreifer konnten eine Fernzugriff-Schwachstelle für sich nutzen. Sie erstellten einen Fernzugang, der sie in das Equifax-Netzwerk brachte, fanden einen Server mit einer Passwortdatei und nutzten diese, um Zugang zu Daten in deren IT-Systemen zu erhalten.
- Wie bei Marriott wäre nach Ansicht von Kevin Kline die Lösung einfach gewesen: Software auf dem neuesten Stand halten, Anwendungen isolieren, keine Passwörter im Klartext und keine Passwortdateien aufbewahren. Die Schwachstelle selbst war innerhalb der Community ein bekanntes Problem, und schon allein dies hätte das Equifax-Sicherheitsteam alarmieren müssen. Mit dem ordnungsgemäßen Patchen aller Anwendungen, wäre eine Reihe an potenziellen Einfallstoren für externe Bedrohungen eliminiert gewesen.
- Capital One, 2019: Es stellt sich die Frage, ob jemals bekannt geworden wäre, dass Capital One am 19. Juli 2019 kompromittiert worden ist, wenn die verantwortliche Hackerin Paige Thompson nicht online damit geprahlt hätte, dass sie in eine der größten Banken der Vereinigten Staaten eingebrochen sei. Die Zahlen dazu: Über 100 Millionen Kreditanträge, 140.000 Sozialversicherungsnummern, 80.000 US-Bankkontonummern und 1 Million kanadische Sozialversicherungsnummern konnten entwendet werden.
Capital One betrieb einen Webserver von Amazon. Da die Bank diesen falsch konfiguriert hatte, war Thompson in der Lage, die Firewall zu durchbrechen und problemlos Privilegien und Zugangsdaten anzufordern. Sobald sie diese hatte, konnte Thompson anfangen, herumzuschnüffeln. Schnell stellte sie fest, dass sie Speicherzugriff hatte und wo sie die unverschlüsselten Datenbank-Backups fand. Dieser Datendiebstahl wurde nicht etwa durch Sicherheitsprobleme der Cloud verursacht. Es war ein reines Konfigurationsproblem. Amazon Web Services teilen ihren Benutzern zwar mit, wie sie ihre Operationen konfigurieren und sichern können. Die Konfiguration bleibt jedoch den Kunden überlassen, da es keine allgemeingültigen Einstellungen für alle Fälle gibt. Capital One hingegen ignorierte einige der grundsätzlichen Empfehlungen und Thompson gelang so der Datendiebstahl ohne große Mühe.
- Wäre der Metadatenserver richtig konfiguriert worden und hätte der Firewall-Account der Webanwendung keinen Zugriff auf Speicherplatz gehabt, wäre Paige Thompsons Vorstoß demnach gestoppt worden. Mit nichts weiter als der richtigen Konfiguration hätten diese Lücken vorab geschlossen werden können.
- Fazit und welche Lehren daraus gezogen werden können
Mit ein wenig mehr Sorgfalt ihren Abläufen hätten all diese Organisationen einen schwerwiegenden Datendiebstahl verhindern können. Schon vier kleine Sicherheitsmaßnahmen tragen laut Kevin Kline dazu bei, ein derartiges Risiko drastisch zu verringern:
Prinzip der geringsten Privilegien: Sowohl Mitarbeiter als auch Dienste wie eine Webanwendung erhalten nur die Privilegien, die zur Erledigung ihrer Routineaufgaben erforderlich sind. Wenn jemand oder etwas bestimmte Zugriffsrechte nicht benötigt, werden sie auch nicht erteilt. Wenn eine Webanwendung zum Beispiel ohne direkten Zugriff auf Speicherdateien auskommt, sollte sie diesen auch nicht haben.
Auditing und Alarmierung: Alles, was Benutzer tun, sollte protokolliert werden, insbesondere Aktivitäten, die nicht unter ihre Routinearbeiten fallen. Nach der Protokollierung sollten die Benutzeraktivitäten überprüft werden, um sicherzustellen, dass sie nur Aufgaben wahrnehmen, zu deren Ausführung sie berechtigt sind. Wenn unautorisiertes oder anormales Verhalten festgestellt wird, wie zum Beispiel das Einloggen in ein System weit außerhalb der normalen Geschäftszeiten, können Security-Teams automatische Warnmeldungen erstellen, um unerwünschte oder unangemessene Aktivitäten verhindern, verfolgen und stoppen zu können.
Privileged Access Management: Derartige Lösungen verwalten sicher die Accounts von Benutzern mit erweiterten Berechtigungen für kritische Ressourcen. Diese Konten sind für Hacker von größerem Wert und damit ein bevorzugtes Ziel. Ihre genaue Überwachung kann sich daher für Security-Teams lohnen.
Code-Überprüfung: Die Überprüfung jeglicher Codes auf Fehler oder schlechte Praktiken, wie zum Beispiel schwache Passwörter, trägt nicht nur zur Beschleunigung und Rationalisierung der Software-Entwicklung bei, sondern hilft auch, potenzielle System-Schwachstellen auf ein Minimum zu reduzieren.
Kevin Kline abschließend: "Die wichtigste Lektion, die aufsehenerregende Datendiebstähle den Unternehmen heute erteilen können, ist folgende: Die Risikominimierung beginnt für Security-Teams bereits bei den Grundlagen. Sich kritisch mit der Konfiguration von Software auseinanderzusetzen und prinzipiell keinen Benutzer oder Service ohne zusätzliche Authentifizierung als vertrauenswürdig zu erachten, sind wesentliche Bestandteile davon."
(1) Das Foto zeigt Kevin Kline, SentryOne, Principal Program Manager (Bildquelle: SentryOne - jetzt SolarWinds**).
** Anmerkung: SolarWinds übernimmt SentryOne (Meldung vom 23. Okt. 2020). "SolarWinds Agrees to Acquire SentryOne Extending the Scale and Depth of Its Database Performance Management Capabilities for Microsoft Data Platform“.
Querverweise: