Fort Knox oder offenes Scheunentor? Wenn Firmeninhaber davon ausgehen, dass ihr Netzwerk sicher ist, haben sie die Rechnung oft ohne ihren Netzwerkadministrator gemacht. Verizon Business hat 90 Sicherheitslücken untersucht, die 285 Millionen relevante Vorfälle Datensätze ans Licht brachten.

Erstaunlich ist, wie oft diese Sicherheitslücken das Resultat der Arbeit von Netzwerkadministratoren waren, die vergessen hatten, ihre Systeme zu sichern - vor allem die nicht unternehmenskritischen Server. Peter Tippett von Verizon Business untersucht Sicherheitsverfehlungen bereits seit 18 Jahren. Er zählt einfache Tricks auf, mit denen ein Netzwerkadministrator die Mehrzahl dieser Lücken beseitigen kann.

1. Standardpasswort bei allen Netzwerkgeräten

Es ist unglaublich, wie viele Unternehmen bei Servern, Switches, Routern oder Netzwerkgeräten das gleiche Standardpasswort - üblicherweise "Passwort" oder "Admin" - nach wie vor besteht. "Die meisten CIOs glauben, dass das bei ihnen nicht der Fall ist, doch Tippett sieht es jeden Tag.

So sollte jedes einzelne Device mit einer IP-Adresse im Netzwerk auf seine Angreifbarkeit hin überprüft werden und nicht nur die kritischen oder mit dem Internet verbundenen Systeme. Dann sollte das Standardpasswort ausgetauscht werden. Bei der Überprüfung durch Verizon stellte sich heraus: Mehr als die Hälfte aller sicherheitsrelevanten Vorfälle waren das Resultat eines Netzwerkdevices mit Standardpasswort.

2. Das gleiche Passwort im Netz

IT-Abteilungen nutzen oft das gleiche Passwort für alle Server und viele Mitarbeiter kennen dieses Passwort. Es mag ein gutes Passwort, bestehend aus einer komplizierten Reihenfolge von Zahlen und Buchstaben sein, aber sobald es auf verschiedene Systeme verteilt wird, sind alle diese Systeme gefährdet. So könnte zum Beispiel ein eingeweihter Mitarbeiter das Unternehmen wechseln und das Passwort dort wieder verwenden.

Auch fremde Dienstleister, die nicht unternehmenskritische Systeme verwalten, können ein Sicherheitsrisiko sein. Im schlimmsten Fall kann ein Hacker, der das Passwort eines der Server geknackt hat, auf viele Systeme zugreifen und mehr Schaden anrichten.Tippett rät: IT-Abteilungen brauchen einen vorgeschriebenen automatischen oder manuellen Prozess, der sicherstellt, dass auf verschiedenen Servern nicht das gleiche Passwort verwendet wird. Die Passwörter der einzelnen Server sollten dokumentiert und von einer Person in einen Safe gesperrt werden.

3. Fehler in SQL-Datenbanken

Die meisten Hacking-Attacken - 79 Prozent - betreffen SQL-Datenbanken, die mit einem Web-Server verbunden sind. Der Weg, den die Hacker einschlagen, um in das System zu gelangen, ist die Eingabe eines SQL-Kommandos in ein Web-Formular. Wenn die Website sauber codiert ist, sollte sie SQL-Kommandos nicht akzeptieren.
Laut Tippet ist der einfachste Weg, um diese Fehler auszuschalten, die Installation einer Application-Firewall mit "Lernmodus". Diese verfolgt, in welcher Form die Nutzer Daten in ein Feld auf der Website eintippen. Nach dem Lernmodus sollte die Firewall in den "Ausführungsmodus" geschaltet werden, um die Annahme von SQL-Kommandos zu verweigern. "Wenn ein Unternehmen 100 seiner Server testet, kann es möglich sein, dass sie auf 90 Prozent der Maschinen solche SQL-Eingabeproble findet", sagt Tippet.

Oftmals beheben Firmen das Problem nur auf ihren unternehmenskritischen Servern. Dabei vergessen sie, dass die meisten Hacker über nicht kritische Systeme in Netzwerke eindringen. Tippett empfiehlt den Netzwerkadministratoren, ihre Netzwerke zu segmentieren. Server sollten mittels Zugangskontrolllisten davon abgehalten werden, mit unwichtigen Devices zu kommunizieren. Dieses Vorgehen halte einen umfangreichen Datenzugang durch einen Hackerangriff über SQL-Kommandos ab.

4. Ungenügender Aufbau der Zugangskontrolllisten

Der einfachste Weg sicherzustellen, dass im Netzwerk nur die richtigen Systeme miteinander kommunizieren, ist das Erstellen einer Zugangskontrolliste für die einzelnen Netzwerksegmente. Sollen zum Beispiel Geschäftspartner Zugang über VPN nur zu zwei bestimmten Servern haben, muss über die Zugangskontrolle sichergestellt werden, dass auch nur diese beiden Server für diese freigegeben sind. Kommt trotzdem ein Hacker über diesen externen Zugang in das Netzwerk, kann er wenigstens nur auf die Daten dieser beiden Server zugreifen.

Sauber ausgeführte Zugangskontrollisten haben 66 Prozent der gefährdeten Systeme bei der im vergangenen Jahr von Verizon Business durchgeführten Untersuchung vor einem Zugriff geschützt. Der Grund, warum CIOs dieses einfache Vorgehen oft nicht befolgen ist, weil die Router als Firewalls genutzt werden müssen, und viele Netzwerkadministratoren das nicht wollen.

5. Remote access und Management-Software nicht sicher

Ein von Hackern viel genutzter Weg ist die Verwendung einer Remote-Access- und Management-Software. Oftmals fehlt es diesen Anwendungen bereits an den Basissicherheitsvorkehrungen, wie guten Paßwörtern. Um diesen Angriffen vorzubeugen, sollten alle IP-Adressen des Systems von außen nach nicht authorisierten Aktivitäten über PCAnywhere, VNC oder SSH durchsucht werden. Authorisierter Zugriff sollte über Tokens oder Passwörter erkennbar gemacht werden.

Eine andere Möglichkeit, nicht gewünschte Remote-Accress-Zugriffe festzustellen, ist, den Datenverkehr der nach außen kommunizierenden Router zu beobachten.
Dieses Problem war im Verizon-Business-Report immerhin für 27 Prozent der gefährdeten Systeme verantwortlich.

6. Sicherheitslücken in Webapplikationen

Knapp 80 Prozent aller Hacker-Attacken sind das Resultat von Sicherheitslücken in Webapplikationen. Netzwerkadministratoren wissen, dass das System an dieser Stelle am besten angreifbar ist. "Das Hauptproblem ist, dass wir wie die Verrückten die kritischen Web-Applikationen überprüfen, dabei aber vergessen, die Geräte, die nicht mit dem Web kommunizieren, außer Acht lassen. Die bösen Jungs wissen nicht, ob es sich um eine unternehmenskritsche Appliance handelt oder nicht, sie gehen den einfachsten Weg, um an irgendwelche Daten zu gelangen. Sind sie einmal im Firmennetz, können sie sich Zeit nehmen, um sich zu bedienen", sagt Tippett.

7. Server nicht ausreichend vor Malware geschützt

Malware auf Servern ist für 38 Prozent der Sicherheitsverletzungen verantwortlich. Malware wird überwiegend über externe Zugriffe installiert und dient dem Zugriff auf interne Daten. Da es sich oft um auf Systeme zugeschnittene Programme handelt, wird diese Bedrohung nicht von Antiviren-Software erkannt. Um Malware wie Keylogger oder Spyware im eigenen System zu finden, kann ein Host-basiertes Intrusion-Detection-System auf jedem einzelnen Server genutzt werden.

Tippet schlägt ein einfaches Verfahren vor: Es sollte verboten sein, zusätzliche Software auf den Servern zu installieren - ein Horrortrop für Systemadministratoren.

8. Unerwünschen Datenverkehr auf Routerseite unterbinden

Eine besondere Art von Malware ist die Installation einer Hintertür oder eines Eingabefensters auf dem Server. Ein Weg, um dies zu verhindern ist die Aufteilung des Netzwerks mittels entsprechender Zugangskontrolllisten (siehe Punkt 4). Auf diesem Weg können Server daran gehindert werden, Daten zu versenden, die sie nicht senden sollten. So sollte über einen Mail-Server nur Mail- und nicht etwa SSH-Verkehr laufen.
Als Alternative könnten Router daran gehindert werden, unerwünschte Pakete auszusenden.

9. Kritische Daten verwalten

Die meisten Unternehmen glauben, den Speicherort kritischer Daten, wie Kreditkarteninformationen, Mitarbeiterdaten oder Ähnliches zu kennen. Und sie belegen diese Server mit dem höchsten Sicherheitslevel. Aber häufig befinden sich diese Daten an einem ganz anderen Ort im Netzwerk, wie zum Beispiel im Backup-Center oder in der Software-Abteilung. Da sind sie wieder: die Server, vermeintlich nicht unternehmenskritische Daten enthalten und die den meisten Angriffen ausgesetzt sind.

Ein einfacher Weg, um festzustellen, an welchem Speicherort sich sensible Daten befinden, ist es, das Netzwerk ständig abzuscannen. "Üblicherweise schleusen wir einen Sniffer in das Netzwerk ein, mit dem wir die kritischen Datensätze entdecken", so Tippet.

10. Ein gutes Beispiel: Sicherheitsstandards der Kreditkartenindustrie

Manche Unternehmen setzen PCI-Sicherheitsstandards (Payment Card Industry) bereits ein, vor allem auf Servern, auf denen Kreditkartendaten abgelegt sind; oft aber nicht auf den anderen Servern, die diese sensiblen Daten verwalten. Obwohl Kreditkartendaten in der Untersuchung von Verizon Business 98 Prozent der Sicherheitsvorfälle betrafen, setzten lediglich 19 Prozent der Unternehmen den PCI-Standard ein. (bw)