Top Ten der Cybersecurity-Fehlkonfigurationen

Die NSA und CISA (National Security Agency & Cybersecurity and Infrastructure Security Agency) haben durch Red- und Blue-Team-Assessments sowie durch die Arbeit ihrer Hunt- und Incident-Response-Teams die zehn häufigsten Netzwerkfehlkonfigurationen identifiziert. Diese Fehlkonfigurationen zeigen einen Trend systematischer Schwächen in vielen großen Organisationen -- selbst solchen mit ausgereiftem Sicherheitsniveau -- und unterstreichen, wie wichtig es ist, dass Softwarehersteller Sicherheit von Anfang an in ihre Designprinzipien einbeziehen.

1. Standardkonfigurationen von Software und Anwendungen

Wenn die Standardkonfigurationen von Systemen, Diensten und Anwendungen nicht angepasst werden, können sie unberechtigten Zugriff oder andere schadhafte Aktivitäten ermöglichen. Typische Schwachstellen sind dabei Standardanmeldedaten, voreingestellte Dienstberechtigungen sowie unveränderte Konfigurationseinstellungen.

2. Unzureichende Trennung von Benutzer-/Administratorberechtigungen

Administratoren vergeben mitunter mehrere Rollen an ein einzelnes Konto. Solche Konten haben Zugriff auf eine Vielzahl von Geräten und Diensten, was es Angreifern ermöglicht, sich unbemerkt durch ein Netzwerk zu bewegen, ohne Erkennungsmaßnahmen für Lateral Movement oder Privilege Escalation auszulösen. Die Assessment-Teams haben dabei folgende häufige Fehlkonfigurationen bei der Kontentrennung beobachtet: übermäßige Kontoberechtigungen, zu weitreichende Berechtigungen für Dienstkonten sowie die unnötige Verwendung privilegierter Konten.

3. Unzureichende interne Netzwerküberwachung

Unzureichende Netzwerküberwachung kann insgesamt zu einem mangelhaften Schutz des internen Netzwerks führen und es Angreifern erleichtern, unbemerkt einzudringen und Schaden anzurichten. Umso wichtiger ist es, die Netzwerkkonfiguration regelmäßig zu überprüfen und sicherzustellen, dass alle Sicherheitsmaßnahmen angemessen umgesetzt sind.

4. Fehlende Netzwerksegmentierung

Fehlende oder unzureichende Netzwerksegmentierung bedeutet, dass verschiedene Netzwerkbereiche nicht ausreichend voneinander getrennt sind. Das kann zu erheblichen Sicherheitslücken führen: Ein Angreifer, der Zugriff auf ein Segment erlangt hat, kann unter Umständen auch auf andere Bereiche zugreifen, die nicht für ihn vorgesehen sind.

5. Schlechtes Patch-Management

Fehlkonfigurationen im Bereich des Patch-Managements entstehen, wenn Patches nicht ordnungsgemäß verwaltet werden. Patches sind Software-Updates, die Sicherheitslücken schließen, Fehler beheben oder neue Funktionen hinzufügen. Werden sie nicht zeitnah und systematisch eingespielt, bleiben bekannte Schwachstellen offen und angreifbar.

6. Umgehen von Systemzugriffskontrollen

Diese Kategorie umfasst Schwachstellen in der Konfiguration von Systemen, die es Angreifern ermöglichen, vorgesehene Zugriffskontrollen zu umgehen und sich unautorisierten Zugang zu verschaffen. Das kann auf verschiedene Arten geschehen -- etwa durch das Ausnutzen von Standardpasswörtern, unzureichend eingestellte Berechtigungen oder fehlerhafte Konfigurationen von Firewalls und anderen Sicherheitskomponenten.

