Sichere Windows-Infrastrukturen
IT-Security – spätestens seit den massiven Cyberangriffen in 2021 ein allgegenwärtiges Thema. Standardisierte Sicherheitssysteme reichen heute nicht mehr aus. Um sich zu schützen, muss man vorher die Angriffsmethoden kennen. In Zusammenarbeit mit dem Rheinwerk Verlag haben wir für Sie die häufigsten Attacken auf Windows-Systeme und Netzwerke zusammengefasst.
Inhaltsverzeichnis:
Phishing-Attacken
Was ist eine Phishing-Mail?
Woran erkennen Sie eine Phishing-Mail?
Wie können Sie sich schützen?
Was ist eine Phishing-Mail? Woran erkennen Sie eine Phishing-Mail? Wie können Sie sich schützen? Ransomware
Was ist Ransomware?
Wie funktioniert Ransomware?
Wie schützen Sie sich gegen Ransomware?
Was ist Ransomware? Wie funktioniert Ransomware? Wie schützen Sie sich gegen Ransomware? Kennwörter
Warum Angreifer nicht zwingend das tatsächliche Passwort brauchen
Wirksamer Kennwortschutz beinahe unmöglich
Sicherheit durch Kennwort-Alternativen
Warum Angreifer nicht zwingend das tatsächliche Passwort brauchen Wirksamer Kennwortschutz beinahe unmöglich Sicherheit durch Kennwort-Alternativen Angriffe auf das Netzwerk
Wie funktionieren Netzwerkangriffe?
Sicherheitslücke Netzwerkprotokolle
So schützen Sie sich vor Netzwerkangriffen
Wie funktionieren Netzwerkangriffe? Sicherheitslücke Netzwerkprotokolle So schützen Sie sich vor Netzwerkangriffen Pass the Hash und Pass the Ticket
Was versteht man unter Pass the Hash?
Schutz gegen Pass the Hash
Was ist ein Pass-the-Ticket-Angriff?
Was versteht man unter Pass the Hash? Schutz gegen Pass the Hash Was ist ein Pass-the-Ticket-Angriff? Angriffe auf Cloud-Dienste
Große Herausforderung: Ständige Online-Verfügbarkeit
Gefahren und Schutz der Cloud
Grenzen der Multi-Faktor-Authentifizierung
1. Phishing-Attacken
Was ist eine Phishing-Mail?
Eine Phishing-Attacke ist nach wie vor die am meisten verwendete Angriffsmethode.(…) Eine Phishing-Mail ist eine E-Mail-Nachricht, die den Empfänger dazu verleiten soll, auf einen falschen Internet-Link zu klicken, oder die den Benutzer dazu auffordert, Anmeldedaten zu übermitteln.
In den Anfangsjahren waren diese Nachrichten durch schlechte sprachliche Qualität sehr leicht zu erkennen. Heute sind die Mails täuschend echt und schwer als Fälschung zu identifizieren.
Woran erkennen Sie eine Phishing-Mail?
Wie können Sie sich schützen?
E-Mail-Adresse checken:
Stimmen Absender und Adresse überein?
Verdächtig ist, wenn Absendername und E-Mail-Adresse nicht übereinstimmen. Seien Sie auch alarmiert, wenn mehrere Ihnen unbekannte Empfänger in der An-Zeile stehen.
Handelt es sich um eine eigene E-Mail-Domäne?
Sparkassen, andere Bankinstitute und Unternehmen verwenden ihre eigenen Domänen als Absenderadresse (z.B. Vorsicht ist geboten, wenn die Mail auf allgemeinen Domänen endet (z.B. @online.de)
Verdächtig ist, wenn Absendername und E-Mail-Adresse nicht übereinstimmen. Seien Sie auch alarmiert, wenn mehrere Ihnen unbekannte Empfänger in der An-Zeile stehen. Sparkassen, andere Bankinstitute und Unternehmen verwenden ihre eigenen Domänen als Absenderadresse (z.B. Vorsicht ist geboten, wenn die Mail auf allgemeinen Domänen endet (z.B. @online.de) Keine Links klicken: Zusätzlich sollten Sie bei sensiblen Seiten niemals die Links aus E-Mails verwenden, bevor Sie diese geprüft haben. Nutzen Sie stattdessen die gespeicherte Adresse in der Favoritenliste oder geben Sie die gewünschte URL direkt in die Adressleiste des Browsers ein und nicht in das Suchfenster der Suchmaschine.
Auch gekürzte Links (z.B. bit.ly) sind mit Vorsicht zu genießen. Dahinter könnte sich entweder eine gefälschte Webseite verbergen, die Anmeldeinformationen (z. B. für Online-Dienste) abfangen will, oder eine präparierte Webseite, auf der Schadsoftware aktiv ist, die dann den Computer des Aufrufers infizieren und möglicherweise übernehmen will.
