Beim “Oldsmar-Hack” ging es um einen Angriff auf die Wasserversorgung der Kleinstadt Oldsmar in Florida.
Zwischenzeitlich haben das FBI, die Cybersecurity and Infrastructure Security Agency (CISA), die Environmental Protection Agency (EPA), und das Multi-State Information Sharing and Analysis Center (MS-ISAC) dazu ein “Joint Cybersecurity Advisory” veröffentlicht.
Die “Mitigations” sind eine Liste von Hinweisen, wie man das Risiko für solche Angriffe vermindern kann.
- Update to the latest version of the operating system (e.g. Windows 10).
Die Nutzung aktueller Betriebssysteme und Programme ist ein Schutz gegen Angreifer, die bekannte Schwachstellen nutzen - Use multiple-factor authentication.
Nur das Kennwort reicht nicht. Egal wie komplex. Ein zusätzlicher Schlüssel, z.B. ein Einmal-Kennwort per Mail, erhöht die Sicherheit sehr. - Use strong passwords to protect Remote Desktop Protocol (RDP) credentials.
RDP, also der direkte Zugang zu einem Terminal Server oder PC über die Microsoft eigene “Fernwartung” sollte überhaupt nicht mehr direkt eingesetzt werden.
In jedem Fall muss eine VPN-Verbindung vorgeschaltet sein. - Ensure anti-virus, spam filters, and firewalls are up to date, properly configured and secure.
Die üblichen “Schutzsysteme sollten natürlich aktuell sein. Virenscanner sollten sich öfter als einmal pro Tag aktualisieren und möglichst auf aktuelle “Cloud-Datenbanken” zurückgreifen können. - Audit network configurations and isolate computer systems that cannot be updated.
Wenn schon veraltete Systeme zum Einsatz kommen, dann sollten diese im Netzwerk isoliert und besonders überwacht werden. - Audit your network for systems using RDP, closing unused RDP ports, applying multiple-factor authentication wherever possible, and logging RDP login attempts.
Die regelmäßige Schwachstellenanalyse kann auch durch spezielle Programme im Rahmen des SIEM durchgeführt werden. Es braucht aber auch einen Menschen, der die Informationen prüft, bewertet und entsprechend handelt. - Audit logs for all remote connection protocols.
Jeder Fernzugang muss dokumentiert werden. Ideal wäre ein “Vier-Augen Prinzip”, bei dem Einer die Fernwartung nutzt und der Andere das überwacht. - Train users to identify and report attempts at social engineering.
Das regelmäßige Training aller Nutzer ist auch Teil der ISMS’s. Leider oft vernachlässigt oder auf das Verteilen von Informationen im Intranet beschränkt. Damit es wirklich funktioniert, braucht man ein gut überdachtes Konzept, das auch die “Warnung” vor speziellen Angriffen oder Gefahrenlagen beinhaltet. - Identify and suspend access of users exhibiting unusual activity.
Das “Live-Monitoring” der Infrastruktur ist eine schwierige Sache. Man befindet sich ständig im Konflikt mit dem Datenschutz und muss auch noch Mechanismen einführen, um schnell reagieren zu können.
Bestimmte Software kann hier unterstützen, aber ohne Menschen mit der notwendigen Erfahrung und ausreichenden “Fingerspitzengefühl” wird es nicht funktionieren.
Auch bezogen auf den TeamViewer gibt es Empfehlungen:
- Do not use unattended access features, such as “Start TeamViewer with Windows” and “Grant easy access.”
Eine sehr beliebte Konfiguration seit Corona. Damit man leicht von Zuhause aus zugreifen kann – wobei ich das Konzept ohne VPN schon komplett ablehnen würde – soll es wenig Hindernisse geben. Dieses Vorgehen widerspricht schon im Grundsatz jeglichem Wunsch nach Sicherheit. - Configure TeamViewer service to “manual start,” so that the application and associated background services are stopped when not in use.
Selbst wenn man “von Hand” startet und beendet – es gibt immer noch ausreichend Fallen. So habe ich bei einem Test herausgefunden, dass manche Anwender nur das Fenster mit dem “X” schliessen, das Programm dadurch aber lediglich in die Taskleiste verschwindet. Im Ergebnis konnte ich auch bei einem gesperrten Computer weiterhin auf das komplette Dateisystem incl. Netzwerklaufwerke zugreifen. Während der Nutzer am Mittagstisch gesessen hat. - Set random passwords to generate 10-character alphanumeric passwords.
Wie schon erwähnt – besser wäre 2FA Anmeldungen bzw. ein vorgeschaltetes VPN. - If using personal passwords, utilize complex rotating passwords of varying lengths. Note: TeamViewer allows users to change connection passwords for each new session. If an end user chooses this option, never save connection passwords as an option as they can be leveraged for persistence.
Kennwortlisten sind praktisch. Besonders für Hacker, weil man daraus lernen kann, ob Anwender nach einem bestimmten System vorgehen. - When configuring access control for a host, utilize custom settings to tier the access a remote party may attempt to acquire.
So wenig wie möglich – so viel wie unbedingt notwendig. Ein einfacher Grundsatz, der zumindest den Schaden minimieren kann. - Require remote party to receive confirmation from the host to gain any access other than “view only.” Doing so will ensure that, if an unauthorized party is able to connect via TeamViewer, they will only see a locked screen and will not have keyboard control.
Was natürlich voraussetzen würde, dass jemand am Computer sitzt um den Zugriff zu erlauben. Das läuft auf das oben angesprochene “Vier-Augen Prinzip” hinaus. - Utilize the ‘Block and Allow’ list which enables a user to control which other organizational users of TeamViewer may request access to the system. This list can also be used to block users suspected of unauthorized access.
Nur bestimmten Nutzern den Zugriff zu erlauben ist sicherlich eine gute Massnahme. Wenn nur alle Nutzer von TeamViewer wüssten, das man so etwas auch machen kann. Hier haben wir wieder das Thema, dass viele Nutzer zu wenige über die Funktionen der Programme wissen. Deshalb sollten auch möglichst nur qualifizierte Anwender überhaupt solche Tools installieren können.
Auch wenn enige der oben genannten Punkte schon längst “Standard” sein sollten – die Realität ist eine andere.
Auch in Deutschland konnte ich als Zuhörer ein Gespräch mitbekommen, in dem ein Mitarbeiter einer KRITIS Einrichtung davon erzählte, wie er seinen eigenen Router am Arbeitsplatz eingebunden hat, um damit die “störenden” Sperren seines Arbeitgebers zu umgehen. Ich will gar nicht fragen, wie oft so etwas in Deutschland schon gemacht wurde.
Das bekannte “Security Triangle” zeigt klar, dass Sicherheit immer zu Lasten der Funktionalität und Benutzbarkeit geht.
Das müssen alle Verstehen, damit es sichere Infrastrukturen geben kann.