Updates
Angreifer sind immer auf der Suche nach veralteten und ungenutzten Testkonten. Und leider stoßen sie allzu oft auf öffentlich zugängliche Cloud-Container, die verstaubte, aber nach wie vor kritische Daten enthalten. Manchmal nutzen Angreifer sogar Schwachstellen in App-Komponenten aus, obwohl diese schon vor zwei Jahren gepatcht wurden. Solche Sicherheitsverletzungen haben etwas gemeinsam: Die Angreifer nutzen immer etwas Veraltetes aus, beispielsweise einen Dienst, einen Server oder ein Benutzerkonto. Manchmal verliert das IT- und Sicherheitsteam Teile der IT-Unternehmensinfrastruktur aus dem Blick. Geräte werden von niemandem mehr verwaltet, sind eigentlich nutzlos, geraten einfach in Vergessenheit. Solche IT-Zombies gefährden nicht nur die Informationssicherheit und können gesetzliche Vorschriften verletzen, sie verursachen auch unnötige Betriebskosten. Eigentlich sind sie typische Elemente einer Schatten-IT, nur mit einem wesentlichen Unterschied: Niemand benötigt sie und keiner weiß oder profitiert von ihnen.
Wir wollen herausfinden, welche Geräte sofortige Aufmerksamkeit erfordern, wie man sie identifizieren kann und wie eine Reaktion aussehen sollte.
Physische und virtuelle Server
Priorität: hoch. Verwundbare Server sind Einstiegspunkte für Cyberangriffe, verbrauchen weiterhin Ressourcen und gefährden die Einhaltung gesetzlicher Bestimmungen.
Häufigkeit: hoch. Nach Migrationsvorgängen, Fusionen und Übernahmen bleiben physische und virtuelle Server in großen Infrastrukturen häufig unbeaufsichtigt zurück. Auch Testserver verschwinden nach dem echten Start von IT-Projekten häufig in der Versenkung. Das gleiche Schicksal droht domänenlosen Webservern für ältere Projekte. Das Ausmaß dieses Problems wird durch eine Statistik von Lets Encrypt deutlich: 2024 stammte die Hälfte der Anfragen zur Domänenverlängerung von Geräten, die nicht mehr mit der angeforderten Domäne verbunden waren. Weltweit gibt es ungefähr eine Million solcher Geräte.
Erkennung: Die IT-Abteilung muss einen automatischen Ermittlungs- und Abgleichsprozess (AD&R) implementieren. Dieser kombiniert die Ergebnisse der Netzwerkuntersuchung und der Cloud-Inventarisierung mit Daten aus der Datenbank für Konfigurationsmanagement (CMDB). Dadurch werden veraltete oder widersprüchliche Informationen über IT-Assets rechtzeitig identifiziert und vergessene Geräte werden gefunden.
Zudem sollten alle öffentlichen IP-Adressen des Unternehmens auf Schwachstellen gescannt werden. Daraus ergeben sich zusätzliche Informationen.
Reaktion: Lege per Richtlinie offiziell fest, wie Server außer Betrieb genommen und stillgelegt werden. Dazu gehören auch die Überprüfung der vollständigen Datenmigration sowie die anschließende Vernichtung von Serverdaten. Danach kann der Server heruntergefahren, entsorgt oder für andere Zwecke eingesetzt werden. Der Server muss in ein vollständig isoliertes Subnetz verschoben werden, bis das Verfahren komplett abgeschlossen wurde.
Für Testumgebungen lässt sich dieses Risiko reduzieren, indem Erstellung und Abschaltung automatisiert werden. Die Testumgebung wird bei Projektbeginn angelegt und nach einem bestimmten Zeitraum oder nach einer festgelegten Inaktivitätsdauer wieder gelöscht. Zur erhöhten Sicherheit müssen Testumgebungen streng von der primären Umgebung (Produktion) isoliert sein und für Tests dürfen nur anonymisierte Unternehmensdaten verwendet werden. Echte Daten sind tabu.
Vergessene Benutzer-, Dienst- und Gerätekonten
Priorität: kritisch. Inaktive und privilegierte Benutzerkonten sind beliebte Ziele für Angreifer, die sich in einem Netzwerk einnisten oder den Zugriff innerhalb einer Infrastruktur ausweiten wollen.
Häufigkeit: sehr hoch. Benutzerkonten für technische Dienste, Konten für Auftragnehmer und nicht personalisierte Accounts geraten am häufigsten in Vergessenheit.
Erkennung: Analysiere regelmäßig das Benutzerverzeichnis (in den meisten Unternehmen ist dies Active Directory) und identifiziere alle Konten, die über einen bestimmten Zeitraum (Monat, Quartal oder Jahr) inaktiv waren. Kontrolliere bei dieser Gelegenheit auch die Berechtigungen, die den einzelnen Benutzerkonten zugewiesen sind. Findest du überflüssige und unnötige Berechtigungen – weg damit.
Reaktion: Veraltete Benutzerkonten sollten einfach deaktiviert oder gelöscht werden. Eine vorherige Rücksprache mit dem Inhaber des Dienstes oder dem zuständigen Vorgesetzten kann nicht schaden. Für dieses Problem bietet sich als skalierbare Lösung eine komplexe Identitäts- und Zugriffsverwaltung (IAM) an. In solchen Systemen sind das Anlegen, Löschen und Zuweisen von Kontoberechtigungen eng in die Prozesse der Personalverwaltung integriert.
Wichtig bei Dienstkonten: Die Sicherheit von Passwörtern und das Ablaufdatum von Zugriffstoken müssen routinemäßig überprüft und bei Bedarf geändert werden.
Vergessene Datenspeicher
Priorität: kritisch. Die Hauptursache für schwere Sicherheitsverletzungen zwischen 2024 und 2025 war die unzureichende Kontrolle von Daten in extern zugänglichen Datenbanken, Cloud-Speichern und Papierkörben sowie in File-Sharing-Diensten (selbst, wenn diese als „sicher“ galten). Bei solchen Lecks können gescannte Dokumente, Patientenakten und persönliche Informationen abfließen. Sicherheitsvorfälle führen möglicherweise auch zu Strafen wegen Verstößen gegen HIPAA, DSGVO und andere Datenschutzbestimmungen, die den Umgang mit personenbezogenen und vertraulichen Daten regeln.
Häufigkeit: hoch. Archivierte Daten, Datenkopien, die bei Auftragnehmern liegen, Datenbankversionen aus uralten Systemmigrationen bleiben in vielen Unternehmen oft jahrelang (oder sogar über Jahrzehnte) unberücksichtigt liegen, sind aber weiterhin zugänglich.
Erkennung: Es gibt unzählige Datentypen und Speichermethoden, darum müssen verschiedene Erkennungstools kombiniert werden:
- native Audit-Subsysteme innerhalb der Plattformen großer Anbieter (z. B. AWS Macie und Microsoft Purview)
- spezialisierte Lösungen für Datenerkennung und Datensicherheitsmanagement
- automatisierte Analyse von Inventarisierungsprotokollen (z. B. S3-Inventarisierung)
Ein spezielles Problem sind Daten, die Auftragnehmer in ihrer eigenen Infrastruktur ablegen. Hier greifen diese Tools nicht mehr. Die Lösung: Es wird vertraglich festgelegt, dass das eigene Sicherheitsteam auf den Datenspeicher des Auftragnehmers zugreifen kann. Ergänzend eignen sich Threat Intelligence-Dienste. Sie erkennen öffentlich zugängliche oder gestohlene Datensätze, die mit der Unternehmensmarke zusammenhängen.
Reaktion: Analysiere die Zugriffsprotokolle und integriere den Datenspeicher in deine DLP- und CASB-Tools. Dann kannst du die Nutzung des Speichers überwachen und feststellen, wenn er nicht mehr aktiv genutzt wird. Verwende geeignete Tools, um den Speicher auf sichere Weise zu isolieren. Erstelle ein sicheres Backup (falls erforderlich) und lösche die Daten. Sehr wichtig auf der Ebene der Unternehmensrichtlinie: Aufbewahrungsfristen für verschiedene Datentypen festlegen sowie die automatische, fristgerechte Archivierung und Löschung von Daten organisieren. In der Richtlinie muss auch stehen, nach welchen Verfahren neue Speichersysteme erstellt werden. Es darf keine unbeaufsichtigten Daten geben, die ohne Einschränkungen, Passwörter oder Verschlüsselung zugänglich sind.
