Warum mancher Schatzmeister den Tresorraum extra falsch ausschildert und die Räuber trotzdem ohne Probleme den Tresor finden


Die Corona-Pandemie bestimmt nach wie vor die Schlagzeilen. Die Auswirkungen beziehen sich aber nicht nur auf unser Privatleben, sondern immer stärker auch auf die IT-Sicherheit bei Unternehmen aus.

In dem heutigen Blogbeitrag steigen wir tiefer ins Detail ein und schauen uns den Zusammenhang zwischen offenen Zugängen und Cyberkriminellen an und welche Rolle unser Risikobewertungstool cysmo hier spielt.

Dabei bediene ich mich anschaulichen Metaphern, die die IT-Welt sowohl für Sie, die Versicherungsexperten, als auch Ihren Kunden bildlich und leicht verständlich, erklären. Aber dazu später mehr.

In dem Beitrag „Corona-Pandemie – Auswirkung auf die IT-Sicherheit“ hat mein Kollege Jonas Schwade die These aufgestellt, dass durch Home-Office und Remotearbeit etliche Firmen Fernwartungszugänge geöffnet haben. Heute wollen wir an diesem Punkt tiefer einsteigen:

Genau diese Annahme konnten unsere cysmo IT-Security-Experten bestätigen: Viele Admins haben schnell gehandelt und die nötigen Zugänge, wie z. B. die Fernwartung, von außen erreichbar gemacht. Allerdings haben sich dabei einige einem kleinen Trick bedient, um es Cyberkriminellen nicht ganz so leicht zu machen. Diesen Trick erkläre ich nun mit Hilfe einer Metapher:

Nehmen wir an, dass unsere Musterfirma ein Casino ist. Zu dem Casino kommen neben dem normalen Spielbetrieb mit Kunden auch einige externe Lieferanten, wie z. B. der Geldtransporter. Damit sich die externen Lieferanten möglichst schnell zu Recht finden, ist der Aufbau der internen Räume bei allen Casinos gleich (tech.: Standardports) . Da unser Casino allerdings nicht möchte, dass jeder externe Lieferant weiß, wo der Tresorraum ist, wurde der Tresor an die Stelle des Putzraums verlegt. Wenn nun ein Krimineller den Tresor knacken möchte, dann findet er diesen nicht im Tresorraum. Der Geldtransporter ist allerdings eingeweiht und geht immer zum Putzraum, um das Geld abzuholen.

Mit Hilfe von diesem Trick probieren die Admins also zu verschleiern, wo die kritischen Fernwartungsports bzw. der Tresorraum liegt. Anstatt die übliche Portnummer (in diesem Beispiel 3389) zu benutzen, liegt der Fernwartungsservice bzw. Tresor hinter einem anderen Port bzw. in dem Putzraum.

Auch, wenn dieses Vorgehen grundsätzlich logisch klingt und einfache Portscans erfolgreich täuscht, ist eine solche Verschleierung jedoch kein ausreichender Schutz vor Cyberkriminellen. Diese sind in der Lage nicht nur die Räume (Ports) zu erkennen, sondern auch den darin befindlichen Inhalt (Service), sprich wo der Tresorraum wirklich liegt.

Gerade in der aktuellen Zeit der Corona-Pandemie und den damit einhergehenden schnelllebigen Änderungen innerhalb der IT ist es eminent wichtig, hier allzeit den Überblick zu behalten. Sowohl aus Sicht des Kunden aber auch aus Sicht des Versicherungsunternehmens. Daher haben wir in unserem letzten Release 3.4 (VÖ: 02.06.20) vor allem Wert auf eine Qualitätssicherung in genau dieser Serviceerkennung gelegt.

Stellen Sie also ganz einfach mit cysmo fest, ob die Unternehmen in Ihrem Portfolio oder potentielle Kunden ihre Hausaufgaben gemacht und alle kritischen Ports bzw. Systeme nicht nach außen sichtbar haben. Denn das hilft im Gegensatz zu der Verschleierung wirklich. Schließlich möchten weder Sie noch Ihre Kunde, dass der Tresor entdeckt oder noch schlimmer geknackt wird.

Mit freundlichen Grüßen

Linus Töbke

Cyber Consultant bei der PPI AG
Reaktionen:

0 Kommentare:

Kommentar posten