Sicherheits-Horror: Die NSA- und CISA-Liste der zehn häufigsten Sicherheits-Ausrutscher

Von Danny Bradbury • 9 November 2023

Ein unsicheres Netzwerk ist der schlimmste Albtraum eines Cybersicherheitsverteidigers und der Traum eines Angreifers. Eine einzelne Fehlkonfiguration kann eine klaffende Lücke in einem Netzwerk hinterlassen. Doch sei es durch Unwissenheit, Ablenkung, zu wenig oder zu viele Administratoren – diese Fehlkonfigurationen sind weit verbreitet. Die US-amerikanische National Security Agency (NSA) und die Cybersecurity and Infrastructure Security Agency (CISA) sehen, dass so viele der gleichen auftauchen, dass sie eine veröffentlicht haben berichten mit detaillierten Angaben zu den zehn häufigsten. Wir haben sie hier zusammen mit einer Diskussion ihrer möglichen Auswirkungen und möglichen Abhilfemaßnahmen zusammengestellt.

Standardkonfigurationen von Software und Anwendungen

Bei diesem klassischen Sicherheits-SNAFU werden standardmäßige Administrator-Zugangsdaten verwendet, die leicht online zu finden sind. Wenn Sie sie nicht ändern, bleibt die administrative Kontrolle jedem offen, der auf das Zugangsportal zugreifen kann.

Standardkonfigurationsprobleme gehen über die Verwendung voreingestellter Werksanmeldungen hinaus. Dienste wie Active Directory (das in den Analysen der Teams stark berücksichtigt wird) verfügen über Standardberechtigungseinstellungen für verschiedene Dienste oder lassen anfällige Legacy-Dienste standardmäßig aktiviert.

Beispielsweise hat Microsoft die Active Directory Link-Local Multicast Name Resolution (LLMNR) lange Zeit standardmäßig aktiviert, obwohl dieser Namensauflösungsdienst aus einer Zeit stammt, als DNS noch nicht so allgegenwärtig war wie heute. Dieses Protokoll weist ein Sicherheitsproblem auf, das Angreifer ausnutzen können. Microsoft erklärte im April 2022, dass es diesen Dienst zugunsten des neueren, sichereren mDNS auslaufen lassen werde.

Unsachgemäße Trennung von Benutzer-/Administratorrechten

Der Zugriff mit den geringsten Rechten ist ein grundlegender Grundsatz moderner Sicherheit, dennoch hinterlassen viele Administratoren Konten mit übermäßigen Rechten, die Angreifer ausnutzen können. Für den Zugriff auf Ressourcen werden Dienstkonten verwendet, da diese häufig über erhöhte Berechtigungen verfügen, sodass sie auf einige Systemressourcen zugreifen können. Für Angreifer sind sie ein wertvolles Gut.

Hier gibt es verschiedene Abhilfemaßnahmen, darunter die Einschränkung der Verwendung privilegierter Konten zur Ausführung allgemeiner Aufgaben, die sie angreifbar machen könnten (z. B. E-Mail-Zugriff), die Überwachung von Benutzerkonten und die Anwendung von Least Privilegierter Zugriff. Uns gefiel auch die Idee, Administratorkonten zu deaktivieren und den Zugriff darauf nur auf Anfrage für einen bestimmten Zeitraum zu ermöglichen.

Unzureichende interne Netzwerküberwachung

Weniger erfahrene Angreifer können Lärm machen, wenn sie sich Zugriff auf das Netzwerk verschaffen und sich seitlich darin bewegen. Organisationen, die ihre Netzwerke nicht überwachen, werden diese Signale verpassen. In einigen Fällen stellten die Teams fest, dass einige Leute Host-Rechner überwachten, das Netzwerk jedoch nicht überprüften. Das bedeutete, dass sie die Auswirkungen eines Angriffs auf den Server erkennen konnten, aber nicht erkennen konnten, woher er kam.

Mangelnde Netzwerksegmentierung

Durch die Aufteilung Ihres Netzwerks in logische Segmente entstehen Sicherheitszonen, die Benutzer nur mit den richtigen Berechtigungen passieren können. Es handelt sich um das Netzwerkäquivalent zur Sicherung von Eingangstüren für verschiedene Teile des Gebäudes mithilfe von Ausweiszugängen. Dennoch halten viele Organisationen ihre Netzwerke „flach“, sodass sie von überall aus auf jeden Bereich zugreifen können. Laut a KongressberichtDieser Fehler im Netzwerk des Office of Personnel and Management (OPM) trug zum erfolgreichen Durchbruch im Jahr 2015 bei.

