English

Die kleine Lücke mit der großen Wirkung

von VPNHaus | 22.08.2018 |Cybercrime, Cybersecurity Strategy, Data Security

Pentestern genügt eine kleine Lücke, um danach lateral und unter Ausnutzung weiterer Schwachstellen einen ausreichend großen Raum im Netz des Opfers zu schaffen. Die auftraggebenden Firmen veröffentlichen verständlicherweise keine Informationen über das Ergebnis des Pentests. Umso interessanter sind (anonymisierte) Studien von Pentest-Dienstleistern, die einen Eindruck von den gebräuchlichsten Wegen und beliebtesten Einfallstoren vermitteln.

Eine solche Studie veröffentlichte soeben der Pentest-Anbieter Rapid7. Das Unternehmen hat Daten von 268 Projekten während September 2017 und Juni 2018 aufbereitet und die interessantesten Details zusammengefasst. Im recht ausführlichen Bericht sind nicht nur viele Statistiken zu sehen, sondern auch einige Anekdoten aus der Praxis. Die dürften selbst für viele Sicherheitsprofis wie eine kalte Dusche wirken, der Bericht ist wirklich lesenswert. Die Erfolgsquote der Angreifer lag übrigens bei 84 %, wenn es sich um rein externe Tests handelte und bei 96 %, wenn es auch eine interne Komponente gab. In 7 % der externen und 67 % der internen Angriffe wurde systemweiter Admin-Zugang erreicht und das Netz komplett kompromittiert.

Das ist natürlich wenig überraschend. Ein Angreifer ist immer im Vorteil und die Art des dedizierten Angriffs, die ein Pentester vornimmt – mit viel Zeit für die Vorbereitung und einem kompletten Team, dass alle möglichen Angriffsvektoren abzielt – lässt sich kaum stoppen. Aber zumindest sollten die Unternehmen erkennen, dass gerade etwas Ungesundes in ihrem Netz vorgeht und leider ist die Erkennungsquote miserabel. Wenn die Firmen nicht innerhalb der ersten 24 Stunden Verdacht schöpften, und das bekamen nur etwa 30 % hin, blieben die Angriffe unentdeckt. Große und kleine Unternehmen unterschieden sich dabei nur marginal. Viel Budget und große Teams bedeuten also nicht unbedingt mehr Sicherheit. Eine kleine Nebenstatistik ist schockierend: Der bei Angreifern gefürchtete Lock Out, also das Sperren des Accounts bei zu vielen Fehlversuchen, hatte entweder keinen Effekt, war gar nicht erst vorhanden oder verzögerte den Angriff unwesentlich. In nur 3,8 % der Fälle führte er zur Entdeckung des Angriffs.

Zum Schmunzeln können Vergleiche über Branchen hinweg sein, beispielsweise wer mehr interne und wer mehr externe Tests in Auftrag gab. Fast ausschließlich extern war die Technologiebranche orientiert, während der Bildungssektor ebenso ausschließlich auf interne Test fokussierte. Die High-Tech Firmen glauben also an die Integrität ihrer Mitarbeiter während Unis und Schulen nicht viel von ihren Schülern und Studenten halten. An den zu schützenden und damit auch anzugreifenden Daten stehen sensible interne Daten oder persönliche Daten an erster Stelle. Interessanterweise sind auch schon die ersten Crypto-Währungen gelistet, die die Pentester kompromittieren sollten.

Der Weg in die Netze führte von außen meistens durch Softwareschwachstellen. In 84 % der Fälle gab es Lücken in installierter Software, die die Tester für sich ausnutzen konnten. Interne Angriffe fanden in 96 % der Fälle eine Schwachstelle. Dabei gab es keine Universal-Schwachstelle, sondern eine breite Auswahl, je nach Umgebung. Abseits der Schwachstellen nutzen die Angreifer meist fehlerhaft konfigurierte Dienste (80 % extern, 96 % intern), beispielsweise einen Server, der die Kommunikation per Fallback von sehr auf weniger sicher herunterstufte, wenn ihn der Client darum bat. Fast alle der getesteten Organisationen nutzen eine Benutzername/Passwort-Kombination als Autorisierung. Auffällig war, dass in einem Fall wo 2FA zum Einsatz kam, die Erfolgsquote der erbeuteten Zugänge deutlich kleiner war.

Interessant wird es wieder bei den Passwärtern. Im Gegensatz zu Passwort-Dumps in Hacker-Foren, arbeiten die Pentester mit echten Live-Credentials. Es gibt also keine veralteten, doppelten oder sonst wie irrelevanten Einträge. Dabei zeigt sich, dass achtstellige Passwörter am weitesten verbreitet sind, oft mit einer Zahl am Ende. Ist die Zahl vierstellig, führen 2018 und 1234 die Hitliste an. Alle Statistiken aus den Passwort-Dumps sind also wahr, leider.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK