Isolierte Subnetze sind nur scheinbar sicher

Wird das Segment eines Netzwerkes durch Isolierung wirklich unangreifbar?

Einige IT-Sicherheitsfachkräfte sind der Meinung, dass isolierte Netzwerke keinen zusätzlichen Schutz brauchen – wenn kein Unbefugter in das Netz eindringen kann, warum sollte man diesbezüglich weitere Maßnahmen ergreifen? Leider bietet die Isolierung von Netzwerken oder Netzwerksegmenten keinen hundertprozentigen Schutz. Wir werden das anhand einiger Beispiele von echten Fällen verdeutlichen.

Gehen wir davon aus, unser hypothetisches Unternehmen hat ein isoliertes Subnetz mit einem Air Gap, d. h. der Zugriff sowohl über das Internet als auch über andere Segmente des Unternehmensnetzwerkes ist unmöglich. Darüber hinaus gelten im Rahmen der Sicherheitsrichtlinie des Unternehmens folgende Regeln:

  • Alle Geräte, die an das isolierte Segment angeschlossen sind, müssen über einen Virenschutz verfügen und einmal die Woche manuell aktualisiert werden (für ein isoliertes Netzwerksegment ist das völlig ausreichend).
  • Die Systemsteuerung von jedem Gerät muss die Verbindung von Flashspeicher verbieten, ausgenommen der Speicher, die auf der Liste von vertrauenswürdigen Geräten aufgeführt sind.
  • Die Verwendung von Smartphones vor Ort ist verboten.

Alles scheint in Ordnung zu sein. Was könnte da schiefgehen?

Szenario eins: Selbst gebastelte Internetverbindungen

Wenn in einer Einrichtung kein Internetzugriff möglich ist, werden gelangweilte Mitarbeiter manchmal kreativ und suchen nach Workarounds. Beispielsweise können sie sich ein zweites Smartphone anschaffen: Eins wird an der Rezeption abgegeben und das andere kann per Tethering als Modem verwendet werden, um über den Computer am Arbeitsplatz ins Internet zu gelangen.

Bei der Erstellung des Bedrohungsmodells für das isolierte Netzwerksegment wurden Netzwerkangriffe, Malware aus dem Internet und ähnliche Sicherheitsvorfälle nicht mit einbezogen. Auch wenn der Virenscanner rein theoretisch jede Woche aktualisiert werden müsste, sieht das in der Praxis oft ganz anders aus. Dementsprechend können Cyberkriminelle einen Computer mit Trojaner-Spyware infizieren, Zugriff auf das Netzwerk erhalten, mit der Malware das komplette Subnetz befallen und Informationen stehlen, bis die Schadsoftware im nächsten Virenscanner-Update entdeckt und außer Gefecht gesetzt wird.

Szenario zwei: Keine Regel ohne Ausnahme

Selbst in isolierten Netzwerken sind Ausnahmen vorgesehen – zum Beispiel ein vertrauenswürdiger Flashspeicher. Aber wenn es keine Einschränkungen bezüglich der Nutzung dieser Speichermedien gibt, kann es durchaus passieren, dass sie zum Kopieren von Dateien oder für andere Admin-Aufgaben in nicht isolierten Bereichen des Netzwerkes verwendet und dann mit dem isolierten Subnetz verbunden werden. Abgesehen davon verbinden Mitarbeiter vom technischen Support auch manchmal ihre Laptops mit einem isolierten Netzwerk, zum Beispiel, um Netzwerkgeräte innerhalb des Segments zu konfigurieren.

Wenn eine Zero-Day-Malware das isolierte Subnetz über einen vertrauenswürdigen Flashspeicher oder einen Laptop infiziert, wird die Schadware im Zielnetzwerk wahrscheinlich nicht lange unentdeckt bleiben, denn sobald der nicht isolierte Antivirus aktualisiert wird, kann er die Gefahr neutralisieren. Abgesehen von dem Schaden, den die Malware im nicht isolierten Hauptnetzwerk selbst in dieser kurzen Zeitspanne anrichten kann, wird die Malware in dem isolierten Segment bis zur nächsten Aktualisierung aktiv bleiben, was in unserem Szenario mindestens eine Woche dauert.

Die Folgen davon hängen von der Art der Malware ab. Die Schadware kann beispielsweise Daten auf den vertrauenswürdigen Flashspeichern schreiben. Nach kurzer Zeit könnte eine weitere Zero-Day-Bedrohung im nicht isolierten Segment nach verbundenen Geräten suchen, um die versteckten Daten zu finden und sie dann an einen Empfänger außerhalb des Unternehmens zu senden. Oder aber das Ziel der Malware ist Sabotage. Beispielsweise können damit die Software oder die industriellen Controller-Einstellungen verändert werden.

Szenario drei: Insider

Ein unbefugter Mitarbeiter mit Zugang zum Bereich, wo sich das isolierte Netzwerk befindet, kann den Netzwerkperimeter absichtlich kompromittieren. Das geht beispielsweise ganz einfach mit einem Raspberry-Pi, ein Miniaturcomputer, der mit einer SIM-Karte und mobilem Internetzugang ausgestattet ist. DarkVishnya ist einer der Beispiele von internen Angriffen auf Unternehmensinfrastrukturen.

Effektiver Schutz für isolierte Subnetze

In allen drei Szenarios fehlt etwas Ausschlaggebendes: Eine aktualisierte Sicherheitslösung. Wäre das Kaspersky Private Security Network im oben beschriebenen isolierten Netzwerksegment installiert, hätte die Sicherheitssoftware sofort auf die jeweiligen Bedrohungen reagiert und in Echtzeit neutralisiert. Die Lösung ist im Wesentlichen die vollständige private, lokale Version des cloud-basiertem Kaspersky Security Network. Aber mithilfe einer Data Diode wird zusätzlich gewährleistet, dass Daten den geschützten Perimeter des Unternehmens nicht verlassen.

Obwohl die Lösung lokal gespeichert ist, erhält Kaspersky Privacy Security Network alle Bedrohungsinformationen in Echtzeit und teilt diese mit den Endpoint-Lösungen innerhalb des entsprechenden Netzwerkes.  Auf der offiziellen Website finden Sie detaillierte Informationen zu dieser Lösung.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.