Schlechtes Patch-Management

Es ist enttäuschend, aber nicht überraschend, dass das Versäumnis, Anwendungen und Betriebssysteme zu patchen, immer noch ein Problem für Unternehmen darstellt. Wir wissen, dass es eine schwere Aufgabe sein kann, alles im Netzwerk zu patchen, aber die Priorisierung von Patches auf der Grundlage einer ordnungsgemäßen Risikoanalyse kann dabei helfen, die dringendsten Updates zu identifizieren. Erstaunlich ist, dass die Teams laut dem Bericht „häufig beobachteten“, dass Organisationen MS08-067 – die Sicherheitslücke zur Remotecodeausführung aus dem Jahr 2008, die das Auftauchen von Confider ermöglichte – und MS17-010, die den EternalBlue-Angriff ermöglichte, immer noch nicht gepatcht hatten Die WannaCry-Malware aus dem Jahr 2017 basierte.

Umgehung von Systemzugriffskontrollen

Angreifer umgehen manchmal traditionelle Methoden Systemzugriffskontrollen. Eine Technik namens „Pass the Hash“ nutzt gestohlene Hashes von Anmeldeinformationen (vielleicht aus einer im Dark Web veröffentlichten Datenbank), um auf Authentifizierungssysteme zuzugreifen, ohne ein Klartext-Passwort zu verwenden.

Schwache oder falsch konfigurierte Methoden der Multi-Faktor-Authentifizierung (MFA).

MFA ist eine wertvolle Schutzschicht, aber kein Allheilmittel, insbesondere wenn sie falsch implementiert wird. Zu den häufigsten Problemen gehört die Verwendung von SMS-basierter MFA, bei der die SIM-Karte ausgetauscht werden muss, oder „Push-Bombing“, bei dem Angreifer Menschen dazu drängen, den Zugriff zu authentifizieren. CISA empfiehlt die Verwendung von FIDO/WebAuthn als Goldstandard, um solche Angriffe zu verhindern. App-basierte Authentifikatoren sind die nächstbeste Wahl.

Unzureichende Zugriffskontrolllisten (ACLs) für Netzwerkfreigaben und -dienste

Möglicherweise haben Sie Ihre Dienstkonten gesperrt, aber was ist mit Ihren Netzlaufwerken? Das Offenlassen von Netzwerkfreigaben für nicht autorisierte Konten stellt für Angreifer einen oft ausgenutzten Zugangsweg dar. Dem Bericht zufolge können sie Open-Source-Tools oder einfache Systembefehle verwenden, um verfügbare Freigaben zu scannen.

Schlechte Ausweishygiene

Dem Bericht zufolge sind die Verwendung von leicht zu knackenden Passwörtern oder deren Speicherung im Klartext häufige Sicherheitsfehler. Das Speichern von Passwörtern im Klartext ist offensichtlich ein unsicherer Schachzug. Doch selbst große Unternehmen wie z als Facebook mit einem Los Papa Passwörter auf diese Weise oder in einem Format gespeichert haben, das sich leicht in Klartext umwandeln lässt. Sogar gehashte Passwörter können mit Passwort-Crackern abgerufen werden.

Uneingeschränkte Codeausführung

Die zehnte häufige Fehlkonfiguration in der Liste besteht darin, dass nicht verifizierte Anwendungen auf Hosts ausgeführt werden können. Phishing-Angreifer überreden ihre Opfer häufig dazu, nicht autorisierte Software auf ihren Computern auszuführen.

Der Bericht legt nahe, dass Listen hilfreich sein können, die nur bestimmte Programmsignaturen zulassen. Dies kann jedoch schwierig umzusetzen sein, da legitime Programme häufig in mehreren Versionen vorliegen und zahlreiche Signaturen erstellen. Der Bericht erwähnt auch die Verwendung von schreibgeschützten Containern und minimalen Bildern.

Minderungsschritte

Der Bericht listet mehrere Abhilfemaßnahmen für diese Risiken auf, von denen viele für kompetente Sicherheitsexperten offensichtlich sein sollten. Die Tatsache, dass die NSA und die CISA separate Abhilfemaßnahmen für Netzwerkverteidiger und Softwarehersteller veröffentlicht haben, war lobenswert. Zu oft, Anbieter entgehen der Kritik für ihre eigenen unsicheren Praktiken.

Zu den im Bericht vorgeschlagenen Abhilfemaßnahmen der Hersteller gehörte die Einhaltung sicherer Softwareentwicklungsrichtlinien von Anfang an. Dies würde dazu beitragen, die Fehler zu beseitigen, die zu nachfolgenden Software-Patches führten. Anbieter sollten außerdem Software liefern, die standardmäßig gehärtet ist, anstatt zusätzliche Arbeit seitens des Kunden zu erfordern. Uns gefiel die Idee der Lockerungsleitfäden, die den Kunden zeigen, wie sie bei Bedarf Sicherheitseinstellungen lockern können und welche Risiken damit verbunden sind. Es ist viel schwieriger, Sicherheitskontrollen hinzuzufügen, als bereits vorhandene aufzugeben.