Zusätzlich sollten Sie bei sensiblen Seiten niemals die Links aus E-Mails verwenden, bevor Sie diese geprüft haben. Nutzen Sie stattdessen die gespeicherte Adresse in der Favoritenliste oder geben Sie die gewünschte URL direkt in die Adressleiste des Browsers ein und nicht in das Suchfenster der Suchmaschine. Auch gekürzte Links (z.B. bit.ly) sind mit Vorsicht zu genießen. Dahinter könnte sich entweder eine gefälschte Webseite verbergen, die Anmeldeinformationen (z. B. für Online-Dienste) abfangen will, oder eine präparierte Webseite, auf der Schadsoftware aktiv ist, die dann den Computer des Aufrufers infizieren und möglicherweise übernehmen will. Anrede prüfen: Ein weiteres verdächtiges Merkmal ist das Fehlen einer Anrede.
Ein weiteres verdächtiges Merkmal ist das Fehlen einer Anrede. Sich Zeit lassen: Oft wird in Phishing-Mails versucht, Zeitdruck zu erzeugen, sodass der Empfänger dazu verleitet wird, sofort tätig zu werden, und nicht intensiv prüft, ob es sich um eine valide Nachricht handelt. So steht in diesen Mails z.B.: „Zahlungsverzug – Bitte prüfen Sie dies heute.“
Oft wird in Phishing-Mails versucht, Zeitdruck zu erzeugen, sodass der Empfänger dazu verleitet wird, sofort tätig zu werden, und nicht intensiv prüft, ob es sich um eine valide Nachricht handelt. So steht in diesen Mails z.B.: „Zahlungsverzug – Bitte prüfen Sie dies heute.“ Betreff und Inhalt vergleichen: Ein reißerischer Betreff soll Sie nur dazu bringen, die Mail zu lesen. Stimmen Inhalt der Mail und Betreff nicht überein, sollten Sie vorsichtig sein.
Ein reißerischer Betreff soll Sie nur dazu bringen, die Mail zu lesen. Stimmen Inhalt der Mail und Betreff nicht überein, sollten Sie vorsichtig sein. Vorsicht bei Mails von Banken: Ein großer Teil der Phishing-Mail beziehen sich auf Banken oder andere Zahlungsdienstanbieter. Dabei versuchen die Angreifer das Opfer dazu zu bringen, relevante Bankdaten wie Zugangsdaten, Kontodaten oder Kreditkarten preiszugeben. Die Angreifer wollen entweder die erbeuteten Daten weiterverkaufen oder selbst die Daten nutzen, um an Geld zu gelangen oder Waren im Internet zu bestellen. „Interessant2 sind diese Mails besonders dann, wenn Sie gar nicht Kunde der Bank sind, aber aufgefordert werden, Ihre Daten zu verifizieren. Banken und andere Institutionen werden Sie vermutlich niemals dazu auffordern, Ihre Anmeldedaten zu überprüfen oder zu übermitteln.
Ein großer Teil der Phishing-Mail beziehen sich auf Banken oder andere Zahlungsdienstanbieter. Dabei versuchen die Angreifer das Opfer dazu zu bringen, relevante Bankdaten wie Zugangsdaten, Kontodaten oder Kreditkarten preiszugeben. Die Angreifer wollen entweder die erbeuteten Daten weiterverkaufen oder selbst die Daten nutzen, um an Geld zu gelangen oder Waren im Internet zu bestellen. „Interessant2 sind diese Mails besonders dann, wenn Sie gar nicht Kunde der Bank sind, aber aufgefordert werden, Ihre Daten zu verifizieren. Banken und andere Institutionen werden Sie vermutlich niemals dazu auffordern, Ihre Anmeldedaten zu überprüfen oder zu übermitteln. Keine Anhänge öffnen: Neben den E-Mails, die über Links das Opfer in die Falle tappen lassen, werden auch öfter Mails versendet, die den Schadcode bereits mitbringen. Dieser wird häufig in ausführbarem Code (z. B. in Skripten) versteckt, und die Icons der Dateien werden entsprechend gefälscht. In solchen Nachrichten werden oft sehr hohe Geldbeträge angegeben, um den Druck zu erhöhen, den Anhang zu öffnen. Wenn Sie diesen Mail-Anhang öffnen und ausführen, kann es sein, dass entweder der Schadcode direkt enthalten ist oder dass eine kleine Routine auf präparierte Webseiten geht und von dort zusätzliche Schädlinge nachlädt und installiert.
Neben den E-Mails, die über Links das Opfer in die Falle tappen lassen, werden auch öfter Mails versendet, die den Schadcode bereits mitbringen. Dieser wird häufig in ausführbarem Code (z. B. in Skripten) versteckt, und die Icons der Dateien werden entsprechend gefälscht. In solchen Nachrichten werden oft sehr hohe Geldbeträge angegeben, um den Druck zu erhöhen, den Anhang zu öffnen. Wenn Sie diesen Mail-Anhang öffnen und ausführen, kann es sein, dass entweder der Schadcode direkt enthalten ist oder dass eine kleine Routine auf präparierte Webseiten geht und von dort zusätzliche Schädlinge nachlädt und installiert. Antivirenlösung installieren: Stellen Sie sicher, dass Ihre Antivirenlösung aktiv ist und eventuell enthaltene Schadsoftware erkennt. Ein Filter auf Ihrem Mail-Server kann dabei helfen, Phishing-Mails und Spam-Mails herauszufiltern und von den Anwendern fernzuhalten.
2. Ransomware
Was ist Ransomware?
In den letzten Jahren gab es immer wieder Wellen von Angriffen mit sogenannter Ransomware. Das Ziel dieser Angriffe war es, die Daten auf den Systemen der Opfer zu verschlüsseln und damit Geld zu erpressen. Ob die Daten nach der Zahlung entschlüsselt werden können, bleibt jedoch fraglich. Die Zahlung des Geldes erfolgt meist in Bitcoin. Der Angreifer versucht zusätzlichen Druck aufzubauen, indem sich der zu zahlende Preis im Laufe der Zeit erhöht.
Wie funktioniert Ransomware?
Das große Dilemma bei Ransomware besteht darin, dass dies im Kontext des Benutzers erfolgt und potenziell alle Dateien gefährdet sind, auf die der Benutzer Zugriff besitzt, also sowohl lokale Dateien auf dem Computer als auch Daten, die auf externen Laufwerken auf Servern gespeichert sind. Das Ausführen im Kontext des Benutzers bedeutet, dass die Schadsoftware durch den Benutzer ausgeführt wird und die Rechte verwendet, die er besitzt. Es muss also nicht erst eine Schwachstelle auf dem Computer gefunden werden, um die Schadsoftware zu starten.
Wenn sich ein Benutzer eine Ransomware auf den Rechner herunterlädt und ausführt, werden alle Dateien (lokal und über das Netzwerk) verschlüsselt, auf die er Zugriff hat. Die bekanntesten Ransomware-Angriffe der vergangenen Jahre waren WannaCry, Petya und NotPetya. Es gibt aber zahlreiche andere Versionen, die den gleichen Schaden anrichten können.
Wie schützen Sie sich gegen Ransomware?
Aktueller Virenscanner: Aktuelle Virenscanner finden die bekannten Verschlüsselungstrojaner. Sollten jedoch neuere Versionen erscheinen oder bekannte Versionen so modifiziert werden, dass sie vom Virenscanner nicht mehr erkannt werden, besteht das Risiko, dass der Verschlüsselungstrojaner ausgeführt wird und ein sehr großer Schaden entstehen kann.
Aktuelle Virenscanner finden die bekannten Verschlüsselungstrojaner. Sollten jedoch neuere Versionen erscheinen oder bekannte Versionen so modifiziert werden, dass sie vom Virenscanner nicht mehr erkannt werden, besteht das Risiko, dass der Verschlüsselungstrojaner ausgeführt wird und ein sehr großer Schaden entstehen kann. Datensicherung: Als Schutz dient – neben dem Virenscanner – eine regelmäßig durchgeführte und getestete Datensicherung. Die Datensicherung sollte auf einem Laufwerk oder Medium gespeichert sein, auf das die Benutzer und Admins (!Man stelle sich vor ein Admin führt eine Ransomware aus!) nicht so einfach zugreifen können.
Als Schutz dient – neben dem Virenscanner – eine regelmäßig durchgeführte und getestete Datensicherung. Die Datensicherung sollte auf einem Laufwerk oder Medium gespeichert sein, auf das die Benutzer und Admins (!Man stelle sich vor ein Admin führt eine Ransomware aus!) nicht so einfach zugreifen können. Ausführen von Dateien verbieten: Zusätzlich können Sie für den Benutzern das Ausführen von nicht erwünschten Dateien verbieten. Dazu können Sie entweder Richtlinien für die Softwareeinschränkung oder AppLocker verwenden, um das Ausführen von Anwendungen aus nicht erlaubten Quellen zu verhindern.
Zusätzlich können Sie für den Benutzern das Ausführen von nicht erwünschten Dateien verbieten. Dazu können Sie entweder Richtlinien für die Softwareeinschränkung oder AppLocker verwenden, um das Ausführen von Anwendungen aus nicht erlaubten Quellen zu verhindern. Schutzmechanismen der Hersteller nutzen: Speicherhersteller wie NetApp bieten ebenfalls Schutzmechanismen an, die erkennen – und verhindern –, wenn eine große Anzahl von Dateien gleichzeitig geändert (verschlüsselt) werden soll. Microsoft bietet diese Art von Schutz auch für Daten an, die auf OneDrive-Ordnern in der Cloud gespeichert werden.
3. Kennwörter
Warum Angreifer nicht zwingend das tatsächliche Passwort brauchen:
Kennwörter waren schon immer eine der einfachsten Methoden für Angreifer, Zugang zu Systemen zu erhalten. Je einfacher oder kürzer ein Kennwort ist, desto leichter ist es, das Kennwort zu erraten oder aber ein Kennwort zu erraten, das den gleichen Hashwert besitzt wie das eigentliche Kennwort.
Die meisten Systeme verwenden Hashwerte, um die Anmeldeinformationen zu prüfen. Dabei wird aus dem eingegebenen Kennwort eine Prüfsumme (Hashwert) gebildet und dieser dann übertragen. Die Generierung der Hashwerte erfolgt über sogenannte Falltür-Algorithmen, die sicherstellen, dass aus dem Hashwert das Kennwort nicht zurückberechnet werden kann. Da die Anzahl der zur Verfügung stehenden unterschiedlichen Hashwerte endlich ist (z. B. bei SHA256 sind es 2^256 unterschiedliche Hashwerte), aber die Anzahl der möglichen Kennwörter unendlich ist, müssen mindestens zwei unterschiedliche Kennwörter existieren, die den gleichen Hashwert ergeben.
