Die Zahl der Einbrüche dürfte letzthin drastisch gesunken sein. Schließlich fällt es selbst dem routiniertesten Langfinger schwer, in eine Wohnung einzusteigen, wenn dort Mama und Papa ihre Home-Offices aufgeschlagen haben, während die Kinder sich mal mehr, mal weniger eifrig dem Homeschooling widmen. Obendrein müsste der wagemutige Eindringling eine Ansteckung fürchten, bieten doch einfache Skimasken bekanntlich nur begrenzten Schutz vor Coronaviren. Schlechte Zeiten also für böse Buben? Nicht ganz, denn im Digitalen floriert das Treiben der Kriminellen – nicht zuletzt gerade wegen des Trends zum Arbeiten von zu Hause aus.
Das Böse ist immer und überall – das wusste die österreichische Kabarettkapelle Erste Allgemeine Verunsicherung schon in den 1980er-Jahren. Gleiches möchte man spontan auch für die Cyberkriminalität annehmen, findet diese doch dank ihres digital gestützten Geschäftsmodells und globaler Vernetzung per Internet jederzeit und weltweit schnellen Zugang zu ihren Opfern. Kaum verwunderlich: Alle Security-Anbieter berichten von einem deutlichen Anstieg von Phishing und Spear-Phishing mit Coronavirus-Bezug.
Einige Forscher merken hier an, dass die Cyberbösen in der Zeit- und Ortswahl durchaus differenziert vorgehen: „Im Laufe des Aprils scheint die Zahl der Malware mit Corona-Bezug nicht nur in Europa, sondern auch in den Vereinigten Staaten und Südafrika zugenommen zu haben“, heißt es zum Beispiel bei Bitdefender. „Diese Bedrohungstelemetrie steht in gewisser Weise im Einklang mit der globalen Entwicklung von SARS-CoV-2.“ Dies zeige, dass die Kriminellen die Entwicklung des Virus weltweit genau beobachten und ihre Kampagnen entsprechend ausrichten, um möglichst viele Opfer zu erreichen.
Cybercrime heißt also: immer und überall, aber mitunter trotzdem selektiv. So ist laut Kaspersky in Remote-Work-Zeiten das beliebte Fernzugriffsprotokoll RDP (Remote Desktop Protocol) verstärkt ins Visier der Kriminellen geraten: In Deutschland habe sich die Zahl der Brute-Force-Angriffe auf RDP von Februar auf März mehr als verdreifacht, von knapp 4,7 Millionen auf über 15 Millionen. In anderen europäischen Ländern beobachte man Ähnliches, so Kaspersky.
In Zeiten sprunghaft gestiegener Beliebtheit von Web-Conferencing-Services wie GoToMeeting, Jitsi, Teams, Webex und Zoom üben auch diese Services magische Anziehungskraft auf die dunkle Seite der digitalen Welt aus, wie diverse Security-Anbieter schildern. „Besonders auffällig sind dabei E-Mails, beispielsweise zu Zoom und Cisco Webex, die entweder die Nutzer vor einer Limitierung des Zugangs aufgrund einer angeblichen Schwachstelle der Applikation warnen oder über ein vorgeblich verpasstes Meeting informieren“, erläutert Proofpoint. „Hierbei ist das Ziel der Cyberkriminellen, dass ihre Opfer die entsprechenden Zugangsdaten preisgeben – natürlich auf einer gefälschten Website.“ SonicWall wiederum warnt vor Cryptomining-Malware, die sich als Zoom-Installationsdatei ausgibt, um mit den Ressourcen des befallenen Rechners Kryptowährungen zu schürfen.
Zoombombing
Insbesondere die einfach bedienbare US-Videokonferenzlösung Zoom erlebte letzthin einen meteoritenhaften Aufstieg – gefolgt von einem Meteoritenschauer von Kritik wegen mangelnder Sicherheit und Vernachlässigung des Datenschutzes. Die Verbreitung der leicht erratbaren Zoom-Meeting-IDs ermöglichte das sogenannte „Zoombombing“, also das Eindringen in Zoom-Meetings, um dort unerwünschte Inhalte zu veröffentlichen. Das US-Unternehmen sah sich gezwungen, einen 90-Tage-Plan aufzusetzen, um die Vielzahl der Lücken und Schwachstellen in den Griff zu bekommen .
