Attacken gegen Firewall & VPN

2024 lag der Fokus von Cyberkriminellen zunehmend auf der Ausnutzung von Schwachstellen am Unternehmensperimeter bzw. innerhalb von Infrastruktursystemen. Zudem zeigte sich, dass Angriffe in immer kürzeren Zeiträumen erfolgen. Laut Daten der Google Threat Intelligence Group (GTIG) aus dem Jahr 2024 betrafen 44 Prozent der Zero-Day-Attacken Technologien im Unternehmensnetzwerk, verglichen mit 37 Prozent im Jahr 2023. Die Mehrzahl der Bedrohungen richtete sich gegen Sicherheits- und Netzwerkprodukte wie Firewalls, VPN-Lösungen und mit Cloud-Diensten verbundene Geräte.

Warum diese Verlagerung der Ziele?

Technologien zum Perimeterschutz wie VPN, Business-Router, Load Balancer und Web Application Firewalls (WAF) verfügen in der Regel über erweiterte Berechtigungen. Sind diese Komponenten erstmal kompromittiert, können böswillige Akteure umfassenden Zugriff auf ein Netzwerk erlangen. Zudem arbeiten entsprechende Lösungsbausteine häufig außerhalb der Reichweite herkömmlicher Sicherheitstools wie Antivirensoftware oder Endpoint-Detection-and-Response-(EDR)-Lösungen, die auf Endgeräten installiert sind. Die gezielte Ausrichtung auf Sicherheits- oder Netzwerksysteme versetzt Angreifer in die Lage, die Gesamtstrukturen effektiv zu infiltrieren. Dadurch zahlt sich jeder entwickelte Exploit noch stärker aus. Im Gegensatz dazu betrifft die Ausnutzung von Browsern oder mobilen Anwendungen zumeist nur einen einzelnen Benutzer, die Schlagkraft solcher Angriffe ist somit deutlich geringer.

Angesichts dieser Entwicklungen ist es für Unternehmen entscheidend, zu erkennen, welche Auswirkungen die zunehmende Ausnutzung von Schwachstellen auf die Sicherheitslage haben kann. Es gilt zu verstehen, in welchen Bereichen Maßnahmen verstärkt werden müssen.

Verbessertes Patch-Management: Hier besteht offensichtlicher Handlungsbedarf, da Angreifer schneller und selektiver vorgehen. Kritische Schwachstellen werden im Handumdrehen ausgenutzt, entsprechend müssen Unternehmen ihre Patch-Routinen – insbesondere für wichtige Systeme – gezielt stärken.
Isolierung bei Angriffen auf Perimetersysteme: Solange Patches noch keine Wirkung entfalten, kommt es umso mehr darauf, bei Technologien wie VPN und Firewalls MFA einzusetzen und eine ständige Überwachung und adäquaten Schutz (z.B. IPS-Regeln) zu gewährleisten. Zudem sollten sie von der vollständigen Kontrolle des Active Directory isoliert werden.
Audits und erweiterte Erkennung: Hybride Umgebungen erhöhen das Risiko von „Blind Spots”. Beim Zusammenwirken von On-premises- und Cloud-Umgebungen ist es schwierig, vollständige Transparenz zu behalten. Es ist unerlässlich, sowohl in internen Netzwerken als auch in der Cloud Audits durchzuführen und Warnmeldungen zu generieren, damit verdächtige Aktivitäten effektiv erkannt werden können.

XDR: Verbesserung der Verteidigung

In einer Umgebung, in der sich Bedrohungen über verschiedene Ebenen hinweg bewegen können – vom Perimeter bis zur Cloud – behindert der Einsatz isolierter Tools eine effektive Reaktion. Deshalb ist eine einheitliche Übersicht erforderlich, um Signale aus verschiedenen Quellen zu korrelieren, Angriffsmuster zu erkennen und schnell zu reagieren.

XDR-Lösungen (Extended Detection and Response) integrieren Daten von Endpunkten, Peripheriegeräten und Cloud-Diensten, verbessern die Erkennung von Vorfällen und beschleunigen Reaktionsmaßnahmen. Für Managed Service Provider ist XDR zudem ein wichtiges Werkzeug, um mehrere Kundenumgebungen von einer einzigen Plattform aus zu überwachen. Dies ermöglicht eine frühzeitigere Erkennung von Bedrohungen und erleichtert die Umsetzung koordinierter Eindämmungsmaßnahmen aus „einem Guss“.

Wenn Sie mehr über XDR und dessen Vorteile für die Unternehmenssicherheit erfahren möchten, lesen Sie die folgenden Artikel in unserem Blog: