MEHR SCHUTZ, MEHR SICHERHEIT
Mit mod IT Services >
INDIVIDUELLES ANGEBOT
Für Ihre Umgebung >
VERMEIDBARE LÜCKEN
Interview zum Thema >
GRÖSSTE SCHWACHSTELLEN
Erfahrungsbericht lesen >

Safety first

Schützen Sie Ihre IT-Infrastrukturen
mit unseren Schwachstellenscans

Kein Unternehmen kann auf umfassende Maßnahmen zum Schutz seiner IT-Infrastrukturen und damit auf Schwachstellenscans verzichten. Die Systeme und Prozesse werden immer komplexer, und in vielen Bereichen sind die Gefahren in der eigenen Organisation zu finden. Wir unterstützen Sie dabei, die Schwachstellen und Sicherheitslücken zu identifizieren und zu analysieren.

Nutzen Sie einfach unser Angebot! 

Mehr Klarheit:

Unsere Spezialisten untersuchen die Lücken, die trotz vieler Sicherheitsmaßnahmen immer wieder unbeachtet bleiben. Oftmals reicht selbst ein fundiertes Patch Management nicht aus. Erfahrungsgemäß existieren an vielen Stellen noch immer schwache oder sogar Standard-Passwörter. Auch in der fehlerhaften Konfiguration von Servern, Peripheriegeräten und Anwendungen lauern große Gefahren. Das Angebot von mod IT Services bietet die Möglichkeit, die sicherheitsrelevanten Lücken per Schwachstellenanalyse in Ihrer IT besonders tiefgreifend und umfassend kennenzulernen.

Ihr Vorteil:

Sie erhalten Klarheit über das bisherige Sicherheitsniveau der IT-Infrastruktur Ihres Unternehmens. Gleichzeit zeigen Ihnen die Security-Spezialisten von mod IT Services auf, wo Handlungsbedarf besteht, um Ihre IT-Umgebung wirkungsvoll und nachhaltig abzusichern.

 

Das Angebot von mod IT Services

Schwachstellenscan für Ihre Umgebung

Wir scannen die Schwachstellen Ihrer IT-Infrastruktur auf verschiedenen Ebenen und liefern anschließend Lösungsansätze zur Beseitigung von möglichen Gefahren. Im Mittelpunkt stehen dabei die konkreten Anforderungen Ihres Unternehmens, um ein angemessenes und effizientes Sicherheitsniveau zu erreichen. Mit den fundierten Ergebnissen der Untersuchungen aus den Schwachstellenscannern von mod IT Services können Sie außerdem die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten sicherstellen.

Fordern Sie Ihr individuelles Angebot an

Unsere Leistungen

Gemeinsam mit Ihnen definieren wir die Ziele der Untersuchung und stimmen die Schwerpunkte der Überprüfung ab.

Wir scannen die internen Systeme (LAN) auf Schwachstellen und beziehen je nach Anforderung auch externe Systeme (Internet, DMZ) ein.

Wir untersuchen die Ergebnisse der Security-Scans und erarbeiten Empfehlungen für konkrete Lösungen.

Die Erkenntnisse der Untersuchung werden in einer Management-Präsentation vorgestellt und/oder im Rahmen eines Workshops für IT-Administratoren durch weitere Handlungsempfehlungen zum Thema Networkscanner ergänzt.

Kurz-Interview

„Manche Schwachstellen tauchen immer wieder auf“

Sebastian Brabetz, IT-Security Engineer bei mod IT Services, im Gespräch mit dem modus über die Untersuchungen bei zahlreichen Kunden.

modus: Sie haben bereits eine Vielzahl von Schwachstellenscans bei den Kunden von mod IT Services durchgeführt. Welche Erkenntnisse haben Sie dabei gewonnen?

Sebastian Brabetz: Bei der Auswertung der Ergebnisse lassen sich gewisse Trends erkennen. Außerdem tauchen immer wieder bestimmte Kategorien von Schwachstellen auf. Das gilt sowohl für Kunden, die noch kein Schwachstellenmanagement betreiben, als auch für jene Unternehmen, die bereits bestimmte Prüfungen vornehmen.

modus: Wie sehen die Unterschiede zwischen diesen beiden Gruppen aus?

Sebastian Brabetz: Bei Kunden ohne Schwachstellenmanagement ist eine Vielzahl kritischer Schwachstellen auf nahezu alle Geräten verteilt. Dies liegt nicht zuletzt daran, dass moderne IT Umgebungen

immer komplexer werden und neue Schwachstellen in rasantem Tempo über das Internet verbreitet werden. Diesen Risiken ist man ohne einen systematischen Schwachstellen-Management-Prozess schutzlos ausgeliefert.

modus: Wo liegen die Probleme bei den Kunden, die bereits ein gewisses Schwachstellenmanagement betreiben?

Sebastian Brabetz: Hier sieht die Situation etwas besser aus. Es existieren nicht ganz so viele kritische Schwachstellen. Allerdings haben wir bis jetzt bei jedem Scan noch die eine oder andere Lücke in Konfigurationen oder Patch-Prozessen identifiziert.

modus: Wie kann man diese Schwachstellen aufdecken?

Sebastian Brabetz: Grundsätzlich zahlt sich ein spezialisiertes Fachwissen über Schwachstellen und Bedrohungen aus. Die wenigsten mittelständischen Unternehmen können oder wollen dieses Know-how selbst aufbauen. Ein gesunder Mix aus Eigenerbringung und externer Beratung ist hier aus meiner Sicht der Schlüssel zum Erfolg.

„Unsere Spezialisten verfügen über langjährige Erfahrung in der Erkennung von Schwachstellen und führen die Scans in enger Abstimmung mit der IT-Administration durch. Im Anschluss werden die Gefährdungspunkte präsentiert und können auf Wunsch im Rahmen eines Workshops auch demonstriert werden.“

Sebastian Brabetz, Teamleiter Professional Security Solutions

Erfahrungsbericht

Die fünf gefährlichsten Sicherheitslücken

Aus den zahlreichen Schwachstellenscans haben die Sicherheitsspezialisten von mod IT Services interessante Erkenntnisse gewonnen. Die Auswertung der Ergebnisse offenbart viele Lücken. Die fünf gefährlichsten Schwachstellen beschreiben wir hier.

1. Fehlende Windows Updates
Bild 1: Windows ist der Meinung alle Updates wären installiert…

Windows ist der Meinung alle Updates wären installiert…

Das Patchen der Microsoft-Umgebung ist in allen Firmen mit Windows Servern mittlerweile ein selbstverständlicher Prozess. Microsoft bringt jeden Monat am Patch Day mindestens einen kritischen Patch heraus, der zeitnah eingespielt werden sollte. Doch was passiert mit den hochkritischen Systemen in der Produktion oder in den Forschungs- und Entwicklungsabteilungen? Hier wird aufgrund von fehlenden Hersteller-Supports oder aus Angst vor Unterbrechungen nicht automatisiert gepatcht.

Bild 2: …aber der Schwachstellenscanner zeigt ein anderes Bild.

…aber der Schwachstellenscanner zeigt ein anderes Bild.

Ein Klassiker ist auch der Fall, bei dem zwar alle Windows Updates installiert werden, aber die aktualisierten Dateien auf der Festplatte (oft DLLs) nach dem Patchen nicht die Versionsnummer aufweisen, die Microsoft verteilen wollte. So bestehen im System weiterhin teils kritische Sicherheitslücken, obwohl der Update-Dialog von Windows einen grünen Haken und „Windows ist auf dem aktuellsten Stand“ anzeigt. Außerdem gibt es immer wieder den Server oder Client, der vor Jahren aufgesetzt wurde und seither unbeaufsichtigt und ohne Pflege läuft. Ein Angreifer kann hier unter Umständen an administrative Benutzer und Domänen-Accounts gelangen.