Just in diesen videokonferenzlastigen Tagen meldete CyberArk eine Sicherheitslücke in Microsofts ebenfalls sehr beliebtem Konferenz-Service Teams: Laut CyberArk Labs konnte ein Angreifer eine kompromittierte Subdomain nutzen und ein schädliches GIF an ahnungslose Team-Benutzer senden, um alle mit diesem Konto verbundenen Daten abzugreifen. In der Folge hätte er den Angriff schnell auf andere Konten und Gruppen ausweiten können. CyberArk kooperierte mit Microsoft im Rahmen einer Coordinated Disclosure, und Microsoft löschte die fehlkonfigurierten DNS-Einträge.
In diesem Fall ist das also nochmal gut gegangen. Malwarebytes erinnert allerdings daran, dass auch APT-Gruppen (Advanced Persistent Threat) – also gut ausgestattete und teils regierungsnahe Angreiferorganisationen, die gezielt gegen bestimmte Opfer vorgehen – Corona als Lockmittel für sich entdeckt haben. Die Angriffstechniken reichen laut den Forschern von Template-Injektionen und bösartige Makros bis zu RTF-Exploits und schändlichen LNK-Dateien. Malwarebytes geht davon aus, dass diese Bedrohungsakteure in den kommenden Wochen und Monaten die Corona-Krise weiterhin für gezielte Angriffe ausnutzen werden.
Datenschutz in Gefahr
Neben Unternehmensnetzen und Nutzer-Credentials steht auch der Datenschutz unter Beschuss. So wurde hierzulande zur Verfolgung der Corona-Ausbreitung zunächst über eine Tracing-App mit zentraler Datenhaltung diskutiert, obwohl Sicherheitsexperten und Datenschützer dringend zu einer dezentralen, anonymisierten Architektur raten. Um solche dezentrale Tracing-Apps zu ermöglichen, arbeitet sogar Apple mit seinem Erzmarktbegleiter Google zusammen.
Man muss das erst mal sacken lassen: Apple kooperiert mit Google – das hätt’s B.C. (Before Corona) nicht gegeben. Die beiden US-Konzerne einigten sich darauf, iOS und Android über APIs für Tracing-Apps zu öffnen, damit diese auf die BLE-Funktionalität (Bluetooth Low Energy) der Mobilgeräte zugreifen können. Dieser Ansatz erschwert dank wechselnder Geräte-IDs die personalisierte Zuordnung der Nutzerdaten. Der Endanwender muss dabei lediglich dem Smartphone-Lieferanten seines Vertrauens vertrauen – dem ist er aber eh schon längst mit Haut und Haaren ausgeliefert.
Bedenklich: Zeitgleich legten laut einem Bericht der Nachrichtenagentur Reuters Hersteller von Überwachungs- und Spionagesoftware diversen Regierungen nahe, man sollte doch die Tracking-Technik aus dem jeweils eigenen Hause zur Totalüberwachung der Bevölkerung einsetzen. Hier geht es um Anbieter wie Cellebrite, Intellexa, NSO Group oder Verint, die ihre Technik normalerweise zu Überwachungszwecken an die Polizei und, nun ja, sagen wir: sonstige Behörden mal mehr, mal weniger demokratisch legitimierter Regierungen verkaufen.
Israel nutzt laut Medienberichten bereits eine solche Massenüberwachung von TK-Daten und Bewegungsprofilen, um Corona-Infizierte aufzuspüren. Laut Reuters ist Indien, derzeit geführt von einer nationalistisch-hinduistischen Regierung, eines der Ziele des US-Anbieters Verint. Und laut einer Reuters-Quelle arbeitet Intellexa daran, derlei Überwachungstechnik in zwei westeuropäischen Ländern zu installieren.
Manch einem Leser mag es egal sein, ob er von Apple, Google oder einem Spyware-Spezialisten überwacht wird. Man stelle sich allerdings vor, was alles passieren könnte, wenn eine zentrale, landesweite Datenbank mit Bewegungsprofilen und Gesundheitsdaten aller Deutscher in die Hände eines egomanischen Möchtegern-Despoten oder eines „lupenreinen Demokraten“ gerät, wie man sie heute in Amerika und auch in Europa findet.
Schutz für Unternehmensinfrastrukturen
Doch zurück zu den Risiken für die Unternehmensnetze. Was Security-Experten zur Absicherung des nunmehr deutlich stärker verteilten Arbeitens aus den Home-Offices der Nation raten, darüber hat LANline schon online und in Ausgabe 5 berichtet. Das Wichtigste dazu aus CIO-Sicht fasst Security-Spezialist Palo Alto Networks wie folgt zusammen: erstens einen sicheren Remote-Zugang gewährleisten, zweitens „alles messen“ (mit „alles“ ist gemeint: Metriken von der Systemverfügbarkeit bis hin zur Nutzung von Collaboration-Tools), drittens IT-Hilfe überall verfügbar machen (bis hin zum On-/Offboarding von Mitarbeitern per Self-Service und Fernzugriff) sowie viertens „kommunizieren, kommunizieren, kommunizieren“.
Das BSI-Empfehlungspapier „Tipps für sicheres mobiles Arbeiten“ bündelt die wichtigsten Maßnahmen für sicheres verteiltes Arbeiten angenehm kompakt. Die wichtigsten IT-Schlagwörter lauten hier VPN (Virtual Private Network), IAM (Identity- und Access-Management) mit MFA (Mehr-Faktor-Authentifizierung), Zero-Trust und – zumindest wenn es nach dem Analystenhaus Gartner geht – neuerdings auch SASE (Secure Access Service Edge).
Dass ein VPN die Basis für sichere Remote-Arbeit bildet, ist jedem Administrator sofort klar. So überrascht es nicht, dass VPN-Ausrüster von dramatisch gestiegener Nachfrage berichten. „Bei uns hat sich die Zahl der Anfragen versechsfacht“, erklärte Patrick Oliver Graf, CEO des Nürnberger VPN-Spezialisten NCP Engineering, gegenüber LANline. „Die Nachfrage stammt von Unternehmen wie auch Behörden aller Größen und reicht bis zu einer Anfrage von 50.000 zusätzlichen Pay-per-Use-Lizenzen. Generell stellen wir angesichts der Pandemiesituation eine massive Bereitschaft fest, schnell zu agieren.“
Laut Falko Binder, Netzwerkexperte bei Cisco, setzte die Anforderung, die VPN-Umgebung möglichst schnell auzubauen, viele Unternehmen unter starken Handlungsdruck. Er berichtete von einem typischen Fall, bei dem ein Finanzdienstleister mit mehreren 10.000 Mitarbeitern zwar bereits ein Drittel der Mitarbeiter für Home-Offices ausgerüstet hatte, nun aber plötzlich auch die restlichen zwei Drittel schnellstmöglich von zu Hause aus arbeiten lassen wollte.
Laut Binder sind hier rein softwarebasierte Lösungen, die sich auf Standard-x86-Servern installieren lassen, anstelle klassischer Appliances das Mittel der Wahl. Diese Einschätzung bestätigen auch Security-Anbieter wie NCP oder der Münchner VPN-Spezialist sayTEC, die ebenfalls auf rein softwarebasierte Lösungen setzen und deren schnelle Skalierung betonen.
