Unrühmliche Hitparade: NSA und CISA teilen Top-Sicherheits-Fehlkonfigurationen

Im Rahmen simulierter Hackerangriffe und der Analyse echter Attacken begegnen der US-Cybersicherheitsbehörde CISA und dem Auslandsgeheimdienst NSA immer wieder dieselben hausgemachten Sicherheitsprobleme. Eine Top-Ten-Liste zeigt Verteidigern und Herstellern nun Verbesserungspotential im eigenen Netz auf. Die Autoren des Artikels richten einen Appell speziell an Softwarehersteller, die Sicherheit ihrer Produkte noch ernster zu nehmen.

Unsichere Standardkonfigurationen an erster Stelle

An erster Stelle der unrühmlichen CISA-Hitliste stehen Standardkonfigurationen und -zugangsdaten, die Angreifer oft mit einer simplen Internet-Recherche herausfinden können. Auch unsicher konfigurierte Active-Directory-Zertifikatsdienste (ADCS) sind den Sicherheitsprofis ein Dorn im Auge, erlauben sie doch unter Umständen die Ausgabe eines "Golden Ticket", das Vollzugriff auf die Domäne gewährt.

Auf den Rängen finden sich weitere Kardinalfehler der IT-Sicherheit: Ungenügende Trennung von Netzwerksegmenten und Nutzerprivilegien, fehlendes Monitoring und ungenügendes Patchmanagement treten, so die amerikanischen Sicherheitsexperten, auch in Organisationen mit ansonsten ausgereifter Sicherheits-Infrastruktur auf. Weitere Plätze der Liste belegen:

• die Umgehung von Zugriffsbeschränkungen,
• schwache oder schlecht konfigurierte Mehr-Faktor-Authentifizierung,
• ungenügende ACLs bei Netzwerkdiensten,
• schlampiger Umgang mit Zugangsdaten und
• fehlende Einschränkungen für die Programmausführung

CISA und NSA beschäftigen Teams von Mitarbeitern mit Angriff ("Red Team") und Verteidigung ("Blue Team") bei simulierten und echten Hackerangriffen und machen in Behördennetzen Jagd auf Eindringlinge. Da die Spezialisten mehr als tausend Sicherheitsüberprüfungen in Regierungsbehörden bis hin zum US-Verteidigungsministerium (DoD) vorgenommen haben, hat ihre Einschätzung durchaus Gewicht. Umso beunruhigender, dass die Autoren einen Trend zu systematischen Schwachstellen in großen Organisationen erkennen.

Softwarehersteller und Admins in der Pflicht

Wenig überraschend empfehlen die Sicherheitsexperten dringend, sich mit höchster Priorität um Sicherheitslücken zu kümmern, die bereits aktiv von Angreifern ausgenutzt werden (CISA hält eine Datenbank solcher Lücken vor), liefern aber auch für alle anderen Sicherheitsfehler ihrer Liste Tipps für Gegenmaßnahmen. Besonders Softwarehersteller stehen in der Pflicht: So sollen sie MFA zum voreingestellten Standard erheben, Standardpasswörter abschaffen und Nutzern ihrer Programme ohne Aufpreis Zugang zu Protokolldateien ermöglichen – eine Spitze gegen Microsoft, die sich den Zugriff auf Logdateien bezahlen ließen. Vor allem aber sollen Softwareproduzenten Sicherheit von Anfang an im Entwicklungsprozess mitdenken.

Gemeinsam richten CISA und NSA einen "Appell an Netzwerkverteidiger und Softwarehersteller, häufige Probleme zu beheben", um bösartigen Akteuren so weniger Angriffsfläche zu bieten.

(cku)