Freud und Leid der Remote-Arbeit: Wenn Server im Internet zugänglich werden

Die Arbeit aus dem Homeoffice hat deutlich zugenommen – und mit ihr die Anzahl der Remote-Zugriffe auf Unternehmensnetzwerke. Ohne Einwahl der Mitarbeitenden von außerhalb ins zentrale Netzwerk ist produktives Arbeiten kaum möglich. Gleichzeitig öffnet dies jedoch ein zusätzliches Einfallstor für Cyberkriminelle. Laut Verizon Data Breach Investigations Report 2022 steht der Missbrauch der Remote-Access-Funktion als Ausgangspunkt von Angriffen auf dem vierten Platz.

Das Kernproblem: Das Remote Desktop Protocol (RDP) ist darauf ausgelegt, Ressourcen über das Internet zugänglich zu machen. Angreifer suchen im Internet nach RDP-Servern – und haben in der Regel schnell Erfolg. So hat eine Suchmaschine, die entwickelt wurde, um Geräte mit offenen Ports oder Protokollen im Internet aufzuspüren, über vier Millionen zugängliche RPD-Ports ausfindig gemacht. Darüber hinaus brachte eine Untersuchung im Jahr 2022 mehr als 8.000 VNC-Geräte (Virtual Network Computing) ans Licht, die einen Netzwerkzugang ohne Authentifizierung ermöglichten. Besonders besorgniserregend dabei: Viele davon gehörten zu Organisationen aus dem KRITIS-Umfeld (Betreiber kritischer Infrastruktur).

Für cyberkriminelle Banden, wie beispielsweise die „Conti“-Ransomware-Gruppe, ist dies ein gefundenes Fressen: Sie nutzen diesen Angriffspunkt gezielt aus, um Ransomware in den Netzwerken ihrer Opfer zu installieren. Auch der Angriff der „DarkSide“-Gruppe auf die Colonial Pipeline hat gezeigt, wie schnell ein einziges geleaktes VPN-Passwort zum Albtraum auf Unternehmensseite werden kann. Der Cyberangriff, der zu den verheerendsten der letzten Jahre gehört, hatte zur Folge, dass fast die gesamte US-Ostküste tagelang nicht mit Benzin, Diesel und Kerosin versorgt werden konnte.

Welche Risiken bergen falsch konfigurierte und für RDP-Attacken anfällige Server?

Es gibt in dem Zusammenhang drei wesentliche Ansätze, die Angreifer verfolgen: die Verstärkung von Denial-of-Service-Angriffen (DDoS), das Einschleusen von Ransomware und den Diebstahl von Daten.

• DDoS-Angriffe: Über RDP-Server lassen sich DDoS-Attacken massiv verstärken. Wenn sich Hacker dieser bemächtigen, können die ausgemachten Ziele kontinuierlich mit enormen Datenmengen „beschossen“ werden – bis der anvisierte Service letztendlich zusammenbricht.
• Ransomware: Hacker dringen via RDP in das Unternehmensnetzwerk ein, scannen es dann von innen und installieren Ransomware auf relevanten Systemen. Im Jahr 2020 war dies die häufigste Methode, um Ransomware zu platzieren. 

• Datendiebstahl: Sobald Cyberkriminelle per RDP erfolgreich ins Netzwerk eingedrungen sind, haben sie es auf vertrauliche Daten abgesehen. Diese werden dann entweder direkt verkauft oder dazu genutzt, um Druck auf das Unternehmen auszuüben und Lösegelder zu fordern. Es kommt aber auch vor, dass Hacker Daten stehlen und sie in einem Atemzug mit Ransomware verschlüsseln.

Wer solche Gefahren vermeiden möchte, sollte bei der Netzwerkkonfiguration grundlegende Cyberhygiene-Prinzipien beachten. So gibt es beispielsweise gleich mehrere Möglichkeiten, um den RDP-Zugang auf einem Windows-Server abzusichern: IP-basierte Zugangsmöglichkeiten sollten beschränkt sein, die Verbindung per VPN (Virtual Private Network) erfolgen und/oder RDP-Ports geändert werden.

Im Zuge der Umsetzung einer Zero-Trust-Architektur spielen die vor allem folgenden Themen eine entscheidende Rolle:

• MFA: Bei der Mehrzahl der Server, die via RDP den Zugang per öffentlichem Internet ermöglichen, kommt keine Multifaktor-Authentifizierung (MFA) zum Tragen. Infolgedessen können Hacker einfach in das Netzwerk gelangen. Dafür müssen sie lediglich die IP-Adresse des Geräts eingeben, auf das sie zugreifen möchten.
• VPN: Bei der Verwendung eines VPN wird ein verschlüsselter Tunnel für den Netzwerkverkehr zwischen dem Remote-Benutzer und dem Unternehmensnetzwerk aufgebaut. Kommt zusätzlich MFA zum Einsatz, lässt sich das Risiko, dass der VPN-Zugang missbraucht wird, auf ein Minimum reduzieren. Damit das VPN zuverlässig funktioniert, ist zudem auf regelmäßige Aktualisierungen und Patches zu achten.
• Protokollierung der Remote-Zugänge: Wer Remote-Zugriffe protokolliert und eine Historie pflegt, schafft zusätzliche Sicherheit. Besteht der Verdacht, dass das Netzwerk kompromittiert wurde, enthalten diese Dokumentationen wichtige Informationen.
• EDR-Funktionalität (Endpoint Detection and Response): Darüber hinaus sollten Lösungen eingesetzt werden, die den Missbrauch von Remote-Zugängen erkennen und in der Lage sind, direkt Abwehrmaßnahmen zu ergreifen. Für den Schutz von Unternehmens-Servern oder Endgeräten sind solche Sicherheitsvorkehrungen von größter Bedeutung.

Erkennen und reagieren

Wenn es um die Absicherung von Remote-Zugänge geht, spielen moderne Lösungen zum Schutz von Endgeräten gegenüber fortschrittlichen Bedrohungen wie beispielsweise "Living-off-the-Land"-Angriffen eine entscheidende Rolle. Denn sie erkennen in der Regel auch Gefahren, die herkömmlichen Sicherheitstechnologien „durch die Lappen“ gehen.

Darum sollten Unternehmen auf eine umfassende Security-Architektur entlang des Zero-Trust-Modells setzten, die Sicherheit auf unterschiedlichsten Ebenen garantiert. WatchGuard EPDR schützt sowohl Endgeräte als auch Server – nicht nur vor Malware. Auch nicht-malware-basierte Angriffe werden gezielt vereitelt. Mithilfe der EDR-Komponente lassen sich Endgeräte kontinuierlich überwachen. Künstliche Intelligenz unterstützt bei der Klassifizierung aller sicherheitsrelevanten Ereignisse und trägt dazu bei, dass nur vertrauenswürdige Prozesse auf den Geräten ausgeführt werden. Eindringlingen, die sich per RDP-Zugriff verschaffen wollen, wird so effektiv die Tour vermasselt. Angriffe mit böswillig entwendeten Login-Daten können beispielsweise von Vornherein verhindert werden, da EDR alle Verbindungen zu IP-Adressen blockiert, die in Zusammenhang mit Brute-Force-Angriffen auf RDP-Servern stehen.