2. Fehlendes Third Party Patch Management

Im Gegensatz zu Windows Updates und dem Windows Server Update Service (WSUS) von Microsoft ist es nicht in jedem Unternehmen selbstverständlich, eine zentrale Patch-Infrastruktur für Third-Party-Applikationen vorzuhalten. So sind der Acrobat Reader, Flash, Java, Firefox und Chrome eigentlich immer auf einigen Systemen mit veralteten Versionen vertreten. Genau diese Applikationen zählen heute allerdings zu den Haupt-Einfallstoren in Unternehmen. Für einen Angreifer ist es meist relativ einfach, die eingesetzten Versionen von Anwendungen aus der Ferne zu identifizieren. So präsentieren Browser und Applikationen wie der Acrobat Reader einem Webserver im Internet einen sogenannten „User Agent String“, der in vielen Fällen sogar die genaue Versionsnummer bis auf die Nachkommastelle preisgibt.

Bild 3: User Agent Strings verraten nicht selten die genaue Applikationsversion

User Agent Strings verraten nicht selten die genaue Applikationsversion

Ein Angreifer könnte beispielsweise einen Link oder ein legitimes PDF-Dokument mit dem Verweis auf einen Webserver versenden, der von ihm kontrolliert wird. Anschließend genügt die Auswertung des Webserver Log, um eine genaue Auflistung von vermeintlich verwundbaren Client-Applikationen zu bekommen. Eine einfache und schnell erledigte Möglichkeit ist es, das eigene Proxyserver Log auf die entsprechende „User Agent“ Spalte zu filtern und diese zu gruppieren. Mit genauen Versionsnummern kann ein Angreifer dann sogenannte Client-Side-Angriffe durchführen, bei denen Schwachstellen in den Applikationen der Anwender gezielt ausgenutzt werden, um das System völlig unbemerkt vom Anwender mit Malware zu infizieren. Einmal infiltriert, dient dieser Rechner im schlimmsten Fall als Sprungpunkt für Angreifer in das interne Firmennetzwerk.

3. Schwachstellen und Backdoors in Drucker-Firmware
Bild 4: Die Festplattenstruktur eines HP Druckers aus Sicht eines Schwachstellenscanners

Die Festplattenstruktur eines HP Druckers aus Sicht eines Schwachstellenscanners

Kaum ein Drucker wird heute noch direkt via USB mit einem Computer auf dem Schreibtisch des Anwenders verbunden. Üblicherweise stehen einer großen Benutzergruppe leistungsstarke Multifunktionsgeräte mit zusätzlicher Scan- und Faxfunktion zur Verfügung. Gedruckt, gemailt und gefaxt wird hier über das Netzwerk, in dem der Drucker oft uneingeschränkt ansprechbar ist. Nicht alle Unternehmen sind sich hierbei bewusst, dass diese Drucker regelmäßig Schwachstellen enthalten, die es ermöglichen, an Informationen auf dem Drucker zu gelangen. Ein gefährliches Szenario wäre hier zum Beispiel der ungeschützte Netzwerkdrucker auf der Chefetage, der es ermöglicht, alle gedruckten oder eingescannten Dokumente abzufangen. Eine Stufe gefährlicher wird es, wenn die administrativen Interfaces der Drucker nicht mit Passwörtern geschützt oder noch mit den Auslieferungs-Passwörtern versehen sind. Für versierte Angreifer wäre es möglich, eine manipulierte Firmware einzuspielen, die jedes gescannte oder gedruckte Dokument unbemerkt an eine externe E-Mail-Adresse versendet.

4. Default-Credentials und einfache Passwörter

„calvin“, „PASSW0RD“, „admin“ oder „changeme“ lauten die Standard-Passwörter, mit denen eine Vielzahl von Servern mit sogenannten „Out of Band Management Prozessoren“ (z.B. iLO, iDrac oder ähnliche) ausgeliefert werden.

Ein ungesicherter Fernwartungszugang ermöglicht nicht nur das harte Ausschalten eines kritischen Servers, sondern auch seine Administration. Tastatur, Bildschirm und Maus (KVM) können über das Netzwerk gesteuert werden. Auch das Einlegen von CD- oder USB-Stick-Abbildern ist auf diesem Wege möglich. Angreifer sind damit in der Lage, einen Server beispielsweise von einer CD zu booten und die Daten auf der Festplatte zu dem System auszulesen. Auch lokale Passwörter wie die des Administratorenkontos sind damit abrufbar.

Neben den Standardpasswörtern nach einer Auslieferung oder Installation sind eine Gefahrenquelle die weitverbreiteten schwachen Passwörter. Gerade Kennwörter wie „admin“, „12345“ oder „qwert“ sind mit sehr wenig Zeitaufwand durchprobiert und ermöglichen einem Angreifer den Zugang zu kritischen Systemen besonders einfach und schnell.

5. Unsichere Konfigurationen
Bild 5: Das kostenlose Microsoft Tool „Local Administrator Password Solution“ von Microsoft ermöglicht es individuelle Administrator-Kennwörter im Active Directory vorzuhalten.

Das kostenlose Microsoft Tool „Local Administrator Password Solution“ von Microsoft ermöglicht es individuelle Administrator-Kennwörter im Active Directory vorzuhalten.

Unsichere Konfigurationen können in allen möglichen Formen auftreten. Ob Dateifreigabe mit SSH-Private-Keys, Klartext-Passwortdokumente oder komplette Laufwerke, die versehentlich anstelle eines einzelnen Ordners freigegeben wurden: oftmals machen unbedarfte Konfigurationen und Flüchtigkeitsfehler das gesamte Firmennetzwerk angreifbar. Gerade wenn bestimmte Konstellationen von Schwachstellen auftreten, wird der unerlaubte Zugriff noch einfacher. Dies verdeutlicht das Beispiel: Eine veraltete Apache-Tomcat-Installation mit dem administrativen Kennwort „tomcat“ ermöglicht es, Java Code im Kontext des Webserver-Dienst-Benutzers auszuführen. Läuft dieser aufgrund manueller Eingriffe auf höchster Benutzerebene eines Windows-Systems, so kann ein Angreifer auf diesem Wege das Passwort des lokalen Administrator-Accounts auslesen. Wenn dieses Passwort zusätzlich auf allen Clients oder Servern identisch ist, hat ein Angreifer innerhalb kurzer Zeit nahezu das gesamte Firmennetzwerk übernommen.

Fazit unserer Untersuchungen:

Die hier gezeigten Schwachstellen sind nur einige Beispiele aus den angeführten Kategorien. Die Untersuchungen von mod IT Services haben viele Lücken gefunden, die oftmals einfach unentdeckt bleiben. Die Angriffsflächen sind in vielen Unternehmen mittlerweile so komplex, dass nur systematische Prozesse auf Dauer zu einer messbaren Steigerung der IT-Sicherheit führen können. Hier hilft das Angebot zum Schwachstellenscan, die Sicherheitslücken zu identifizieren, um anschließend die entsprechenden Maßnahmen für den Schutz zu ergreifen.

Kontakt

Ihr Ansprechpartner zum Angebot und für Ihre Fragen.

Wenn Sie ein Angebot von uns wünschen, dann klicken Sie bitte die Option an und hinterlassen uns Ihre Kontaktdaten über das Eingabefeld.

Gerne können Sie auch Fragen über das Nachrichtenfeld an uns richten, ohne ein Angebot anzufordern. Wir melden uns dann gern bei Ihnen zurück.

Individuelles Angebot anfordern!


captcha
mod IT Services - Markus Mönckemeyer

Markus Mönckemeyer

Mitglied der Geschäftsleitung und strategisches Projektmanagement
+49 511 90285-383
E-Mail senden