Kein Zweifel: 5G wird eine der bestimmenden Technologien der nächsten Jahre werden. Mit dem zunehmenden Netzausbau werden jedoch immer häufiger auch Fragen der Sicherheit thematisiert. Im Blickpunkt stehen hierbei zumeist potenziell riskante IoT-Geräte. Nicht ganz zu Unrecht, wie eine aktuelle Untersuchung der Firmware-Analyseplattform IoT Inspector zeigt.
Demnach weisen mehr als 90 Prozent der Firmwaredateien kritische Sicherheitslücken auf. Gleichwohl darf man aber nicht den Blick auf andere Sicherheitsherausforderungen verlieren, warnt Michael Scheffler, Country Manager DACH von Varonis Systems: „Natürlich ist es am interessantesten, über IoT-Sicherheit zu sprechen, da das Internet der Dinge für all die Veränderungen steht, die wir in den letzten Jahren erlebt haben und die noch vor uns liegen. Aber die echten Herausforderungen liegen weiterhin in den alten, langweiligen Themen wie der Passwort- und Datensicherheit.“
5G bietet zusätzliche Möglichkeiten
Für Cyberkriminelle bietet 5G zusätzliche Möglichkeiten und eine wesentlich größere Angriffsfläche. „Professionelle Angreifer nutzen jedes Werkzeug, das ihnen zur Verfügung steht und greifen letztlich alles an: Mobiltelefone, smarte Lautsprecher, dabei zielen sie aber auch auf Kerberos-Passwörter, die seit Jahren nicht mehr zurückgesetzt wurden. Kurz gesagt: Gerade die hochprofessionellen Gruppen mit ihren enormen Ressourcen nutzen jede Schwachstelle, die sie finden können.“ Eine bekanntermaßen alte, aber nach wie vor weit verbreitete Schwachstelle sind mangelhafte Passwörter: „Wir machen uns gerne über die Post-its mit Passwörtern an Monitoren lustig, aber dies ist ein wesentlich kleineres Sicherheitsproblem als die Wiederverwendung von Passwörtern, durch die man es Angreifern recht einfach macht.“
Unabhängig vom Angriffsvektor wollen Cyberkriminelle in Systeme eindringen, dort ihre Privilegien erweitern und sich lateral fortbewegen, um letztlich an sensible Daten zu gelangen: „Das größte Problem für Unternehmen sind nicht die Passwörter auf Post-it-Zetteln. Es sind ihre Daten. Niemand bricht in eine Bank ein, um dort Stifte zu stehlen. Niemand bricht in ein Netzwerk ein, um etwas anderes als Daten zu stehlen.“ Und viele der vertraulichen Unternehmensdaten verfügen über zu weit gefasste Zugriffsrechte. Gemäß dem Data Risk Report sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter frei zugänglich. Wird also ein beliebiges Konto kompromittiert, haben Angreifer entsprechend Zugriff auf diese Dateien.
Wie kann man sich also schützen?
Vor allem, indem man seine Passwörter schützt. Diese sollten nicht nur über eine gewisse Mindestlänge verfügen, sondern auch regelmäßig ablaufen und erneuert werden. „Zudem muss man sicherstellen, dass jede Remote-Verbindung zum Unternehmensnetzwerk oder zu seiner geschäftlich genutzten Cloud-Umgebung eine Multi-Faktor-Authentifizierung (MFA) erfordert. Glücklicherweise gewöhnen sich die Nutzer mittlerweile immer mehr daran.“ Und auch wenn MFA keinen hundertprozentigen Schutz gewährleistet, sorgt sie zumindest für eine gewisse Hürde: „Als Fahrradfahrer lernt man schnell, dass man nicht das beste Schloss braucht, sondern ein besseres Schloss als das Fahrrad nebenan.“ Und dennoch muss man sich auf den Fall einstellen, dass ein Passwort geknackt oder gestohlen wird, sei es durch Brute-Force-Angriffe oder Social Engineering. In diesen Fällen kommt es dann darauf an, auffälliges Nutzerverhalten zu erkennen und zu stoppen. „Sicherheitsverantwortliche ertrinken förmlich in Logs und Alarmen. Herauszufinden, welches Log oder welches einzelne Ereignis wirklich wichtig ist, ist eine große Herausforderung.“
Wie lässt sich also erkennen, ob ein Nutzer einfach nur sein Passwort vergessen hat und es öfter probiert, oder es sich um eine Brut-Force-Attacke handelt? Wie lässt sich unterscheiden, ob ein legitimer Nutzer sich einfach nur von einem anderen Standort einwählt oder befreits ein Angriff im Gange ist? Einzelne Aktivitäten mögen legitim erscheinen, aber setzt man sie in Korrelation, ergibt sich womöglich ein ganz anderes Bild: „Nehmen wir an, ein Nutzer loggt sich erfolgreich von einem Ort aus ein, den wir noch nie zuvor gesehen haben, vielleicht zu einer außergewöhnlichen Tageszeit. Und von einem Gerät aus, das er noch nie benutzt hat. All dies ist merkwürdig, könnte aber plausibel sein. Wenn er sich dann noch Daten anschaut, die er vorher noch nie betrachtet hat, womöglich noch versucht, andere Geräte im Netzwerk zu authentifizieren, und Befehle wie Reverse-DNS-Lookups ausführt, um Aufklärung zu betreiben, können wir recht sicher sein, dass es sich nicht um den legitimen Nutzer handelt und wir uns dringend darum kümmern müssen.“
Einen Vorgeschmack auf die explodierende Anzahl an Devices (und damit potenziellen Einstiegspunkten für Angreifer), mit der durch 5G zu rechnen ist, bietet die derzeitige COVID-Situation. „Mir hat kürzlich ein CSO erzählt, dass er bis März für fünf Standorte mit 1.500 Nutzern verantwortlich war und dann plötzlich für 1.500 Standorte mit jeweils einem Nutzer. All diese Haushalte sind nun Teil der Sicherheitsumgebung des Unternehmens. Sicherheitsverantwortliche müssen jetzt und in Zukunft eine weitaus größere und erheblich komplexere Angriffsfläche schützen. Dies ist nur durch umfassende Audit-Aufzeichnungen und auf maschinellem Lernen basierende Verhaltensanalyse möglich.“