Cybersecurity-Maßnahmen, die Sie in der aktuellen Lage umsetzen sollten
Die Zahl der Cyberangriffe kennt seit Jahren nur eine Richtung. Und die zeigt steil nach oben. Seit dem Ukraine-Konflikt verhalten sich einige Akteure jedoch verdächtig ruhig. Dies könnte unter anderem daran liegen, dass sich die Ukraine und Russland aktuell gegenseitig im Cyberkrieg bekämpfen. Für Unternehmen könnte dies aber die sprichwörtliche berühmte Ruhe vor dem Sturm sein, denn sollten sich diese Gruppen von Cyberkriminellen wieder vermehrt internationalen Zielen widmen, könnten in den nächsten Wochen die Cyberangriffe auch auf Schweizer Firmen wieder zunehmen. Es ist daher wichtig, sich darauf vorzubereiten und kurzfristig Maßnahmen zu ergreifen, um die Cybersicherheit im Unternehmen zu erhöhen.
Die folgenden vorgestellten Maßnahmen sollten von Unternehmen geprüft und falls nicht schon geschehen kurzfristig umgesetzt werden:
1. Stellen Sie Erreichbarkeiten/Verfügbarkeiten sicher
Für die nächsten Wochen sollte die Verfügbarkeit und Erreichbarkeit Ihrer IT-Abteilung, als auch die Erreichbarkeit externer Dienstleister für Präventiv- und Reaktionsmaßnahmen konkret geprüft und sichergestellt werden. Deren Erreichbarkeiten sollten im Falle eines Ausfalles der IT auch offline dokumentiert zur Verfügung stehen. Prüfen Sie, ob gegebenenfalls Urlaubssperren, Freigabe von Überstunden-Aufbau und Mehrarbeit auch außerhalb der Kernarbeitszeit geregelt sind.
Sollte es zu einem großflächigen Cyber-Angriff kommen, werden eine große Anzahl von Unternehmen gleichzeitig auf externe Hilfe von Dienstleistern angewiesen sein. Aufgrund der allgemein bekannten begrenzten Ressourcen im Bereich Cybersecurity ist es daher wichtig, BCM-Notfallpläne als Fallback zu berücksichtigen, um auch ohne die Unterstützung von externen Dienstleistern eine Schadensbewältigung zu gewährleisten.
2. Minimieren Sie Ihre Angriffsfläche
Patchen Sie Ihre Systeme regelmäßig und halten Sie sie auf dem neuesten Stand
Wenn Hersteller bei 0-Day Schwachstellen Patches veröffentlichen, sollten Sie diese auch kurzfristig installieren. Dies sollte so schnell wie möglich passieren. Auch wenn die Empfehlung der Installation aller ausstehenden Sicherheitspatches sehr unspezifisch ist, ist der Aufwand hierfür sehr gering. Daher hat diese Maßnahme ein sehr hohes Nutzen/Aufwand-Verhältnis und minimiert die eigene Angriffsfläche erheblich.
Härtung von Systemen mit Zugriffsmöglichkeit von außen
Organisationen verfügen in der Regel über eine Vielzahl von Systemen mit Außenanbindung, z. B. VPN, RDP, OWA, Exchange-Online oder andere Unternehmensportale. Dabei wurden in der Vergangenheit bei Ransomware-Angriffen auch gezielt Mitarbeiter von Unternehmen privat angegriffen, um dann über deren, sowohl privat als auch beruflich genutzte Passwörter ins Unternehmensnetz einzudringen. Daher ist es wichtig, dass alle Log-ins mit Außenanbindung über eine Multi-Faktor-Authentifizierung (MFA) geschützt werden. Falls eine MFA zeitnah nicht aktivierbar ist, sollten mindestens kurzfristig neue, starke, für jedes System unterschiedliche Passwörter verwendet werden. Hier gilt es, die Mitarbeiter eingehend zu sensibilisieren und darauf aufmerksam zu machen, dasselbe Passwort niemals für mehrere Accounts gleichzeitig zu verwenden und starke Passwörter oder besser Passphrasen mit einer Mindestanzahl von 20 Zeichen zu verwenden. Dies gilt vor allem für Admin-Konten. Kann dies nicht mit Tools wie der Specops Password Policy technisch durchgesetzt werden, so sollte dies zumindest durch organisatorische Maßnahmen, z. B. gegen Unterschrift bestätigt umgesetzt werden.
Härtung von Admin-Systemen
Stellen Sie sicher, dass Admin-Systeme nur für administrative Aufgaben und nicht für das normale “Tagesgeschäft“ wie zum Beispiel den Abruf persönlicher E-Mails oder für Internetrecherchen verwendet werden. Dabei sollten für unterschiedliche Netze auch unterschiedliche Admin-Konten sowie Admin-Systeme mit unterschiedlichen Credentials verwendet werden. Generell gilt, dass Sie die Passwortsicherheit in Ihrem Unternehmensnetzwerk erhöhen sollten. Denn 80 % aller durch Hacking-Attacken verursachten Datenleaks sind auf schwache und kompromittierte Passwörter zurückzuführen. Durch die Verwendung eines Passwortfilters wie der Specops Password Policy in Kombination mit der „Breached Password Protection List“, erhöhen Sie signifikant die Passwortsicherheit in Ihrem Active Directory, indem Sie mehr als 2 Milliarden bereits kompromittierte Passwörter blockieren. Mit der Specops Password Policy ist es auch möglich, Passwortrichtlinien umzusetzen, die den aktuellen Empfehlungen des NIST, BSI und NCSC folgen. Mit der Specops Password Policy setzen Sie darüber hinaus verschiedene Passwortrichtlinien, je nachdem welche Rechte der Nutzer hat, um. So sollten Passwörter für Admin-Acccounts zum Beispiel andere Passwortrichtlinien erfüllen als für normale Mitarbeiter-Accounts.
Außerdem empfehlen wir Ihnen, Ihr Active Directory einmal auf schwache und kompromittierte Passwörter zu scannen. Mit dem kostenlosen Tool Specops Password Auditor, das Sie hier kostenlos herunterladen können, haben Sie Ihr AD innerhalb weniger Minuten auf passwortrelevante Schwachstellen mit einem Read-Only-Scan überprüft. In einem ausführlichen Bericht erhalten Sie folgende Informationen:
- Anzahl identifizierter Konten mit kompromittierten Passwörtern
- Überblick über Passwort-Richtlinien und deren Einstellungen
- Identifikation von Benutzerkonten ohne Anforderung an ein Passwort
- Anzahl von Konten, die dasselbe Kennwort verwenden
- Anzahl identifizierter ruhender Benutzerkonten
und viele weitere Infos.
Erschweren Sie Angreifern das Lateral Movement innerhalb des internen Netzwerks
Eine Kompromittierung externer Systeme und Netze, z. B. einer DMZ, darf nicht zur Kompromittierung wichtiger interner Systeme führen. Es gilt, die Vertrauensbeziehungen zwischen diesen Systemen zu minimieren und verschiedene Accounts mit verschiedenen Passwörtern in den jeweiligen Netzen zu nutzen. Auch hier spielt der Einsatz von starken, nicht bereits kompromittierten Passwörtern eine entscheidende Rolle. Auch sollte der Systemadministrator für sein Admin-Konto nicht dasselbe Passwort verwenden wie für seinen normalen Benutzer-Account. Ob dies der Fall ist, erfahren Sie auch durch einen Scan mit dem Specops Password Auditor.
3. Reaktionsmaßnahmen vordenken und vorbereiten
Erstellen Sie Backups und überprüfen Sie diese regelmäßig. Es sollten aktuelle und speziell gesicherte Backups von allen relevanten Systemen existieren und eine Kopie der Backups sollte offline an einem sicheren Ort gelagert werden.
Recovery vorbereiten
Die Wiederherstellung von Systemen, insbesondere von relevanten Systemen wie File, Mail-, Ad-Server etc. sollte, bevor es zum Ernstfall kommt, getestet werden. Die Erfahrung hat gezeigt, dass es bei einer erstmaligen Wiederherstellung oder einer Wiederherstellung nach längerer Zeit gerne zu unvorhergesehenen Problemen kommen kann, die eine Recovery erschweren oder sogar verhindern. Darüber hinaus sollten Pläne für eine Wiederherstellung nach einem totalen Datenverlust existieren, bei dem alle Systeme aus den Backups wiederhergestellt werden müssen.
Zusammenfassung
Es vergeht kein Tag, an dem wir nicht aus den Medien erfahren, dass wieder ein neuer Cyberangriff auf Unternehmen, Behörden und kritische Infrastrukturen stattgefunden hat. Allein in den vergangenen Tagen mussten wir von Datenleaks bei Nvidia oder Ubisoft erfahren. Und auch die Angriffe auf verschiedene Ölraffinerien in Belgien, Deutschland und den Niederlanden sind nur wenige Wochen her. Attacken, die von staatlichen Akteuren finanziert werden, werden auch weiterhin zunehmen. Darauf lässt auch das Engagement von Cybercrime-Gangs im Ukraine-Konflikt wie Conti oder Anonymous schließen. Die Kurzfristigkeit, mit der Cyberattacken einen Effekt auf Unternehmen haben, darf hierbei nicht unterschätzt werden und sollte Unternehmen dazu motivieren, sich vorzubereiten, indem sie Angriffsvektoren wo möglich reduzieren und minimieren.
Ein erster Schritt wäre hier Ihr Active Directory auf schwache und kompromittierte Passwörter mithilfe des kostenlosen Tools Specops Password Auditor, das Sie hier herunterladen können, zu überprüfen. Mit den Erkenntnissen aus diesem Scan macht es dann durchaus Sinn, sich auch einmal die Specops Password Policy anzusehen, die sie jetzt kostenlos 30 Tage testen können. Hier geht es zum Download. Auch für einen direkten Kontakt oder eine persönliche Demo stehen Ihnen die Spezialisten von Specops Software gerne zur Verfügung.
Weiterführende Informationen:
Captain Picard freundet sich langsam mit einem Minion an
Cybersecurity kommt in Schweizer Chefetagen oft zu kurz
Schweizer Firmen investieren mehr in Cybersecurity - aber noch nicht genug
Strafverfolger loten den Einsatz neuer Technologien aus
Umfassende 24/7-IT-Security mit SOCaaS
Was die Schweizer IT-Bedrohungslandschaft im Oktober geprägt hat
Update: Proton korrigiert falsche Daten in seinem Datenleck-Tool
Cyberkriminelle geben sich als Apple-Support aus
Überraschung! Das meistgenutzte Passwort 2025 ist … 123456