Zu den weiteren längst überfälligen Maßnahmen gehört die Abschaffung von Standardpasswörtern. Während kompetente Administratoren diese ändern sollten, tun dies viele nicht. Das Entwerfen von Software (ganz zu schweigen von Hardware), die diese nicht hat, würde benutzerdefinierte Konfigurationseinstellungen erzwingen. Ein weiterer Grund ist die Standardunterstützung für MFA und die obligatorische MFA für privilegierte Benutzer.

Die sofortige Bereitstellung umfassender Audit-Protokolle würde dazu beitragen, die Netzwerküberwachung zu unterstützen und die Umgehung von Zugriffskontrollen zu erkennen, fügte der Bericht hinzu. Zugriffskontrolle Listen mit minimal erforderlichen Berechtigungen machen die Arbeit möglicherweise etwas weniger komfortabel für Benutzer, minimieren aber auch das Risiko für das System durch gekaperte Konten.

Ein weiterer Vorschlag ist die Unterstützung der Codeausführung Steuerelemente sind in Betriebssystemen sofort einsatzbereit und Anwendungen, die dazu beitragen würden, die Ausführung ungewöhnlichen Codes zu vermeiden. Einiges davon haben wir bereits gesehen, etwa die Warnung von Apple, wenn Code ausgeführt wird, der nicht aus dem App Store stammt, und die Entscheidung von Microsoft, VBA-Makros aus dem Internet zu blockieren. Es gibt jede Menge Platz für mehr.

Es ist enttäuschend, dass so viele der häufigsten Fehler in dieser Liste winterharte Stauden sind. Sie alle sind schon seit Jahren Opfer von Sicherheitsverstößen geworden und werden dies auch noch in Zukunft tun. Indem NSA und CISA Abhilfemaßnahmen sowohl für Kunden als auch für Anbieter anbieten, legen sie zumindest den Grundstein für verantwortungsvolleres Rechnen.

Erschließen Sie die Leistungsfähigkeit von Sicherheits-Frameworks mit ISMS.online

Durch die Nutzung von Frameworks wie ISO 27001 und NIST erhalten Unternehmen bewährte Leitlinien für den Aufbau umfassender Sicherheitsprogramme.

Durch die Übernahme der in diesen Rahmenwerken dargelegten Anforderungen und Kontrollen können Unternehmen systematisch Risiken angehen, kritische Vermögenswerte schützen und die Einhaltung relevanter Vorschriften sicherstellen. Der strukturierte Ansatz, die spezifischen Anforderungen einer Organisation auf etablierte Frameworks abzubilden, erschließt das Potenzial branchenspezifischer Best Practices für die Informationssicherheit und bietet einen strategischen Weg zur kontinuierlichen Verbesserung der Abwehrmaßnahmen in einer komplexen Bedrohungslandschaft.

Durch die richtige Anwendung führender Sicherheitsstandards können selbst kleine Teams effektive Programme entwickeln, die den Betrieb und die Daten schützen. Vereinbaren Sie noch heute einen Anruf mit einem unserer Experten um herauszufinden, welche Vorteile die Einführung eines Sicherheitsrahmens für Ihr Unternehmen haben könnte.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 5 Februar 2026

Warum Aufsichtsbehörden und Investoren von Unternehmen erwarten, dass sie ein dreifaches Risiko angehen (Blogbeitrag)

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

Unternehmen sorgen sich um Sicherheits- und Datenschutzrisiken. Und in jüngster Zeit rücken auch KI-Risiken in ihren Fokus. Doch wie oft denken sie an alle Aspekte ...

Danny Bradbury

Internet-Sicherheit 15 Januar 2026

Von der Perimetersicherheit bis hin zu Identität als Sicherheitsbanner

Von der Perimetersicherheit zur Identitätssicherung

Man kann heutzutage keine Sicherheitsveranstaltung besuchen, ohne auf den Begriff „Zero Trust“ zu stoßen. Es ist zweifellos ein Modewort, aber…

Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Sicherheits-Horror: Die NSA- und CISA-Liste der zehn häufigsten Sicherheits-Ausrutscher

Standardkonfigurationen von Software und Anwendungen

Unsachgemäße Trennung von Benutzer-/Administratorrechten

Unzureichende interne Netzwerküberwachung

Mangelnde Netzwerksegmentierung

Schlechtes Patch-Management

Umgehung von Systemzugriffskontrollen

Schwache oder falsch konfigurierte Methoden der Multi-Faktor-Authentifizierung (MFA).

Unzureichende Zugriffskontrolllisten (ACLs) für Netzwerkfreigaben und -dienste

Schlechte Ausweishygiene

Uneingeschränkte Codeausführung

Minderungsschritte

Erschließen Sie die Leistungsfähigkeit von Sicherheits-Frameworks mit ISMS.online

Danny Bradbury

Related articles

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

ISMS.online ernennt Simon Church zum Vorsitzenden

Lesen Sie mehr von Danny Bradbury

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

Von der Perimetersicherheit zur Identitätssicherung

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet