Anlagentechnik Anlagentechnik
Die Sicherheitslücke Log4j hat IT-Admins zuletzt in Schrecken versetzt. Wir sagen Ihnen, was Unternehmen von Hackern lernen können.
„Warnstufe Rot“ galt im Dezember 2021 für IT-Administratoren: Eine Sicherheitslücke im Java-Dienst Log4j wurde als extrem kritisch eingestuft, weil sie Hackern denkbar einfach Zugriff auf (Firmen-)Systeme ermöglicht – sie mussten dafür nur einen simplen Code generieren.
Das war deshalb so bedenklich, weil Java seit Jahren als bewährte Open Source (also für jedermann frei verfügbare Web-Quelle) in unzähligen Software-Anwendungen integriert ist – und Programmierer einzelne Java-Bestandteile, wie Log4j zum Beispiel, gar nicht kennen.
Natürlich hat ITandTEL die eigenen Systeme sofort gegen die Bedrohung abgesichert und die Überwachung verschärft, um mögliche Angriffe zu erkennen bzw. abzuwehren.
Wenn aber kein System der Welt zu 100 % vor Hackern sicher ist und selbst Profis Risiken nur mit Mühe erkennen: Wie sollten Unternehmen und ihre IT-Admins sich am besten verhalten?
Wenn du den Feind nicht schlagen kannst, verbünde dich mit ihm – das wussten schon alte Kriegsherren. Warum also nicht Hacker freiwillig ins Boot holen und von ihnen lernen?
Sogenannte „White-Hat-Hacker“ führen mit ihrem IT-Wissen nur Gutes im Schilde: Sie decken Sicherheitslücken in Unternehmen auf und geben Strategie-Tipps. Einige davon hat ITandTEL für Sie zusammengetragen.
Der wichtigste Rat gleich vorweg: Werden Sie gern ein bisschen paranoid, wenn es ums Thema Security geht! Die zwei hochriskanten Klassiker sind das Wiederverwenden von Passwörtern und der Einsatz einfacher Methoden, mit denen das Firmen-Netzwerk mit der Außenwelt kommuniziert. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung: Das sind auch für „White Hats“ die zwei größten Hürden, die IT-Admins gegen Angriffe aufbauen können.
Daher: Unternehmen sollten einen Passwort-Manager für Mitarbeiter bereitstellen und eine – idealerweise hardware-basierte – MFA obligatorisch machen. Manche scheuen Passwort-Manager (PM) aus einer Sorge: Wer es schafft, den PM zu knacken, kennt nicht ein Passwort, sondern alle. Der „White-Hat-Tipp“ für die Skeptiker: Legen Sie sich einen kleinen Code zu, der nicht im PM gespeichert ist. Bei jeder Passwort-Abfrage müssen Sie diesen Code zusätzlich manuell eingeben.
Firmen-Netzwerke und Computer werden immer besser abgesichert. Daher nutzen Hacker bevorzugt Social Media, um private Informationen über wichtige Mitarbeiter zu sammeln und auf diesem Umweg Firmendaten zu erschleichen.
White-Hat-Tipp: Unternehmen können Mitarbeiter Tools anbieten, die denen sie ihre Identität online verwalten bzw. entfernen können. Ein Beispiel dafür ist das Tool „DeleteMe“, das Informationen von Datenvermittlungsseiten löscht.
Noch ein „gefundenes Fressen“ für Hacker: Firmen, die Computer und Browser nicht auf dem aktuellen Stand halten. Der „Fall Log4j“ ist ein hervorragender Anlass für eine interne Bestandsaufnahme. Gibt es verwundbare Dienste? Sind alle Sicherheits-Updates aktuell?
Falls (noch) nicht, verkleinern Sie zumindest die Angriffsfläche. Zum Beispiel durch: Zurückfahren von nicht zwingend erforderlichen Funktionen, Reduzieren von Zugriffsrechten und ausgehenden Verbindungen, Einschränken von ausführbaren Programmen. Im Extremfall: Erwägen Sie, einen potenziell verwundbaren Dienst ganz einzustellen, bis ein zuverlässiges Sicherheitsupdate verfügbar ist.
Zusätzlich sollte das interne IT-Team das Monitoring intensivieren: Konzentrieren Sie sich auf das Aufspüren verdächtiger Aktivitäten, die einen erfolgreichen Angriff signalisieren. Hier kann es Sinn machen, gezielt Stolpersteine zu platzieren, die Alarm auslösen, sobald jemand versucht, bestimmte Hosts, Dienste oder Benutzernamen einzusetzen, die es gar nicht gibt.
Empfehlenswert ist auch, den Administratoren-Zugriff zu begrenzen und eine 2-Personen-Anmeldung für sensible Aktionen in diesem Bereich einzurichten.
Sie sind verunsichert oder haben generell Fragen zu aktuellen Cyber-Bedrohungen?
Die ExpertInnen von eww ITandTEL beraten Sie gerne!
Kontaktieren Sie uns!