Einige IT-Sicherheitsfachkr\u00e4fte sind der Meinung, dass isolierte Netzwerke keinen zus\u00e4tzlichen Schutz brauchen\u00a0\u2013\u00a0wenn kein Unbefugter in das Netz eindringen kann, warum sollte man diesbez\u00fcglich weitere Ma\u00dfnahmen ergreifen? Leider bietet die Isolierung von Netzwerken oder Netzwerksegmenten keinen hundertprozentigen Schutz. Wir werden das anhand einiger Beispiele von echten F\u00e4llen verdeutlichen.<\/p>\n
Gehen wir davon aus, unser hypothetisches Unternehmen hat ein isoliertes Subnetz mit einem Air Gap, d. h. der Zugriff sowohl \u00fcber das Internet als auch \u00fcber andere Segmente des Unternehmensnetzwerkes ist unm\u00f6glich. Dar\u00fcber hinaus gelten im Rahmen der Sicherheitsrichtlinie des Unternehmens folgende Regeln:<\/p>\n
Alles scheint in Ordnung zu sein. Was k\u00f6nnte da schiefgehen?<\/p>\n
Wenn in einer Einrichtung kein Internetzugriff m\u00f6glich ist, werden gelangweilte Mitarbeiter manchmal kreativ und suchen nach Workarounds. Beispielsweise k\u00f6nnen sie sich ein zweites Smartphone anschaffen: Eins wird an der Rezeption abgegeben und das andere kann per Tethering als Modem verwendet werden, um \u00fcber den Computer am Arbeitsplatz ins Internet zu gelangen.<\/p>\n
Bei der Erstellung des Bedrohungsmodells f\u00fcr das isolierte Netzwerksegment wurden Netzwerkangriffe, Malware aus dem Internet und \u00e4hnliche Sicherheitsvorf\u00e4lle nicht mit einbezogen. Auch wenn der Virenscanner rein theoretisch jede Woche aktualisiert werden m\u00fcsste, sieht das in der Praxis oft ganz anders aus. Dementsprechend k\u00f6nnen Cyberkriminelle einen Computer mit Trojaner-Spyware infizieren, Zugriff auf das Netzwerk erhalten, mit der Malware das komplette Subnetz befallen und Informationen stehlen, bis die Schadsoftware im n\u00e4chsten Virenscanner-Update entdeckt und au\u00dfer Gefecht gesetzt wird.<\/p>\n
Selbst in isolierten Netzwerken sind Ausnahmen vorgesehen\u00a0\u2013\u00a0zum Beispiel ein vertrauensw\u00fcrdiger Flashspeicher. Aber wenn es keine Einschr\u00e4nkungen bez\u00fcglich der Nutzung dieser Speichermedien gibt, kann es durchaus passieren, dass sie zum Kopieren von Dateien oder f\u00fcr andere Admin-Aufgaben in nicht isolierten Bereichen des Netzwerkes verwendet und dann mit dem isolierten Subnetz verbunden werden. Abgesehen davon verbinden Mitarbeiter vom technischen Support auch manchmal ihre Laptops mit einem isolierten Netzwerk, zum Beispiel, um Netzwerkger\u00e4te innerhalb des Segments zu konfigurieren.<\/p>\n
Wenn eine Zero-Day-Malware das isolierte Subnetz \u00fcber einen vertrauensw\u00fcrdigen Flashspeicher oder einen Laptop infiziert, wird die Schadware im Zielnetzwerk wahrscheinlich nicht lange unentdeckt bleiben, denn sobald der nicht isolierte Antivirus aktualisiert wird, kann er die Gefahr neutralisieren. Abgesehen von dem Schaden, den die Malware im nicht isolierten Hauptnetzwerk selbst in dieser kurzen Zeitspanne anrichten kann, wird die Malware in dem isolierten Segment bis zur n\u00e4chsten Aktualisierung aktiv bleiben, was in unserem Szenario mindestens eine Woche dauert.<\/p>\n
Die Folgen davon h\u00e4ngen von der Art der Malware ab. Die Schadware kann beispielsweise Daten auf den vertrauensw\u00fcrdigen Flashspeichern schreiben. Nach kurzer Zeit k\u00f6nnte eine weitere Zero-Day-Bedrohung im nicht isolierten Segment nach verbundenen Ger\u00e4ten suchen, um die versteckten Daten zu finden und sie dann an einen Empf\u00e4nger au\u00dferhalb des Unternehmens zu senden. Oder aber das Ziel der Malware ist Sabotage. Beispielsweise k\u00f6nnen damit die Software oder die industriellen Controller-Einstellungen ver\u00e4ndert werden.<\/p>\n
Ein unbefugter Mitarbeiter mit Zugang zum Bereich, wo sich das isolierte Netzwerk befindet, kann den Netzwerkperimeter absichtlich kompromittieren. Das geht beispielsweise ganz einfach mit einem Raspberry-Pi, ein Miniaturcomputer, der mit einer SIM-Karte und mobilem Internetzugang ausgestattet ist. DarkVishnya<\/a> ist einer der Beispiele von internen Angriffen auf Unternehmensinfrastrukturen.<\/p>\n In allen drei Szenarios fehlt etwas Ausschlaggebendes: Eine aktualisierte Sicherheitsl\u00f6sung. W\u00e4re das Kaspersky Private Security Network im oben beschriebenen isolierten Netzwerksegment installiert, h\u00e4tte die Sicherheitssoftware sofort auf die jeweiligen Bedrohungen reagiert und in Echtzeit neutralisiert. Die L\u00f6sung ist im Wesentlichen die vollst\u00e4ndige private, lokale Version des cloud-basiertem Kaspersky Security Network. Aber mithilfe einer Data Diode wird zus\u00e4tzlich gew\u00e4hrleistet, dass Daten den gesch\u00fctzten Perimeter des Unternehmens nicht verlassen.<\/p>\nEffektiver Schutz f\u00fcr isolierte Subnetze<\/h2>\n