Ungenutzte Programme und Dienste auf Servern
Priorität: mittel. Schwachstellen in diesen Diensten erhöhen das Risiko erfolgreicher Cyberangriffe, erschweren das Patchen und verschwenden Ressourcen.
Häufigkeit: sehr hoch. Dienste werden oft während der Serverinstallation standardmäßig aktiviert, bleiben nach Test- und Konfigurationsarbeiten in Betrieb und laufen auch weiter, nachdem der betreffende Geschäftsvorgang abgeschlossen wurde.
Erkennung: durch regelmäßige Audits der Softwarekonfigurationen. Server können durch ein rollenbasiertes Zugriffsmodell effektiv überwacht werden. Dabei erhält jede Serverrolle eine Liste mit erforderlicher Software. Neben der CMDB gibt es dafür ein breites Spektrum an Tools: OpenSCAP und Lynis mit Schwerpunkt auf Richtlinieneinhaltung und Systemhärtung, Mehrzweck-Tools wie OSQuery, Schwachstellen-Scanner wie OpenVAS sowie Analyseprogramme für den Netzwerkverkehr.
Reaktion: Überprüfe die Serverfunktionen nach einem festen Zeitplan, am besten gemeinsam mit den Serverbetreibern. Alle überflüssigen aktiven Anwendungen oder Dienste müssen deaktiviert werden. Welche Präventivmaßnahmen gibt es? Implementiere im gesamten Unternehmen das Prinzip der geringsten Rechte und stelle sichere Basis-Images oder Vorlagen für standardmäßige Server-Builds bereit. Dann wird unnötige Software nicht mehr standardmäßig installiert oder aktiviert.
Veraltete APIs
Priorität: hoch. APIs werden häufig von Angreifern ausgenutzt, um große Mengen an vertraulichen Daten zu exfiltrieren und in ein Unternehmen einzudringen. Im Jahr 2024 stieg die Zahl der API-bezogenen Angriffe um 41 %. Dabei zielten die Angreifer auf veraltete APIs, die ihre Daten oft ungeprüft und ohne Beschränkungen bereitstellen. Ein Beispiel dafür sind 200 Millionen durchgesickerte Datensätze bei X/Twitter.
Häufigkeit: hoch. Wenn ein Dienst zu einer neuen API-Version wechselt, bleibt die alte oft weiterhin im Einsatz, insbesondere wenn sie immer noch von Kunden oder Partnern genutzt wird. Veraltete Versionen werden in der Regel nicht mehr gewartet, Sicherheitslücken und Schwachstellen in den Komponenten werden nicht gepatcht.
Erkennung: Auf WAF- oder NGFW-Ebene ist es wichtig, den Datenverkehr bestimmter APIs zu überwachen. Dadurch lassen sich Anomalien erkennen, die auf Exploits oder Datenexfiltration hinweisen können, und APIs, die nur minimalen Datenverkehr unterhalten, können identifiziert werden.
Reaktion: Für die identifizierten APIs mit geringer Aktivität muss gemeinsam mit dem Unternehmen ein Plan für die Abschaltung entwickelt werden. Alle verbleibenden Nutzer werden auf neue Versionen migriert.
Für Unternehmen mit einer großen Anzahl von Diensten eignet sich dafür am besten eine API-Verwaltungsplattform in Verbindung mit einer offiziellen Richtlinie für den API-Lebenszyklus. Diese Richtlinie sollte die Kriterien für die Ausmusterung und Stilllegung veralteter Softwareschnittstellen genau definieren.
Software mit veralteten Abhängigkeiten und Bibliotheken
Priorität: hoch. Hier verbergen sich umfangreiche und kritische Schwachstellen (wie beispielsweise Log4Shell). Mögliche Folgen: Kompromittierung des Unternehmens und Konflikte mit gesetzlichen Vorschriften.
Häufigkeit: sehr hoch, insbesondere in großen Unternehmensverwaltungssystemen, industriellen Automatisierungssystemen und kundenspezifischer Software.