Dieser Umstand wird als Kollision bezeichnet. Ein Angreifer muss also nicht das tatsächliche Kennwort erraten, sondern nur ein Kennwort finden, das den gleichen Hashwert ergibt.
Wirksamer Kennwortschutz beinahe unmöglich
Es gibt mittlerweile fertige Listen mit Hashwerten, die z. B. das „Erraten“ von Kennwörtern mit bis zu acht Zeichen in sehr geringer Zeit ermöglichen. Diese Listen werden als Rainbow-Tables bezeichnet. Alle gängigen Kennwort-Tools bieten die Möglichkeit, diese Tabellen zu verwenden. Sollte das Kennwort mit einem Rainbow-Table nicht herausgefunden werden können, bleibt eventuell nur eine Brute-Force-Attacke. Dabei wird jede mögliche Kombination von Zeichen ausprobiert. Abhängig von der Länge des Passworts und der zur Verfügung stehenden Rechenleistung des Angreifers kann eine Brute-Force-Attacke sehr lange dauern.
Je nachdem, gegen welches System der Angreifer den Angriff laufen lässt, ist eine Rainbow-Attacke oder eine Brute-Force-Attacke eine sehr „laute“ Aktion, die auf den Zielsystemen sehr viele Fehler protokollieren wird. Nutzt der Angreifer eine Offline-Methode für den Angriff (z. B. mit einer Datensicherung), ist es jedoch sehr schwer bzw. unmöglich, diesen Angriff zu erkennen.
Sicherheit durch Kennwort-Alternativen
Es gibt immer mehr Bestrebungen der Softwarehersteller, auf ein System ohne Kennwörter umzustellen. Die Benutzer sollen dann andere Formen der Authentifizierung wie Multi-Faktor oder Biometrie verwenden, um die Schwäche einer reinen Kennwortanmeldung zu beheben.
Weiterbildung mit Büchern und Seminaren von Rheinwerk Dieser Artikel basiert auf dem Buch ▸Sichere Windows-Infrastrukturen von Peter Kloep und Karsten Weigel, erschienen im Rheinwerk Verlag (ISBN 978-3-8362-7321-3). Peter Kloep leitet zudem das gleichnamige ▸Rheinwerk Seminar im April 2022.
4.Angriffe auf das Netzwerk
Wie funktionieren Netzwerkangriffe?
Eine andere Möglichkeit, um Ihre Systeme anzugreifen, ist das Netzwerk als solches. Ihre Computer kommunizieren untereinander und mit Serversystemen in aller Regel über Netzwerkverbindungen, die meist kabelgebunden sind oder Wireless LAN (WLAN) nutzen. Bei den LAN-Verbindungen (LAN, Local Area Network) sind die Kabel meist in Kabelkanälen verlegt. Weitere Kabel liegen häufig in abgehangenen Decken, sodass Mitarbeiter und Besucher die Kabel nicht sehen. Dies ist zwar ein Vorteil, da alles „aufgeräumt“ aussieht, birgt aber das Risiko, dass jemand Manipulationen an den Kabeln vornehmen kann, ohne dass dies sofort auffällt.
Es gibt einige Angriffsmethoden, die im lokalen Netzwerk durchgeführt werden können. Neben dem Mitschneiden von Informationen mithilfe von Netzwerkscannern oder -sniffern wie Wireshark oder dem Message Analyzer können Daten, die über das Netzwerk übertragen werden, mitgelesen werden. Sogar Dateien, die übertragen werden, können aus den einzelnen Paketen wieder zusammengesetzt werden, sofern der Datenverkehr nicht verschlüsselt wird.
Es besteht also das Risiko, dass Daten von Unbefugten abgerufen werden können. Sie sollten den Zugang zum Netzwerk so absichern, dass nur bekannte und befugte Geräte angeschlossen werden können.
Sicherheitslücke Netzwerkprotokolle:
Ein weiteres Risiko besteht im Einsatz von teilweise sehr alten Netzwerkprotokollen, die von Haus aus nicht sicher sind. Zu diesen Protokollen gehört unter anderem das ARP-Protokoll (ARP, Adress Resolution Protocol). Das ARP-Protokoll ist im lokalen Subnetz dafür zuständig, dass die IP-Adresse des Computers in die MAC-Adresse (MAC, Media Access Control) übersetzt wird.
In Netzwerken, die auf IPv4 basieren, findet die Kommunikation im lokalen Subnetz auf Grundlage der MAC-Adressen statt. Dazu schickt der Absender der Daten einen Broadcast an alle angeschlossenen Systeme im Subnetz, und zwar in Form eines Broadcast-Pakets. In diesem Paket fragt der Sender nach der MAC-Adresse, die zu der Netzwerkkarte bzw. dem Computersystem gehört, mit dem der Sender kommunizieren möchte. Der Besitzer der MAC-Adresse wird dem fragenden System antworten, und der Absender wird die IP-Adresse und die zugehörige MAC-Adresse im ARPCache speichern.