7. Schwache oder falsch konfigurierte Mehrfaktorauthentifizierungsmethoden (MFA)

Falsch konfigurierte MFA-Systeme weisen Schwachstellen auf, die es Angreifern ermöglichen, die zusätzliche Sicherheitsschicht zu umgehen und sich unbefugten Zugriff zu verschaffen. Häufige Ursachen sind eine unvollständige Durchsetzung der MFA-Pflicht, unsichere Fallback-Mechanismen oder eine fehlerhafte Integration in bestehende Authentifizierungsprozesse.

8. Unzureichende Zugriffskontrolllisten (ACLs) auf Netzwerkfreigaben und -dienste

Wenn Zugriffskontrolllisten (ACLs) für Netzwerkfreigaben und -dienste nicht angemessen konfiguriert sind, können unbefugte Benutzer oder Systeme auf sensible Daten und Ressourcen zugreifen. Eine ACL ist eine Liste von Berechtigungen, die einem bestimmten Benutzer oder einer Benutzergruppe für eine Datei, einen Ordner oder eine Ressource zugewiesen wird. Sie kontrolliert den Zugriff auf diese Ressourcen und stellt sicher, dass nur autorisierte Benutzer darauf zugreifen können. Sind die ACLs fehlerhaft konfiguriert, können Unbefugte sensible Daten einsehen, ändern oder sogar löschen. Die Folgen reichen von Datenschutzverletzungen über Datenverlust bis hin zu weitreichenden Sicherheitsvorfällen.

9. Schwache Anmeldeinformationen

Schwachstellen bei Anmeldeinformationen entstehen durch Konfigurationsfehler, die es Angreifern ermöglichen, sich unbefugten Zugriff auf ein System oder eine Anwendung zu verschaffen. Sie können verschiedene Formen annehmen:

1. Schwache Passwörter: Wenn Benutzer schwache oder leicht zu erratende Passwörter verwenden, können Angreifer diese ohne großen Aufwand knacken und sich Zugang verschaffen.

2. Standard-Anmeldeinformationen: Viele Systeme und Anwendungen werden mit voreingestellten Zugangsdaten ausgeliefert. Werden diese nicht geändert, lassen sie sich leicht erraten.

3. Fehlende Zwei-Faktor-Authentifizierung: Ohne eine zusätzliche Sicherheitsebene wie die Zwei-Faktor-Authentifizierung können Angreifer mit gestohlenen Zugangsdaten deutlich leichter auf Systeme zugreifen.

4. Fehlende Beschränkungen für Anmeldeversuche: Gibt es keine Begrenzung der Anmeldeversuche, können Angreifer beliebig viele Versuche unternehmen, um sich mit gestohlenen Zugangsdaten anzumelden.

5. Fehlende Überwachung von Anmeldeaktivitäten: Ohne Monitoring der Anmeldeaktivitäten bleiben verdächtige oder ungewöhnliche Anmeldeversuche unbemerkt, sodass sich Angreifer unentdeckt Zugang verschaffen können.

10. Unbeschränkte Codeausführung

Diese Kategorie umfasst Schwachstellen in der Konfiguration von Software oder Systemen, die es einem Angreifer ermöglichen, beliebigen Code auf dem betroffenen System auszuführen. Solche Schwachstellen können durch unsichere Standardeinstellungen, fehlerhafte Berechtigungen oder unzureichende Eingabevalidierungen entstehen.

Ein typisches Beispiel ist eine falsch konfigurierte Webanwendung, die es einem Angreifer ermöglicht, schädlichen Code hochzuladen und auszuführen. In der Folge kann der Angreifer die Kontrolle über das System übernehmen, sensible Daten stehlen oder weitere Angriffe starten.

Um solche Fehlkonfigurationen zu vermeiden, sollten Sie regelmäßig Sicherheitsaudits durchführen und sicherstellen, dass alle Systeme und Software auf dem neuesten Stand sind. Darüber hinaus sollten sichere Konfigurationsrichtlinien implementiert und alle Berechtigungen sowie Zugriffsrechte angemessen eingeschränkt werden.