Eine Alternative zum klassischen VPN liefern „VPN as a Service“-Angebote wie zum Beispiel das Cloud-VPN von Reddoxx. Auch solche Managed Services erfreuen sich laut NCP-Chef Graf zunehmender Beliebtheit: „Für VPN as a Service setzen wir auf Managed-Services-Partner wie die Telekom, und auch hier haben wir eine stark gestiegene Nachfrage festgestellt.“
Wie gut es derzeit Angestellte im Kurzarbeit-erprobten Deutschland haben, zeigt der Vergleich mit jenem Land, das der Autor dieser Zeilen aufgrund der dortigen maroden Zentralregierung gerne als „Trumpistan“ bezeichnet: „Unsere Niederlassung in den USA berichtet hingegen von gegenteiligen Effekten“, so Graf. „Hier fragen Unternehmen, ob es möglich sei, die Subscriptions auszusetzen, weil man aufgrund der Krise zahlreiche Mitarbeiter entlassen hat.“
Identität überprüfen, Verhalten überwachen
Ein VPN ist nutzlos, wenn nicht feststeht, dass der Endanwender auch der ist, der zu sein er vorgibt. Hier rät Sven Kniest, Zentraleuropachef bei Okta, zu cloudbasiertem Identity- und Access-Management. Okta unterstütze hierfür MFA gemäß FIDO2-Standard. Dieser Standard sorgt für bestmögliche Authentifizierung des Endanwenders, indem dynamisch die jeweils sichersten verfügbaren Mechanismen zum Einsatz kommen – also nur notfalls Nutzername und Passwort, wo immer möglich ein Fingerprint-Scanner, Gesichtsabgleich oder Iris-Scan, wie bei Smartphones oder Windows Hello üblich. Mittels Biometrie und Oktas FastPass könne man sogar eine passwortlose Authentisierung umsetzen, so Kniest – ein derzeit vieldiskutierter IAM-Ansatz.
Kniest sieht sein Unternehmen – laut Gartner Marktführer vor MIcrosoft, Ping Identity, IBM und Oracle – für rapide steigenden IAM-Bedarf gut gerüstet, biete man doch mit Okta Identity Cloud einen cloudnativen Dienst, den man kürzlich modularisiert und zur Plattform ausgebaut habe. Über APIs oder Konnektoren arbeite er mit über 6.000 Apps zusammen. Die Lösung skaliere extrem hoch, für einen US-Kunden habe man 30 Millionen Nutzer auf der Plattform.
Als Idealfall erachtet Kniest die Kombination von IAM mit einer Zero-Trust-Architektur, also dem laufenden Monitoring der Nutzer-Sessions auf rollenkonformes Verhalten hin mit sofortiger automatischer Reaktion bei Verstößen. Auf diesen Reifegrad bewegen sich viele Unternehmen allerdings erst noch zu, so Kniest: „Zero-Trust ist eine Reise.“ Insbesondere die Integration von IAM in ATP-Lösungen (Advanced Threat Protection) sei hier wichtig, „auch um zum Beispiel bei einer Very Attacked Person (besonders häufig angegriffene Personen in Unternehmen, d.Red.) schnell alle Verbindungen kappen zu können“.
Nathan Howe, Chefstratege bei Zscaler, sieht beim Thema Zero-Trust insbesondere Anbieter cloudbasierter Security-Sofware – wie eben das eigene Unternehmen – im Vorteil: „Zero-Trust-basierte Lösungsansätze sind rasch implementiert und erlauben schnellen und sicheren Zugriff auf Unternehmensanwendungen ohne die Kosten, die mit dem Deployment von neuer Hardware und deren Lieferzeiten einhergehen“, so Howe.
Secure Access Service Edge
Letzten Sommer brachte Gartner mit SASE (Secure Access Service Edge) ein neues Konzept ins Spiel. SASE (gesprochen wird das Akronym wie das englische Wort „sassy“, also „frech“) beschreibt die Konvergenz von Netzwerk- und Security-Services – WAN-Optimierung, Content Delivery Networking, SD-WAN etc. einerseits, Netzwerk- und Datensicherheit inklusive Abwehr von Bedrohungen andererseits – zu einem einheitlichen Service-Angebot: „SASE-Fähigkeiten werden als Service auf der Grundlage der Identität der Entität, des Echtzeit-Kontextes, der Unternehmenssicherheits-/Konformitätsrichtlinien und der kontinuierlichen Bewertung des Risikos/Vertrauens während der Sitzungen bereitgestellt“, so Gartner. „Identitäten von Entitäten können mit Personen, Personengruppen (Zweigstellen), Geräten, Anwendungen, Diensten, IoT-Systemen oder Edge-Computing-Standorten verknüpft sein.“ Gartner verspricht sich von SASE als Cloud-Service ein einfacheres Netzwerk- und Security-Management in dynamischen, hybriden IT-Umgebungen.
