Meldung

Nur vermeintlich sicher: Offline-Systeme

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme erhalten, wie etwa Entwicklungssysteme. Ein Trugschluss, wie Security-Experten von Sophos erläutern.
Eine fehlende Internetanbindung macht einen Rechnern nicht unbedingt sicherer.
So manches Unternehmen lässt sogar seine Endpoint-Schutz-Lizenzen auslaufen, in dem Glauben, dass diese ohnehin keinen zusätzlichen Nutzen bringen. Diese Denkweise rührt daher, dass der Endpoint-Schutz (in der IT-Welt jedenfalls) darauf ausgelegt ist, Malware zu stoppen.

Einige Unternehmen halten den Schutz von Endpoints daher nicht für erforderlich, wenn das System isoliert und leicht wiederherzustellen ist oder keine wichtigen Daten enthält. Auch werden Nutzer-Workstations/Laptops oftmals für weniger wichtig erachtet als Server und daher nur letztere geschützt. Tatsächlich trafen laut dem "2021 Active Adversary Playbook" von Sophos [1] 54 Prozent der Angriffe ungeschützte Systeme.

Sowohl der Endpoint-Schutz als auch die Art und Weise von Angriffen haben sich in letzter Zeit drastisch verändert. Cyberkriminelle gehen mit ausgeklügelten Taktiken vor, bei denen sie selbst auf häufig verwendet Verwaltungstools (etwa PowerShell), Skriptumgebungen wie JavaScript, Systemeinstellungen wie geplante Aufgaben und Gruppenrichtlinien, Netzwerkdienste (beispielsweise SMB und Admin Shares und WMI) und gängige Anwendungen (wie TeamViewer, AnyDesk oder ScreenConnect) zurückgreifen. So vermeiden sie, dass sie Malware einsetzen müssen, um ihre Ziele zu erreichen. Techniken, die früher als "Nation State" und "Advanced Persistent Threat" (APT) galten, könne heute selbst von technisch unversierten Angreifern eingesetzt werden.

Es geht ums Geld
Das Ziel der Attacken ist jedoch immer noch weitgehend dasselbe: Geld zu verdienen. Dies kann durch den Einsatz von Ransomware (oft mit anschließender Datenexfiltration und Löschung von Sicherungskopien, um die Zahlung des Lösegelds dringlicher zu machen), das Schürfen von Kryptowährungen, die Beschaffung von personenbezogenen Daten zum Verkauf oder Industriespionage geschehen. Als Reaktion darauf hat sich auch der Endpoint-Schutz weiterentwickelt. Er erkennt und verhindert nun auch bösartiges Verhalten und bietet gleichzeitig detaillierte Transparenz, Kontext und Tools zur Bedrohungssuche.

In der Regel starten Cyberkriminelle ihren Angriff von einem System aus, das über einen Command-and-Control-Kanal auf Port 443 (schwer zu identifizierender, anomaler, verschlüsselter Datenverkehr) mit einem Trojaner oder Stager als Vermittler verbunden ist. Dabei ist es nicht wichtig, ob es sich um einen Server oder ein Benutzersystem handelt. Alle verfügen über ähnliche Kernfunktionen und der Angreifer kann auf die gleiche Weise wie der Anwender selbst auf diese Systeme zugreifen.

Auch Systeme ohne Internetzugang gefährdet
Für einen Angriff auf das System über das LAN stehen dem Angreifer gleich mehrere Techniken zur Verfügung, wie zum Beispiel Remote Desktop Protocol (RDP), Secure Shell (SHH) oder Windows Remote Management (WinRM). Angesichts der vielen zur Verfügung stehenden Optionen ist es erforderlich, auch Systeme ohne Internetzugang mit Endpoint-Schutz auszustatten. Wenn die blinden Flecken durch den Einsatz von Endpoint Security überall beseitigt sind, haben Angreifer weniger Möglichkeiten, sich zu verstecken.

Das ist wichtig, denn wenn sich Angreifer letztlich  auf einem Systemen verstecken, können sie tage-, wochen- oder sogar monatelang unentdeckt bleiben und im Stillen Informationen über die Umgebung, Benutzer, Netzwerke, Anwendungen und Daten sammeln.
17.09.2021/dr

Tipps & Tools

Umfrage: IT-Komplexität untergräbt Cybersicherheit [26.10.2021]

Vier von fünf IT-Führungskräften in Deutschland sehen die Komplexität in ihren Unternehmen auf einem zu hohen Level. Das führe unter anderem zu besorgniserregenden Risiken für die Cybersicherheit und den Datenschutz. Auch insgesamt prognostizieren die Profis die Sicherheitslage mehrheitlich pessimistisch und ghehen von einer Zunahme von entsprechenden Vorfällen aus. [mehr]

Ist mein Passwort Diebesgut? [22.10.2021]

Alle gut gemeinten Ratschläge zur Gestaltung sicherer Passwörter helfen wenig, sobald das Kennwort einmal gehackt wurde und infolgedessen jene Tools füttert, mit denen Cyberkriminelle beim Hacken vollautomatisch alle möglichen Zeichenkombinationen ausprobieren. Ob das bei Ihren Zugangsdaten der Fall ist, können Sie dank des kostenfreien Diensts von "Pwned Passwords" einfach selbst kontrollieren. [mehr]

Fachartikel

Security mit Shielded-VMs und Host Guardian Service (3) [18.10.2021]

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen