Sind Schwachstellen im IT-System oder im Unternehmen selbst erst einmal aufgedeckt, sollten Sie diese schnellstmöglich beheben. Das fängt bei lapidaren Sicherheitsmaßnahmen an, die häufig unterschätzt oder gar ignoriert werden und geht weiter zu handfesten Sicherheitslücken, die oft wenig komplex erscheinen und theoretisch schnell geschlossen werden könnten. Meist sind es einfach Dinge, die nur ein wenig mehr Ordnung voraussetzen oder eine gewisse Art von Aufmerksamkeit verlangen, um als erledigt zu gelten. Mit 10 dieser kritischen Schwachstellen setzen wir uns in diesem Beitrag auseinander.
10 kritische Schwachstellen und praktische Tipps zur Behebung
Es gibt sehr viele Schwachstellen, doch wir haben uns zunächst einmal auf die zehn gängigsten konzentriert. Dabei handelt es sich um recht typische Sicherheitslücken, also Probleme, die in nahezu jedem Unternehmen zu finden sind. Von einigen werden Sie bereits gehört haben, während andere für Sie gänzlich unbekannt sind.
1. Unsichere Passwörter
Der Klassiker aller Sicherheitslücken in Unternehmen ist vermutlich das unsichere Passwort. Viel zu oft werden auch heute noch kurze Passwörter eingesetzt, mit gängigen Zeichen, ohne Sonderzeichen oder speziellen Abweichungen. Außerdem nutzen Mitarbeiter gerne mehrmals dasselbe Passwort, welches sie seit Jahren einsetzten. Hier kann es helfen, strikte Passwortrichtlinien im Unternehmen einzuführen, denen jeder Mitarbeiter zu folgen hat. Auch von Organisationen generierte und somit zwangsläufig zufällige und sichere Passwörter helfen dabei, dass Mitarbeiter gar keine andere Wahl haben, als auf ein kompliziertes und somit sicheres Passwort zu setzen. Ein nicht zu unterschätzender Punkt der 10 kritischen Schwachstellen.
2. Offene Arbeitsplätze
Ein weiteres typisches Sicherheitsrisiko betrifft die Schreibtische und Geräte der Mitarbeiter in Unternehmen. Oft werden diese, auch beim Verlassen des Arbeitsplatzes, nicht entsprechend gesperrt und somit gesichert. Meist ist es einfach die Bequemlichkeit. Nur weil sich mal eben ein Kaffee geholt wird, muss schließlich nicht gleich der gesamte Arbeitsplatz verriegelt werden, heißt es dann oft. Doch genau das ist, je nach Sicherheitsstufe, durchaus angebracht. Nicht nur, weil sonst ein offener Zugang zum Rechner besteht, sondern auch weil potenzielle Informationen offen zugänglich sind.
3. Veraltete Software
Wenn veraltete Software zum Einsatz kommt, ist dies immer problematisch zu bewerten. Der Grund dafür liegt auf der Hand, denn veraltete Software enthält für oft schon bekannt gewordene Sicherheitslücken und somit potenzielle Schwachstellen, die ausgenutzt werden könnten. Veraltete Software ist ein typischer Angriffspunkt für Hacker. Angreifer suchen dann gezielt nach Systemen, die noch alte Versionen installiert haben, um genau diese Lücken ausnutzen zu können. Updates installieren oder auf neuere Versionen der Software umzusteigen, hilft daher, um dieses Sicherheitsrisiko gekonnt zu umgehen. Da veraltete Software häufig ein Problem darstellt, gehört sie definitiv zu den 10 kritischen Schwachstellen.
4. Keine Zwei-Faktor-Authentisierung
Ein weiterer Grund für Sicherheitsmängel kann eine nicht eingerichtete Zwei-Faktor-Authentisierung, kurz auch einfach 2FA genannt, sein. Der Nutzer muss hier zwei unterschiedliche Faktoren zur Authentisierung verwenden. Also etwa das Passwort auf der Website und ein Handy mit Fingerabdrucksensor zum Freischalten des Logins. Sicherheitskritische Bereiche können auf diese Weise erfolgreich abgesichert werden. Denn selbst dann, wenn ein Angreifer Ihr Passwort kennt, fehlt ihm für gewöhnlich der zweite Faktor zum erfolgreichen Login. Aus Bequemlichkeit wird häufig auf die Zwei-Faktor-Authentisierung verzichtet. Ein großer Fehler.
5. Generische Benutzernamen
Immer wieder kommen auch vordefinierte Benutzernamen zum Einsatz. Gemeint sind damit automatisch vergebene Namen wie »Admin« oder »Benutzer10«. Diese werden von unterschiedlichen Systemen vergeben, sobald diese erfolgreich eingerichtet sind. Das Sicherheitsrisiko dabei ist, dass jeder, der das System kennt, auch weiß, wie potenzielle Nutzer heißen. Auf diese Weise lassen sich oft bereits erste Daten sammeln oder auslesen, die dann, in Kombination mit dem Passwort oder einem anderen Zugang noch umfangreicher genutzt werden.
6. Generische Verzeichnisnamen
Punkt 6 der 10 kritischen Schwachstellen verhält sich ähnlich wie Punkt 5. Viele Services und Web-Anwendungen legen bestimmte Verzeichnisse an. Auch diese werden oft nach einem gleichbleibenden Schema benannt. Angreifer wissen dann genau, unter welchem Namen Benutzerprofile, PHP-Dateien oder Logins liegen. Das erhöht das Sicherheitsrisiko und ermöglicht Brute-Force-Attacken auf bestehende Strukturen. Weil das mitunter sehr einfach ist, sollten derartige Verzeichnisse nach Möglichkeit immer angepasst werden. Am besten sind individuelle Namen.
7. Weitläufige Benutzerrechte
Eine weitere Schwachstelle befasst sich mit den Benutzerrollen oder auch Zugriffsrechten. Jeder im Unternehmen sollte nur das sehen, was für seine Augen bestimmt ist. Immer wieder kommt es aber vor, dass pauschale Nutzer angelegt werden. Also Nutzer, die mehr Zugriffsrechte erhalten, als sie für ihre Arbeit benötigen. Oft ist dies der Fall, da die pauschale Vergabe solcher Rechte einfacher oder eine Selektierung dieser gar nicht vorgesehen ist. Hier sollten Sie sich unbedingt um eine entsprechende Lösung bemühen, falls dies bei Ihren Systemen auch der Fall sein sollte.
8. Unsichere Kontaktmöglichkeiten
Ein weiteres Einfallstor sind die Kontaktformulare oder Live-Chat-Systeme. Diese beinhalten immer das potenzielle Risiko, dass sie als Einfallstor für Dateien missbraucht werden. Meist, weil es mit ihnen möglich ist, Anhänge zu versenden, manchmal aber auch, weil sie anfällig für codierte Zeichenabfolgen sind. Je nach Anbieter und Script, kann das Risiko entsprechend hoch ausfallen. Wer unbedingt ein Kontaktformular verwenden möchte, sollte es deshalb separat von der eigentlichen Web-Anwendung betreiben oder entsprechend stark absichern.
9. Keine Firewall im Einsatz
Eine ebenfalls recht häufige Schwachstelle betrifft die Grundabsicherung. Viele sind sich nicht im Klaren darüber, dass eine Firewall notwendig ist, um bösartige Anfragen zu blockieren. Doch genau das ist wichtig. Denn ohne eine entsprechende Firewall finden permanent automatisierte Angriffe auf die IT-Infrastruktur statt, die nicht nur ein großes Sicherheitsrisiko darstellen, sondern auch unnötig viele Ressourcen verbrauchen. Wer bösartige Anfragen und Bots blockiert, der hat daher in der Regel nur Vorteile. Die besten Open Source Firewalls findet ihr bei uns im Blog verlinkt.
10. Unsensibilisierte Mitarbeiter
Noch etwas ist von großer Bedeutung, um in Unternehmen für entsprechende Sicherheit zu sorgen. Die Sensibilisierung von Mitarbeitern. Denn nur wenn Mitarbeiter wissen, welche Phishing-Methoden es gibt und wie Angriffe allgemein aussehen, können sie diese auch verhindern. Als AWARE7 GmbH bieten wir zu diesem Zweck sogenannte Security Awareness Kurse und Phishing Simulationen an. Mit diesen werden Mitarbeiter für Gefahren sensibilisiert und haben etwaige Angriffe schon einmal gesehen. Allein das Wissen darüber, dass diese existieren, hilft schon dabei, um zukünftig darauf zu achten.
Welcher Sicherheitslücken können selbst geschlossen werden?
Prinzipiell können viele Einfallstore, Sicherheitslücken und infolgedessen Schwachstellen in Unternehmen selbst geschlossen werden und die 10 hier genannten kritischen Schwachstellen sind definitiv nicht die einzigen. Oft handelt es sich um typische Bereiche, die einfach nicht genug abgesichert wurden oder über die Zeit hinweg vernachlässigt worden sind. Die Behebung solcher Schwachstellen erfordert also nur etwas Mühe und schon ist die gesamte IT-Infrastruktur wieder sicherer.
Typische Schwachstellen lassen sich auch mit der OWASP Top 10 Liste beheben. Diese gibt Aufschluss über gängige Angriffsmethoden und wo diese zu finden sind. Als erster Anhaltspunkt für eventuelle Security Fixes ist die Liste daher sehr wertvoll. Schauen Sie am besten gleich einmal rein und machen Sie sich selbst ein Bild.
Gemeinsam mit unseren Tipps und Tricks zur Behebung gängiger und typischer Schwachstellen sichern Sie sich so bereits recht umfangreich ab. Vor allem gilt es aber, die hier genannten typischen 10 kritischen Sicherheitslücken zu vermeiden. Vor allem deshalb, weil es sich um Angriffspunkte handelt, die jeder Hacker sofort ausprobiert. Für Angreifer sind diese Schwachstellen der erste und oft einfachste Zugriffspunkt. Ein Grund mehr also, diese nun schnellstmöglich zu schließen.