Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

Andy Green warnt vor „Defaultitis“ bei Sicherheitseinstellungen

[datensicherheit.de, 29.11.2016] Am 28. November 2016 wurde bekannt, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Botnetzes werden sollten, das ebenfalls auf die „Mirai“-Schadsoftware zurückgeht.

Hacker suchen nach öffentlichen Ports und anschließend nach schwachen Passwörtern

Die „Mirai“-Attacke zeigt laut Andy Green, Varonis, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind – und das nicht zuletzt „dank des schon fast sträflich zu nennenden Leichtsinns“, wenn es um IT geht.
Zwar könne kann nichtsahnende Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandelten als würde es sich einfach um ein weiteres Haushaltsgerät handeln (einstecken und nicht weiter darüber nachdenken), aber unglücklicherweise brauchten selbst besonders einfach zu nutzende, wartungsfreie Router ein Minimum an Aufmerksamkeit. Dazu gehöre es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden – ein Standard in der IT von Unternehmen, sollte man annehmen. Die Realität sehe allerdings anders aus, und „Defaultitis“ sei erheblich weiter verbreitet als man glauben sollte. Üblicherweise suchten nun Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder -Geräten – und das seien entweder solche, die nie geändert worden seien, oder solche, die ausschließlich aus Bequemlichkeit so vergeben würden wie etwa „admin1234“.

Beibehalten der Standardeinstellungen erleichtert fremde Übernahme

Genau das sei die Technik, derer sich das „Mirai“-Botnet bei seinem Angriff auf IoT-Kameras bedient habe. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwendeten, könnten sie sich Schwachstellen innerhalb der internen firmeneigenen Software mit beibehaltenen Default-Einstellungen zunutze machen.
So sei es geschehen beim „Mega-Hack“ auf die US-Handelskette Target. Die Hacker hätten bereits gewusst, dass es bei Target ein Account gegeben habe, bei dem die Standardeinstellungen leichtsinnigerweise beibehalten worden seien (es habe sich um eine beliebte IT-Managementsoftware gehandelt). Sich dieses Accounts zu bemächtigen sei vergleichsweise simpel gewesen. Anschließend sei genau dieses Konto mit zusätzlichen Rechten ausgestattet worden, was es den Angreifern erlaubt habe, unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.

Gefahr für Unternehmen: Schwachstellen und „Defaultitis“

Die wichtigste Lektion, die das „Mirai“-Botnetz erteilt habe: Es werde immer Lücken an der Netzwerkgrenze geben. Wenn man von den allgegenwärtigen Phishing-Kampagnen hierbei einmal absehen wolle, werde es weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben – und diese erlaubten es Hackern ins Netzwerk zu gelangen.
Die menschliche Natur lasse sich nur sehr viel schwerer ändern als es im Sinne der IT-Sicherheit lieb sei. So sei mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die „Defaultitis“ weiter grassiere. Unternehmenssoftware gehöre nicht zu den simpelsten Tools. Für IT-Abteilungen habe es deshalb Priorität, Applikationen und Systeme so schnell wie möglich zum Laufen zu bekommen. Nicht selten würden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selbst ändert. Für Unternehmen werde das ein Problem bleiben.

„Mirai“-Lektion sollte Lernkultur stärken!

Man könne getrost davon ausgehen, dass es Hackern immer wieder gelingen werde, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen, warnt Green.
Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen könne man fast dankbar für die „Mirai“-Lektion sein. Green: „Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen.“

Weitere Informationen zum Thema:

VARONIS – The Inside Out Security Blog, 01.11.2016
Overheard: “IT security has nothing to learn from the Mirai attack”

datensicherheit.de, 05.10.2016
Schwere Datenschutzverletzung bei Yahoo wirft Fragen auf