Gerade jetzt hat die Aufrechterhaltung des Geschäftsbetriebs für viele Unternehmen höchste Priorität. Um diese zu garantieren, mussten IT- und Sicherheitsteams bei dem enormen Zuwachs an Homeoffice-Arbeitsplätzen einige Risiken eingehen, die von Angreifern ausgenutzt werden können. So ist die Zahl der Mitarbeiter, die über das Internet mit Unternehmensressourcen verbunden sind, weltweit um über 30 Prozent angestiegen[1], die Nutzung von Microsoft Teams[2] hat sich gar verfünffacht. Durch diesen Wettlauf um Remote-Arbeitsplätze entstehen jedoch Einstiegspunkte für Angreifer: Jedes neue System mit Internetanschluss und jeder Mitarbeiter, der von Zuhause aus arbeitet, vergrößert die Angriffsfläche. Und durch den Zeitdruck wird das Risiko zusätzlich erhöht.

Zahlreiche Bedrohungen für Homeoffice-Arbeitsplätze

Wie versuchen nun Angreifer Profit aus dieser außergewöhnlichen Situation zu schlagen? Die Spezialisten des Varonis Incident-Response-Teams konnten einen deutlichen Anstieg von Brute-Force-Angriffen auf VPNs, Remote Desktops und Microsoft 365-Konten erkennen. Bei einer solchen Attacke versuchen Angreifer durch ein automatisiertes Ausprobieren von vorab gesammelten Listen von Anmeldeinformationen die richtigen Benutzername/Passwort-Kombinationen herauszufinden. Brute-Force-Angriffe sind also recht einfach gestrickt, aber effektiv. Wenn es einem Angreifer gelingt, sich mit einer der anvisierten Ressourcen zu verbinden, erhält er Zugang zu Infrastruktur und Daten, die er zerstören, gegen Lösegeld verschlüsseln oder stehlen kann. Leider verfügen die die wenigsten Unternehmen über Einblicke in einen „normalen“ Fernzugriff und können infolgedessen nicht den Unterschied zwischen einem legitimen Homeoffice-Nutzer und einem Angreifer erkennen, der ein Nutzerkonto kompromittiert hat.

Einen gewissen Schutz bietet hier Multi-Faktor-Authentifizierung. Dabei benötigen die Nutzer neben dem Passwort einen weiteren Faktor, in aller Regel eine PIN, die sie per SMS auf ihrem registrierten Mobiltelefon erhalten. Dabei ist aber zu bedenken: Auch die Multi-Faktor-Authentifizierung kann mittels Phishing umgangen werden, indem sowohl Passwörter als auch die PINs abgefangen werden. Dies stellt für versierte Hacker nur eine minimale Hürde dar. Und die starke Verbreitung von Microsoft 365 bietet Angreifern weitere Möglichkeiten. So können sie etwa mittels bösartiger Azure Apps Benutzer so täuschen, dass sie Zugriff auf ihre in der Cloud gehosteten Daten gewähren. Wenn ein Angestellter auf eine scheinbar normale „Zugriff erlauben“-Seite klickt, kann der Angreifer Zugriff auf alle Daten erhalten, auf die der Angestellte in Microsoft 365 zugreifen kann, einschließlich Dateien und E-Mails.

Alle diese beschriebenen Bedrohungen funktionieren, ohne dass der (private) Computer oder das Heimnetzwerk im Homeoffice kompromittiert werden muss. Diese ungemanagten Geräte stellen eine zusätzliche Herausforderung dar. Die IT- und Sicherheitsverantwortlichen haben hierüber keinerlei Kontrolle und können den jeweiligen Sicherheitsstatus kaum beeinflussen. Es kann (und wird) sich dabei auch um ältere, nicht gepatchte Systeme handeln, die leicht mit Malware infiziert werden können. Dies wiederum erlaubt Angreifern zahlreiche Möglichkeiten, über VPN-, Cloud- oder Web-Anwendungen Zugriff auf sensible Unternehmensdaten und -ressourcen zu erhalten.

Gefahren auch von Innen

Neben diesen eher technischen Aspekten sollten wir aber auch die psychologischen Aspekte nicht aus den Augen verlieren. Mitarbeiter stehen in diesen Zeiten unter Stress und befürchten aufgrund der wirtschaftlichen Entwicklungen möglicherweise Entlassungen. Im Jahr 2008, auf dem Höhepunkt der Finanzkrise, haben unsere Sicherheitsexperten viele ungewöhnliche Aktivitäten identifiziert: Zahlreiche Mitarbeiter unserer Kunden haben beispielsweise auf Daten zugegriffen, auf die sie normalerweise nicht zugegriffen haben, haben Daten kopiert u.ä. Dieses abnormale Verhalten ist schon in normalen Büros mit von der IT-Abteilung gemanagten Computern schwer zu erkennen. Bei Homeoffice-Nutzern ist diese Herausforderung ungleich größer.

Die Geschäftskontinuität ist verständlicherweise im Moment für Unternehmen ein Hauptanliegen. Die Mitarbeiter sollen weiterhin in der Lage sein, ihre Aufgaben bestmöglich zu erledigen. Bei aller Eile, ihnen alle nötigen Ressourcen und Daten zur Verfügung zu stellen, sollte man aber auch die Sicherheit nicht aus den Augen verlieren. Denn ein einziges kompromittiertes Nutzerkonto reicht aus, enormen Schaden für das gesamte Unternehmen zu verursachen. Um dies zu verhindern, sollten ein paar Punkte beachtet werden:

• Stellen Sie sicher, dass Sie Verbindungen zu und durch Ihre entfernte Infrastruktur sehen können. Wenn Sie nicht nachvollziehen können, wer sich wann und von wo aus mit internetfähigen Geräten oder Cloud-Ressourcen verbindet, sind Sie blind für mögliche Gefahren und Risiken und haben keine Möglichkeit, eine legitime Verbindung von einer kompromittierten zu unterscheiden.
• Verschaffen Sie sich Einblick in die Infrastruktur und Daten, auf die aus dem Homeoffice zugegriffen wird. Nur wenn Sie wissen, auf welche Ressourcen und Daten von den entfernten Mitarbeitern zugegriffen wird, können Sie einschätzen, ob es sich um normale, legitime Aktivitäten handelt oder um einen Angreifer oder Innentäter.
• Setzen Sie auf Automation. Gerade bei einer hohen Anzahl von Homeoffice-Nutzern kommt es zu vielen Verbindungen und Zugriffen, die man unmöglich manuell überprüfen kann. Hier kann es auch schnell zu einer wahren Flut an Warnmeldungen kommen, auf die dann kaum mehr reagiert wird. Die sogenannte Alarmmüdigkeit ist gerade aktuell eine ernsthafte Gefahr. Effektiver ist es, mittels Automatisierung die Aktivitäten mit weiteren Informationen anzureichern und in einen Kontext zu bringen. Auf diese Weise lassen sich ungewöhnliche Aktivitäten wesentlich präziser identifizieren, untersuchen und gegebenenfalls stoppen. Die intelligente Analyse des Nutzerverhaltens ist hier die einzige Möglichkeit, abnormale Aktivitäten effektiv und schnell zu identifizieren.
• Reduzieren Sie die Angriffsfläche. Selbst wenn die Geschäftskontinuität eine Priorität ist, stellt ein breiter Zugang ein großes Risiko dar. Mitarbeiter haben in aller Regel Zugriff auf viel zu viele Daten. Gemäß dem Datenrisiko-Report 2019[3] können in jedem zweiten Unternehmen (53 %) alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen und bei fast ebenso vielen (51 %) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. Die Begrenzung der Zugriffsrechte nach dem need-to-know-Prinzip, bei dem jeder Mitarbeiter nur auf die Daten zugreifen kann, die er tatsächlich für seine Arbeit benötigt, ist ein wirksames Mittel, um den Schaden zu reduzieren, den ein Angreifer anrichten kann. Auch die Beschränkung des Zugriffs in großem Maßstab erfordert Automatisierung: es gibt viel zu viele Dateien und Ordner, die manuell bewertet und korrigiert werden müssen. Im Durchschnitt hat ein Mitarbeiter Zugriff auf 17 Millionen Dateien und über eine Million Ordner!

Für Cyberkriminelle bieten diese Zeiten enorme Chancen und oftmals leichte Beute. Noch nie war es einfacher, Schwachstellen zu monetarisieren. Und es ist auch nicht absehbar, wie lange diese Situation anhalten wird, aber wir können davon ausgehen, dass ein größerer Teil der Belegschaft für eine beträchtliche Zeit im Homeoffice arbeiten wird. Deshalb ist es jetzt höchste Zeit, die Business-Continuity-Pläne in Bezug auf die Sicherheit zu hinterfragen und hier gegebenenfalls nachzujustieren.

Quellen und Referenzen:

[1]https://www.zdnet.com/article/rdp-and-vpn-use-skyrocketed-since-coronavirus-onset/

[2]https://mspoweruser.com/microsoft-teams-saw-a-500-percent-increase-in-usage-due-to-coronavirus-outbreak/

[3]https://www.varonis.com/2019-data-risk-report/