Schwerpunkte

Cyberattacken abwehren

IT-Sicherheit beginnt am Endgerät

30. Januar 2020, 09:00 Uhr   |  Autor: Michael Kleist, CyberArk | Redaktion: Cornelia Meier | Kommentar(e)

IT-Sicherheit beginnt am Endgerät
© rawpixel / 123rf

Die Gefahr, Opfer eines Cyberangriffs zu werden, ist unvermindert hoch. IT-Sicherheit hat darum höchste Priorität. Besonderes Augenmerk sollte dabei auf den Endgeräten liegen – sie sind das erste Einfallstor für Hacker.

Eine gängige Praxis von Cyberkriminellen ist es, Spear-Phishing-E-Mails aus vermeintlich vertrauenswürdiger Quelle an Unternehmensmitarbeiter zu versenden. Öffnet ein Mitarbeiter die Mail und den präparierten Anhang oder Link, installiert sich ein Schadprogramm auf dem Rechner über das Zugangsdaten und Passwörter entwendet werden. Angreifer nutzen diese Informationen anschließend, um auf verbundene Systeme zuzugreifen – bis sie schließlich Zugang zu einem Domain Controller oder mehreren privilegierten Accounts hat. Damit erhalten Hacker die Kontrolle über unternehmenskritischen Ressourcen wie Server, Workstations oder Sicherheitssysteme.

Endgeräte stellen für Cyberkriminelle also ein ebenso attraktives wie Erfolg versprechendes Ziel dar. Das macht PCs oder die Workstations zu Einfallstoren und damit Ausgangspunkten für die weitere Infiltration des Unternehmensnetzes.

Schritt für Schritt zu mehr Sicherheit

Um einen Spear-Phishing-Angriff abzuwehren, müssen einige Schutzmaßnahmen ergriffen werden. An erster Stelle steht die Endpunktsicherung zur Unterbindung einer Erstinfektion. Zweitens sollten Zugangsdaten gesichert und überwacht werden, um Angriffe einzudämmen. Unerlässlich ist es außerdem, sich um eine Bedrohungserkennung zu bemühen. Nur so lassen sich rechtzeitig Gegenmaßnahmen einleiten.

Im Hinblick auf die Sicherung der Endgeräte sind mehrere Vorkehrungen zu treffen. Wichtig ist zunächst, dass jedes Unternehmen die eigenen Mitarbeiter für Gefahren sensibilisiert, die von E-Mails mit Anhängen und Links aus unbekannten – aber auch aus vermeintlich bekannten – Quellen ausgehen. Um bekannte Sicherheitslücken zu eliminieren, ist es außerdem unerlässlich, die Systeme kontinuierlich zu patchen.

Neben diesen beiden elementaren Vorgehensweisen sind zwei weitere Maßnahmen unverzichtbar: Zunächst einmal sollten Standardanwendern die lokalen Administratorrechte entzogen werden. Nur so ist gewährleistet, dass Angreifern im Fall einer Systemkompromittierung nur eingeschränkt agieren können. Wichtig ist außerdem eine Anwendungssteuerung, die verhindert, dass schädlicher Programme ausgeführt werden und auf Daten und Ressourcen zugreifen.

Entzug lokaler Administratorrechte ist ein Muss

Jeder Rechner in einem Unternehmen enthält standardmäßig integrierte Administratorkonten, die aufgrund der Art und Weise, wie sie genutzt werden, oft ein Sicherheitsrisiko darstellen. Zum einen werden vielfach Hunderte von Rechnern mit einem identischen Passwort verwaltet, das nie oder zumindest nicht regelmäßig geändert wird. Zum anderen ist das Passwort oft auch dem Endanwender bekannt und wird für die tägliche Arbeit verwendet. Jeder Nutzer mit lokalen Windows-Administratorrechten kann damit praktisch uneingeschränkt agieren. Er kann nicht-lizenzierte Software herunterladen, jedes mögliche – auch ausdrücklich untersagte – Programm verwenden, Systemkonfigurationen ändern oder gefährliche Malware installieren.

Damit nicht genug: Auch Angreifer nutzen lokale Admin-Rechte für ihre Zwecke aus, wie das Spear-Phishing-Beispiel zeigt. Das Aufspüren lokaler Administratorrechte und der Entzug dieser Rechte ist deshalb ein wichtiger Schritt auf dem Weg zu einem starken Endgeräteschutz.

Allerdings sollte dazu keine statische Lösung mit einem endgültigen Entzug von Rechten gewählt werden. Denn das treibt einerseits die Betriebskosten durch viele Helpdesk-Anrufe in die Höhe, während es andererseits die Anwenderakzeptanz senkt. Idealerweise wählen Unternehmen eine Lösung für die Endpunktsicherheit, die auch eine automatisierte Rechteerhöhung anbietet. So erhalten Anwender gezielt Zugriffsrechte in einem limitierten Umfang. Das wahrt Benutzerkomfort und gewährleistet einen unterbrechungsfreien Betrieb.

Intelligente Anwendungskontrolle schützt vor Ransomware

Eine durchdachte Applikationsüberwachung ist im Hinblick auf die nach wie vor weit verbreiteten Ransomware-Attacken erforderlich. Ransomware benötigt im Unterschied zu herkömmlicher Malware keine administrativen Zugriffsprivilegien, stattdessen reichen Standardrechte für das Lesen, Schreiben und Editieren von Dateien, die nahezu jeder Mitarbeiter besitzt. Um zu verhindern, dass Dateien durch diese Art der Schadsoftware verschlüsselt wird, eignen sich besonders intelligente Formen der Applikationskontrolle.

Diese Art der Anwendungssteuerung umfasst dabei nicht nur eine klassische Software-Blacklist und -Whitelist, sondern auch eine Greylist-Funktion. Damit kann die Ausführung von beziehungsweise der Zugriff auf Anwendungen begrenzt werden, die nicht explizit vertrauenswürdig oder einfach unbekannt sind. Das heißt, der Anwender nutzt sie in einem “eingeschränkten Modus“, während ein Zugriff auf Unternehmensressourcen, vertrauliche Daten oder das Internet unterbunden wird. So bleibt der Benutzerkomfort bestehen – und die Sicherheit gewährleistet.

Zum Schutz vor aktuellen Hackerangriffen müssen somit der Entzug lokaler Administratorrechte und die Anwendungssteuerung, die die Ausführung schädlicher Programme verhindert, eine Top-Priorität in der IT-Sicherheit einnehmen. Wer noch einen Schritt weiter gehen möchte, sollte auch verhaltensbasierte Sicherheitslösungen in Betracht ziehen. Sie bieten Echtzeit-Analytik und -Alarmierung bereits bei verdächtigen Aktivitäten, etwa bei abweichenden Zugriffszeiten durch einen Anwender auf ein Unternehmensnetz oder bei einer ungewöhnlichen Häufung von Zugriffen.

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

CyberArk Software GmbH