Mehrere Security-Anbieter, die sich hier positionieren, berichteten von einem wachsenden Markt für solche Angeboten in Corona-Zeiten. „Wir sahen in den letzten Wochen eine stark angestiegene Nachfrage nach VPN-Remote-Access-Lösungen beziehungsweise der Erweiterung bestehender Systeme“, so Dr. Klaus Gheri, General Manager Network Security bei Barracuda. „Bei der Erweiterung empfehlen wir, einen Access-Point in der Public Cloud hochzufahren, von dem aus sich dann Verbindungen ins eigene Netz schlagen lassen. So kann der Ausbau nutzungsbasiert und zeitlich begrenzt erfolgen, was Kosten spart. Da all unsere Firewall-Produkte eine kombinierte Sicherheits- und SD-WAN-Funktionalität bieten, ist das für uns der übliche Anwendungsfall.“ Der neue Begriff „SASE“ sei hingegen „nur wenigen Anwendern geläufig“.
Laut Nathan Howe ist die Nachfrage nach SASE-Services „durch die aktuelle Situation stark gestiegen“. Deshalb habe man in der Zscaler Cloud im April den Meilenstein von 100 Milliarden Transaktionen pro Tag erreicht. Denn in klassischen VPNs sehe man sich derzeit damit konfrontiert, dass Home-Office-Nutzer Cloud- und Internet-Traffic über das Unternehmens-RZ leiten müssen, was die Unternehmensnetze an ihre Grenzen bringe.
Frank Limberger, Sicherheitsexperte bei Forcepoint, bestätigt: „Je größer die Cloudausrichtung in einem Unternehmen ist, desto wichtiger ist eine direkte Verbindung zwischen Home-Office und den Cloudapplikationen mittels SASE. Denn SASE dient als ideale und benutzergerechte Verbindungsplattform zwischen dem User und den Cloud-Anwendungen und zudem als IT-Security-Zentrale mit allen erforderlichen IT-Sicherheitsmodulen.“ Erst beides zusammen sorge für schnelle Zugriffe ebenso wie für sicheres Arbeiten.
Es gibt aber auch zurückhaltendere Stimmen: „Bei Gartners SASE-Konzept muss man erst einmal sehen, wie es sich entwickelt, um den Bedarf für den deutschen Markt ermitteln zu können“, so NCP-Chef Graf. Er sei skeptisch, ob es wirklich nötig ist, die gesamte Funktionalität, die Gartner unter SASE fast, zusammenzuführen.
Deutlich zuversichtlicher zeigt sich der CEO in einem anderen Punkt: „Mobiles Arbeiten – vom Home-Office aus, aber auch mit Mobilgeräten wie Smartphones – wandelt sich vom Mitarbeiter-Benefit zum festen Bestandteil einer Business-Continuity-Strategie. Dafür muss jetzt ein rechtlicher Rahmen gesetzt werden, und die Unternehmen müssen die Home-Office-Ausstattung ihrer Mitarbeiter stärker in den Blick nehmen.“
Vielleicht, so die Hoffnung vieler IT-Fachleute, könnte die aktuelle Krise letztlich noch ihr Gutes haben: Es besteht heute immerhin die Möglichkeit, dass sie sowohl dem modernen, flexiblen Arbeiten als auch aktuellen Security-Konzepten zum Durchbruch verhilft. Dann könnte man eines Tages sagen: Remote Work ist immer und überall.
(Dieser Beitrag erschien erstmals in LANline 06/2020.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 