Sobald ein Computer Kontakt zu einem anderen System im gleichen Subnetz aufbaut, wird diese Tabelle aufgebaut. Die Broadcast-Abfragen zum Aufbau der Tabelle sind in keiner Art und Weise geschützt.
Stellen Sie sich einmal vor, ein Computersystem im Subnetz schickt Ihnen folgende Information: „Übrigens, wenn du mal mit dem Router reden willst, hier ist die MACAdresse.“ Die MAC-Adresse, die mitübermittelt wird – übrigens ohne, dass das Opfer angefragt hat – ist die MAC-Adresse eines Computers, von dem der Angriff ausgeführt wird. Ein zweites Paket wird an den Router gesendet mit dieser Information: „Übrigens, wenn du mit dem Opfer reden willst, hier ist die MAC-Adresse.“ Auch hier wird die MAC-Adresse des Angreifer-PCs verwendet. Die beiden Systeme speichern diese (gleiche) MAC-Adresse in ihrem Cache. Ab sofort werden jedes Mal, wenn diese beiden Systeme miteinander reden wollen, die Datenpakete an den Angreifer gesendet, der die Pakete dann inspizieren kann und anschließend weiterleitet. Diese Art von Angriff wird als Man-in-the-Middle-Angriff bezeichnet.
Ein Tool, mit dem dies sehr leicht durchgeführt werden kann, ist Ettercap. Ettercap gibt es als separaten Download und es ist auch Teil der Kali-Distribution. Bei Ettercap werden die beiden Ziele (Targets) ausgewählt und dann wird die MITM-(Man-in-the-Middle-)Attacke gestartet. Ein MITM-Angriff wäre auch zwischen dem DNS-Server und dem Router sehr effektiv, um die DNS-Antworten zu manipulieren, die an die Clients gesendet werden. So könnte man die Benutzer auf gefälschte oder manipulierte Systeme umleiten und dort z. B. Anmeldeinformationen abgreifen.
Die Protokolle ARP und DNS sind sehr alt und bieten in ihren ursprünglichen Versionen keinerlei Sicherheit.
So schützen Sie sich vor Netzwerkangriffen:
Kernkomponenten definieren: Der effektivste Schutz gegen ARP-Angriffe ist die Definition der kritischen Kern-Komponenten wie der Router und die Verwendung eines IDS (Intrusion Detection Systems), das erkennt, wenn ein sogenanntes ARP-Announcement (eine ARP-Ankündigung) gesendet wird, obwohl niemand danach gefragt hat.
Der effektivste Schutz gegen ARP-Angriffe ist die Definition der kritischen Kern-Komponenten wie der Router und die Verwendung eines IDS (Intrusion Detection Systems), das erkennt, wenn ein sogenanntes ARP-Announcement (eine ARP-Ankündigung) gesendet wird, obwohl niemand danach gefragt hat. DNS-Security verwenden: Zum Absichern von DNS-Informationen können Sie – zumindest für interne Ressourcen – das Protokoll DNSSec (DNS-Security) verwenden, bei dem die Anfragen digital signiert werden und somit sichergestellt werden kann, dass die DNS-Informationen von einem vertrauenswürdigen DNS-Server stammen.
5. Pass the Hash und Pass the Ticket
Was versteht man unter Pass the Hash?
Bei einem Pass-the-Hash-Angriff erbeuten die Angreifer unverschlüsselte Anmeldeinformationen in Form von Hashwerten und verwenden diese, um sich anschließend als derjenige zu authentifizieren, von dem sie die Daten gestohlen haben.
Diese Art von Angriff hat in den letzten Jahren rapide zugenommen, da zum einen die Werkzeuge, um solche Angriffe durchzuführen, zugänglich wurden (Windows Credential Editor, Mimikatz) und zum anderen sehr viele Administratoren (immer) noch keine Schutzmechanismen gegen diese Art von Angriff installiert haben.
Schutz gegen Pass the Hash:
Neben dem Einsatz eines Tier-Modells und der Verwendung der Schutzmechanismen von Windows 10 (z. B. Credential Guard) können Sie sich einfach und effektiv gegen diese Art von Angriff schützen: Bei diesem Angriff kann der Angreifer – sofern er Anmeldeinformationen eines Domänen-Administrators erbeuten kann oder einen Domänencontroller kompromittieren hat– ein Kerberos-Ticket erstellen, das 10 Jahre gültig ist. Bei einigen der verfügbaren Schutzmechanismen, die im Betriebssystem bereitgestellt werden, müssen Sie prüfen, in welchen Editionen die Funktionen verwendbar sind. Einige der Features sind – wie z. B. Credential Guard – nur in der Enterprise-Edition von Windows 10 verfügbar.
Microsoft hat ein Whitepaper veröffentlicht, das eine Vielzahl von weiteren Information bereithält.
Sie sollten nach Möglichkeit keine Authentifizierungs- bzw. Zugriffsmethoden verwenden, die am Ziel wiederverwertbare Anmeldeinformationen (Reusable Credentials) hinterlassen. So sind z. B. eine lokale Anmeldung und das Verbinden eines Netzlaufwerkes Methoden, die ohne Credential Guard wiederverwendbare Anmeldemethoden hinterlassen, die ein Angreifer verwenden kann, wenn er sie erbeutet. Die Verwendung der Remote-PowerShell oder der Zugriff mithilfe von Verwaltungskonsolen hinterlässt keine dieser Anmeldeinformationen am Ziel.
Was ist ein Pass-the-Ticket-Angriff?
Bei einem Pass-the-Ticket-Angriff kompromittiert der Angreifer einen Server, auf den die Anwender zugreifen und bei dem sich die Benutzer authentifizieren. Dies kann ein Anwendungsserver wie etwa ein SharePoint-Server oder ein Webserver sein. Der Angreifer fängt die Anmeldeinformationen der Anwender ab und versucht, mit diesen Informationen auf andere Ressourcen zuzugreifen.
6. Angriffe auf Cloud-Dienste
Große Herausforderung: Ständige Online-Verfügbarkeit
Cloudbasierte Dienste sind auf dem Vormarsch, und immer mehr Kunden „gehen in die Cloud“. Eine Herausforderung an die Sicherheit ist die ständige Online-Verfügbarkeit der Cloud-Systeme. Dadurch können Angreifer diese Systeme Tag und Nacht attackieren.
Gefahren und Schutz der Cloud:
Blacklists: Cloud-Anbieter schützen den Zugriff auf die Systeme mithilfe von Blacklists (IP-Adressen von Computern, die zu kontrollierten Botnetzen gehören) und blockieren den Zugriff von Systemen, die zu dieser Liste gehören. Alternativ muss – wenn eine Anmeldung von unbekannten Systemen erfolgt oder wenn von anderen geografischen Standorten aus zugegriffen wird – eine zusätzliche Art und Weise der Authentifizierung verwendet werden.
Cloud-Anbieter schützen den Zugriff auf die Systeme mithilfe von Blacklists (IP-Adressen von Computern, die zu kontrollierten Botnetzen gehören) und blockieren den Zugriff von Systemen, die zu dieser Liste gehören. Alternativ muss – wenn eine Anmeldung von unbekannten Systemen erfolgt oder wenn von anderen geografischen Standorten aus zugegriffen wird – eine zusätzliche Art und Weise der Authentifizierung verwendet werden. Sicherer Verwaltungs – Computer : Die Cloud-Dienste müssen aber auch von irgendwo administriert und eingerichtet werden. Hier kann ein mögliches Sicherheitsproblem entstehen. Sie sollten sicherstellen, dass der Computer, von dem aus Sie Ihre Cloud-Dienste verwalten und einrichten, die höchsten Sicherheitsanforderungen erfüllt und entsprechend als gehärtete PAW (Privilege Admin Workstation) installiert und betrieben wird.
Die Cloud-Dienste müssen aber auch von irgendwo administriert und eingerichtet werden. Hier kann ein mögliches Sicherheitsproblem entstehen. Sie sollten sicherstellen, dass der Computer, von dem aus Sie Ihre Cloud-Dienste verwalten und einrichten, die höchsten Sicherheitsanforderungen erfüllt und entsprechend als gehärtete PAW (Privilege Admin Workstation) installiert und betrieben wird. Multi-Faktor-Authentifizierung: Bei allen möglichen Zugriffen, die auf Kennwörtern basieren, sind Keylogger ein mögliches Risiko. Diese Geräte gibt es in unterschiedlichen Bauformen und sie können so verbaut und verwendet werden, dass sie nicht leicht zu erkennen sind. Ein Keylogger kann meist sehr große Datenmengen in Form von Tastatureingaben speichern. Dadurch kann ein Angreifer sehr leicht Zugangsdaten und Kennwörter erbeuten. Hier sollte eine Multi-Faktor-Authentifizierung verwendet werden, um das Risiko zu reduzieren.
Grenzen der Multi-Faktor-Authentifizierung
Bedenken Sie aber bitte, dass eine Multi-Faktor-Authentifizierung nicht das Allheilmittel ist: Stellen Sie sich einmal vor, Ihr Computer, mit dem Sie Ihren Cloud-Zugang administrieren, wird kompromittiert und ein Angreifer kann sich dort einnisten.
Nun melden Sie sich bei Ihrem Cloud-Anbieter an und verwenden eine Multi-Faktor-Authentifizierung. Danach ist die Verbindung zwischen Ihrem Computer und dem Cloud-Anbieter „offen“ und kann verwendet werden. Damit kann auch ein möglicher Angreifer auf Ihrem System die Verbindung über bekannte Routinen (Power-Shell oder andere Schnittstellen) unbemerkt verwenden.
Grundsätzlich ist die Multi-Faktor-Authentifizierung in Verbindung mit einer gehärteten Arbeitsstation aber ein guter Schutz. Eine Multi-Faktor-Authentifizierung verhindert, dass der Angreifer eine erneute unbemerkte Authentifizierung von einem fremden Rechner ausführen kann.
Webinar: IT Sicherheit 2022 Mehr Infos zum Thema IT-SicherheitWebinar:
— Redaktion In unserem TKmag legen wir großen Wert darauf, alle Artikel von unseren Experten schreiben zu lassen. Aus diesem Grund gibt es den Redaktions-Account: Unter diesem Namen stellen wir alle Artikel ein, die von unseren Mitarbeitern ohne eigenen Account verfasst wurden.
Das könnte Sie auch interessieren
Brute-Force-Angriff: So schützen Sie sich gegen Passwortdiebe
Zugriff durch „rohe Gewalt“: Bei einem Brute-Force-Angriff versuchen Cyberkriminelle, das richtige Passwort zu einem Account zu erraten. Dabei nutzen sie nicht etwa ausgeklügelte Hacks, sondern probieren systematisch zufällige Zeichenfolgen und häufig benutzte Passwörter aus. Lesen Sie in unserem Artikel, welche Methoden sie dabei verwenden und wie Sie als Nutzer Ihr Risiko minimieren.
Online-Shops, Plattformen und auch interne Netzwerke am Arbeitsplatz basieren meist auf passwortgesicherten Konten. 150 Accounts besaß der durchschnittliche US-amerikanische Internetnutzer 2017. Um sich unberechtigten Zugriff zu verschaffen, verwenden Hacker oft die trivialste Methode: Sie versuchen, das Passwort zu erraten. Das funktioniert so wie bei einem Fahrraddieb, der bei einem Zahlenschloss alle möglichen Zahlenkombinationen testet, bis er die richtige herausfindet.
Smart-TV-Sicherheit: So schützen Sie Ihren Fernseher
Wenn Sie mehr über die Sicherheit von Smart-TVs erfahren möchten, dann lesen Sie unsere tipps+tricks zum Thema.
Smart-TV-Sicherheit: So schützen Sie Ihren Fernseher
Smart-TVs mit Anschluss ans Internet sind aus vielen Wohnzimmern nicht mehr wegzudenken. Neben nützlichen Features gibt es allerdings auch potenzielle Sicherheitslücken und Möglichkeiten, ungewollt Daten an Dritte weiterzugeben. Welche Gefahren es genau gibt und wie Sie sich davor schützen können, erklären wir Ihnen im folgenden Artikel.
Smart-TV: Welche Gefahren gibt es?
Smart TVs bringen Funktionen eines Computers oder Smartphones ins Wohnzimmer. Sie können im Internet surfen, Apps downloaden und teilweise sogar Videoanrufe tätigen. Daher können diese Geräte, analog zu Computern, Ziel von Spionage oder Schadsoftware werden. Zum einen drohen Angriffe von Hackern auf schlecht gesicherte Systeme oder auf HbbTV (Hybrid Broadcast Broadband TV), zum anderen die ungewollte Preisgabe von Nutzerdaten an Hersteller oder TV-Sender. Laut des BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt es zwar aktuell noch keine Anzeichen für große Cyber-Attacken auf Smart-TVs, trotzdem sind die folgenden Schutzmaßnahmen empfehlenswert.
Hinweis: Set-Top-Boxen, Blu-Ray-Player und Spielekonsolen haben oftmals ähnliche Funktionen wie Smart-TVs. Auch hier ist ein vorsichtiger Umgang mit Onlinefunktionen ratsam.
Smart-TV schützen – so geht's
Installieren Sie regelmäßig Updates: Halten Sie Ihre Smart-TV-Software aktuell. Installieren Sie automatisch angebotene Updates oder schauen Sie in Ihrem Gerät nach der Update-Funktion. Leider stellen viele Hersteller nach einer gewissen Zeit keine Software-Updates mehr zur Verfügung. Eventuelle Sicherheitslücken könnten auf Ihrem Smart-TV dann offen bleiben.
Halten Sie Ihre Smart-TV-Software aktuell. Installieren Sie automatisch angebotene Updates oder schauen Sie in Ihrem Gerät nach der Update-Funktion. Leider stellen viele Hersteller nach einer gewissen Zeit keine Software-Updates mehr zur Verfügung. Eventuelle Sicherheitslücken könnten auf Ihrem Smart-TV dann offen bleiben. Webcams und Mikrofone abschalten: Manche Smart-TVs bieten Webcams oder Sprachsteuerung an. Schalten Sie Kameras und Mikrofone ab oder deaktivieren die Sprachsteuerung, um nicht selbst beobachtet oder abgehört zu werden.
Manche Smart-TVs bieten Webcams oder Sprachsteuerung an. Schalten Sie Kameras und Mikrofone ab oder deaktivieren die Sprachsteuerung, um nicht selbst beobachtet oder abgehört zu werden. Schalte HbbTV ab: HbbTV gilt als Nachfolger des Teletextes. Auf den meisten Fernsehern wird dieses Angebot mit einem Druck auf den roten Knopf aktiviert. Sie können damit Informationen zum laufenden Programm oder zusätzliche Inhalte wie Mediatheken abrufen. Dabei überträgt HbbTV jedoch auch Daten über Ihr Fernsehnutzungsverhalten an die TV-Sender. Mittlerweile gilt HbbTV auch als potentielles Angriffsziel von Hackern, um Schadsoftware auf Ihren Fernseher zu bringen. HbbTV können Sie im Einstellungsmenü Ihres Smart-TVs abschalten.
HbbTV gilt als Nachfolger des Teletextes. Auf den meisten Fernsehern wird dieses Angebot mit einem Druck auf den roten Knopf aktiviert. Sie können damit Informationen zum laufenden Programm oder zusätzliche Inhalte wie Mediatheken abrufen. Dabei überträgt HbbTV jedoch auch Daten über Ihr Fernsehnutzungsverhalten an die TV-Sender. Mittlerweile gilt HbbTV auch als potentielles Angriffsziel von Hackern, um Schadsoftware auf Ihren Fernseher zu bringen. HbbTV können Sie im Einstellungsmenü Ihres Smart-TVs abschalten. Installieren Sie Apps nur aus vertrauenswürdigen Quellen: Benutzen Sie ausschließlich den App-Store des Geräteherstellers oder, falls Sie ein Android-TV haben, den Google Play Store.
Benutzen Sie ausschließlich den App-Store des Geräteherstellers oder, falls Sie ein Android-TV haben, den Google Play Store. Benutzen Sie den Smart-TV-Browser so selten wie möglich: Da die Browser von Smart-TVs in vielen Fällen nicht so oft aktualisiert werden wie Firefox oder Google Chrome, könnten wichtige Sicherheitstechnologien fehlen. Vermeiden Sie vor allem sensible Bereiche wie Online-Banking.
Da die Browser von Smart-TVs in vielen Fällen nicht so oft aktualisiert werden wie Firefox oder Google Chrome, könnten wichtige Sicherheitstechnologien fehlen. Vermeiden Sie vor allem sensible Bereiche wie Online-Banking. Vermeiden Sie die Eingabe von vertraulichen Daten: Geben Sie beim Surfen über das Smart-TV so selten wie möglich Passwörter oder Adressen ein und achten Sie auf eine verschlüsselte Verbindung (URL beginnt mit https:// ).
Geben Sie beim Surfen über das Smart-TV so selten wie möglich Passwörter oder Adressen ein und achten Sie auf eine verschlüsselte Verbindung (URL beginnt mit ). Sichern Sie Ihr Heimnetzwerk: Dieser Tipp ist für alle Ihre Netzwerkgeräte nützlich. Sichern Sie Ihr Heimnetzwerk ausreichend ab. Nutzen Sie aktuelle Verschlüsselungsmethoden (WPA2) und verwenden sichere Passwörter. So machen Sie es Hackern schwer, Ihr Netzwerk anzugreifen.
Dieser Tipp ist für alle Ihre Netzwerkgeräte nützlich. Sichern Sie Ihr Heimnetzwerk ausreichend ab. Nutzen Sie aktuelle Verschlüsselungsmethoden (WPA2) und verwenden sichere Passwörter. So machen Sie es Hackern schwer, Ihr Netzwerk anzugreifen. Schauen Sie sich die Datenschutzerklärungen der Hersteller an: Prüfen Sie genau, welche Daten die Hersteller erheben und was sie damit machen. Halten Sie in Ihrem Gerät Ausschau nach Einstellungen zum Datenschutz oder der Privatsphäre.
Prüfen Sie genau, welche Daten die Hersteller erheben und was sie damit machen. Halten Sie in Ihrem Gerät Ausschau nach Einstellungen zum Datenschutz oder der Privatsphäre. Schalten Sie Ihre Internetverbindung ab: Die mit Abstand sicherste, aber vielleicht auch die unpopulärste Methode. Sie brauchen Ihre Internetverbindung nicht, solange Sie mit Ihrem Fernseher nur TV-Programme schauen. Das Risiko einer Sicherheitslücke oder Daten preiszugeben ist dann quasi Null. Apps wie "Netflix" oder "maxdome" und HbbTV-Funktionen (z. B. Mediatheken) können Sie dann nicht nutzen. Falls Sie trotzdem gerne Online-Apps verwenden möchten, können Sie für die Zeit der Nutzung die Verbindung zum Internet herstellen und anschließend wieder trennen.
Fazit
Absolute Sicherheit haben Sie nur, wenn Sie Ihre Internetverbindung kappen. Das geht natürlich mit einem erheblichen Komfortverlust einher, schließlich sind Smart-TVs auch gerade wegen ihrer Onlinefunktionen populär. Wenn Sie die hier vorgestellten Tipps beherzigen und sich mit den Einstellungen Ihres Gerätes vertraut machen, können Sie, trotz Internetverbindung, Ihren nächsten Fernsehabend entspannt angehen.
Feedback zum Tipp Feedback zum Tipp × Feedback senden Grund der Kontaktaufnahme Fehler melden Tipp veraltet Sonstiges Deine Mitteilung in einem Satz Bitte geben Sie eine Zusammenfassung ein. Deine ausführliche Mitteilung Bitte geben Sie Ihre Mitteilung ein. Wie dürfen wir Dich bei Nachfragen kontaktieren? Dein Vor- u. Nachname Bitte geben Sie Ihren Namen ein Deine E-Mail-Adresse Bitte geben Sie Ihre E-Mail-Adresse ein. Ungültige Adresse. Absenden Vielen Dank. Ihre Nachricht wurde erfasst. Schließen
