Ist dein Sicherheitssystem sicher?

Der Schutz einer Sicherheitskonsole ist wichtiger, als man denkt. Hier erfährst du, wie die Verwaltungsschicht kompromittiert werden kann und wie du dies verhinderst.

Einstellungen der Konsole für das Sicherheitsmanagement härten

Unternehmen arbeiten systematisch daran, ihre Angriffsfläche zu reduzieren. Sie segmentieren Netzwerke, beheben Schwachstellen, führen EDR/XDR ein und automatisieren Reaktionen. Es mag paradox erscheinen, aber ein wichtiges Mosaikteil wird oft vergessen: die Sicherheit der Tools, die das gesamte Schutzsystem verwalten.

Dies liegt möglicherweise an einem Denkfehler. Es wird angenommen, dass ein Unternehmen sicher ist, weil alle erforderlichen Sicherheitslösungen installiert sind. In Wirklichkeit vergrößert jede zusätzliche Software die Angriffsfläche. Auch Sicherheitstools sind hier keine Ausnahme. Darum müssen auch diese Tools geschützt werden. Und zwar zuerst durch eine Härtung der Einstellungen.

Warum ein Angriff auf die Sicherheitskonsole ein Albtraum ist

Sicherheitstools sind nur so stark wie das System, auf dem sie ausgeführt werden. Wenn es einem Angreifer gelingt, in die Unternehmensinfrastruktur einzudringen und die Sicherheitsmanagementkonsole zu kapern, steht ihm praktisch nichts mehr im Weg. Er hat sozusagen den ultimativen Generalschlüssel, der ihm direkten Zugriff auf die zentralisierte Richtlinienverwaltung, Endpunktüberwachung, API-Integrationen und vieles mehr bietet.

In diesem Szenario muss der Angreifer die Schutzmaßnahmen nicht durch clevere Methoden umgehen. Er kann einfach die Konfiguration ändern. Da der Hacker Zugriff auf die Konsole hat, kann er sich einige mühsame Schritte ersparen:

  • Er muss das Netzwerk nicht untersuchen. Die Konsole erlaubt ihm den kompletten Überblick über die Infrastruktur und Sicherheitsarchitektur.
  • Er muss bösartige Aktivitäten nicht verbergen, sondern kann einfach die Sicherheitsrichtlinien anpassen und bestimmte Tools oder Warnungen deaktivieren.
  • Er muss schädliche Daten nicht diskret auf die Endpunkte verteilen, sondern kann die Masseninstallation von Software und Updates mithilfe integrierter Konsolentools erledigen.

Genau aus diesem Grund ist die Kompromittierung der Verwaltungsschicht überaus gefährlich. Bei proaktiv gedachter Cybersicherheit geht es nicht darum, wie viele Tools implementiert sind. Die Frage lautet vielmehr: Wie belastbar ist die Sicherheitsarchitektur des Unternehmens tatsächlich? Wenn die Verwaltungsschicht das schwache Glied ist, kann keine noch so tolle Hightech-Software dieses Risiko kompensieren.

So schützt du die Sicherheitskonsole

Theoretisch verfügen die meisten Sicherheitsmanagementsysteme über sämtliche Mechanismen für einen optimalen Schutz. Wo liegt das Problem? Die Härtungsmaßnahmen stehen zwar bereit, gelten aber nicht als obligatorisch. Sogar bei grundlegenden Dingen wie der Zwei-Faktor-Authentifizierung. Sicherheitsempfehlungen werden zwar veröffentlicht, aber nicht systematisch umgesetzt. Oder einfach ignoriert. Noch schlimmer: Wichtige Sicherheitseinstellungen, die von Haus aus aktiviert sind, können oft mit einem einzigen Klick abgestellt werden. Und solche Änderungen erstrecken sich häufig auf alle Nutzer. Leider werden diese Funktionen oft aus purer Bequemlichkeit deaktiviert.

Für die Praxis bedeutet dies, dass die Unternehmenssicherheit letztendlich von der Disziplin des Administrators abhängt. Disziplin darf aber nicht über die Sicherheitsarchitektur entscheiden.

Der moderne Ansatz zum Schutz der Verwaltungsschicht setzt vermehrt auf standardmäßige Sicherheit (secure-by-default). Dabei gehören wichtige Schutzfunktionen zur Grundkonfiguration und die Möglichkeiten einer globalen Deaktivierung sind eingeschränkt. Sicherheit ist also keine optionale Funktion mehr.

Es geht darum, das Rätselraten bei der Sicherheit von Schutztools zu beseitigen und die Angriffsfläche auf Management-Ebene zu reduzieren.

So implementieren wir diesen Ansatz in Kaspersky Security Center Linux

Unsere Produkte bewegen sich einheitlich in Richtung eines Modells, bei dem kritische Sicherheitsmechanismen zur Basisarchitektur gehören und nicht optional sind. Vor Kurzem haben wir eine neue Version (16.1) von Kaspersky Security Center Linux veröffentlicht, in deren Grundprinzipien diese veränderte Architektur verankert ist – in erster Linie durch eine strengere Zugriffskontrolle für die Konsole. Die Zwei-Faktor-Authentifizierung ist jetzt standardmäßig aktiviert und kann nicht global deaktiviert werden. Vor dem Upgrade müssen Administratoren sicherstellen, dass 2FA für alle Nutzer aktiviert ist. Auch für jene, die über die Web Console arbeiten oder eine OpenAPI-Automatisierung nutzen.

Daraus ergibt sich ein fundamentaler Schutz für den privilegierten Zugriff auf Konsolenebene. Er reduziert das Risiko der Kompromittierung von Administratorkonten, schützt die Automatisierungskanäle, verringert die Wahrscheinlichkeit eines API-Missbrauchs und schließt die Schwachstellen, die optionale Sicherheitsoptionen mit sich bringen. Auf diese Weise wird die potenzielle Angriffsfläche auf der Management-Ebene gezielt reduziert.

Wie schon erwähnt: Bei den meisten Konsolen und Verwaltungssystemen mangelt es nicht an Sicherheitsfunktionen, sondern an systematischer Kontrolle über deren Verwendung. Beispielsweise haben Administratoren oft übermäßige Berechtigungen oder für den Administrationsserver gelten unsichere Verbindungseinstellungen. Für Kaspersky Security Center haben wir bereits eine Anleitung zur Härtung der Sicherheit bereitgestellt, in der diese Probleme ausführlich beleuchtet werden. Natürlich hat nicht jeder die Zeit, technische Handbücher zu studieren.

Darum haben wir die wichtigsten Punkte zur Härtung von Kaspersky Security Center Linux (Version 16.1) als übersichtliche Checkliste zusammengestellt. Mit dieser Checkliste kannst du:

  • Authentifizierungs- und Zugriffsberechtigungen auf Richtigkeit überprüfen
  • Rollen und Nutzer mit übermäßigen Berechtigungen identifizieren
  • den Netzwerkzugriffs auf die Konsole beschränken
  • den Schutz von APIs verbessern
  • die Anforderungen an die Verschlüsselung erhöhen
  • ordnungsgemäße Einstellungen für Überwachung und Protokollierung sicherstellen
  • das Risiko von Konfigurationslücken schmälern

Die Checkliste ist zur systematischen Überprüfung der Verwaltungsschicht geeignet. Dadurch wird sichergestellt, dass die Konsole nicht zu einem Einstiegspunkt oder Werkzeug für Angreifer wird, die sich dann quer durch die Infrastruktur bewegen könnten. Je weniger kritische Einstellungen dem Nutzer überlassen werden, desto geringer ist das Risiko von Fehlern oder Kompromittierungen.

Die verbesserte Authentifizierung und die strukturierte Härtung der Verwaltungskonsole sind nicht nur ein Tropfen auf den heißen Stein. Sie gehören zu einem grundlegenden Ansatz für das Sicherheitsmanagement. Wir planen, diese Schutzschicht weiterzuentwickeln und die Angriffsfläche nicht nur auf Endpunktebene, sondern auch im Managementsystem zu verkleinern. Weitere Informationen zu Kaspersky Security Center findest du auf der Seite für die Konsole. Die Checkliste zur Härtung gibt es auf unserer Website für technischen Support.

Steuerzahler im Visier von Spam und Phishing

Steuererklärungen ohne Phishing, Betrug und Malware

Die Abgabefrist für Steuererklärungen rückt näher, und aus diesem Anlass schalten Cyberkriminelle weltweit einen Gang hoch. Sie bieten betrügerische Dienste an, fälschen die Websites offizieller Steuerbehörden und leeren die Bankkonten ahnungsloser Steuerzahler. Wie erkennt man Phishing- und Betrugsversuche? Wir geben wertvolle Tipps für den sicheren Umgang mit Steuerunterlagen

Steuerzahler im Visier von Spam und Phishing
Tipps
  • Für alle anderen Länder