Erkennung: Verwende eine Kombination aus Schwachstellenmanagement-Systemen (VM/CTEM) und Tools zur Software-Kompositionsanalyse (SCA). Ein Muss für interne Entwicklungen ist der Einsatz von Scannern und umfassenden Sicherheitssystemen, die in die CI/CD-Pipeline integriert sind. Nur so lässt sich verhindern, dass Software mit veralteten Komponenten erstellt wird.
Reaktion: Auch hier ist die Unternehmensrichtlinie gefragt: IT- und Entwicklungsteams müssen die Softwareabhängigkeiten systematisch aktualisieren. Bei der Entwicklung interner Software muss die Abhängigkeitsanalyse Teil der Programmtests sein. Bei Drittanbieter-Software ist es wichtig, den Status und das Alter der Abhängigkeiten regelmäßig unter die Lupe zu nehmen.
Für externe Softwarehersteller sollte die Aktualisierung von Abhängigkeiten vertraglich festgelegt sein und mit der Supportdauer und dem Projektbudget verbunden werden. Damit diese Anforderungen erfüllt werden, wird ein aktuelles Software-Inventar (SBOM) gepflegt.
Mehr darüber, wie du Schwachstellen rechtzeitig und effektiv beheben kannst, erzählen wir in einem separaten Blog-Artikel.
Vergessene Websites
Priorität: mittel. Vergessene Websites können von Angreifern für Phishing, Malware-Hosting oder Betrugszwecke missbraucht werden und dadurch den Ruf des Unternehmens beschädigen. In schwerwiegenden Fällen können sie zu Datenschutzverletzungen führen oder als Einfallstor für Angriffe dienen. Ein spezieller Aspekt sind vergessene Domänen, die für einmalige Aktivitäten dienten, abgelaufen sind und nicht verlängert wurden. Solche Domänen werden wieder zum Kauf angeboten.
Häufigkeit: hoch, insbesondere für Websites, die für kurzfristige Kampagnen oder einmalige interne Aktivitäten erstellt wurden.
Erkennung: Die IT-Abteilung muss alle öffentlichen Websites und Domänen zentral erfassen und den Status jeder einzelnen Website monatlich oder vierteljährlich zusammen mit den Besitzern überprüfen. Gute Dienste leisten auch Scanner und DNS-Monitore: Sie verfolgen die Domänen, die mit der IT-Infrastruktur des Unternehmens verbunden sind. Eine weitere Schutzebene bieten Threat Intelligence-Dienste: Sie können alle Websites erkennen, die mit der Unternehmensmarke zusammenhängen.
Reaktion: Auch hier muss eine Richtlinie her. Nicht aktiv genutzte Websites werden nach einem festgelegten Zeitraum obligatorisch deaktiviert. Implementiere ein automatisiertes System zur DNS-Registrierung und -Verlängerung, damit die Unternehmensdomänen dauerhaft unter deiner Kontrolle bleiben.
Ungenutzte Netzwerkgeräte
Priorität: hoch. Router, Firewalls, Überwachungskameras und Netzwerkspeichergeräte, die zwar verbunden sind, aber nicht mehr verwaltet und gewartet werden, sind perfekte Startrampen für Angriffe. Diese vergessenen Geräte bergen oft Schwachstellen und werden fast nie überwacht (EDR- oder SIEM-Integration fehlen). Sie nehmen jedoch eine privilegierte Position im Netzwerk ein und vereinfachen Hackern die Eskalation von Angriffen auf Server und Workstations.
Häufigkeit: mittel. Geräte werden bei Büroumzügen, Upgrades der Netzwerkinfrastruktur oder temporären Arbeitsplätzen vergessen.
Erkennung: Verwende die oben erwähnten Tools zur Netzwerk-Inventarisierung (siehe „Vergessene Server“) und führe regelmäßige physische Audits durch, um die Daten von Netzwerkscans mit den tatsächlich verbundenen Geräten abzugleichen. Aktive Netzwerkscans können unberücksichtigte Netzwerksegmente und unerwartete externe Verbindungen aufdecken. Mach dich auf Überraschungen bereit.
Reaktion: Unbeaufsichtigte Geräte können normalerweise sofort vom Netz getrennt werden. Aber Vorsicht! Auch diese Geräte müssen sorgfältig bereinigt werden. Nur so lässt sich verhindern, dass Netzwerkeinstellungen, Passwörter, Videoaufzeichnungen und ähnliches abfließen.
Tipps