Safety first

Schützen Sie Ihre IT-Infrastrukturen mit unseren Schwachstellenscan

Kein Unternehmen kann auf umfassende Ma nahmen zum Schutz seiner IT-Infrastrukturen und damit auf Schwachstellenscans verzichten. Die Systeme und Prozesse werden immer komplexer, und in vielen Bereichen sind die Gefahren in der eigenen Organisation zu finden. Wir unterstützen Sie dabei, die Schwachstellen und Sicherheitslücken zu identifizieren und zu analysieren.

Unsere Leistungen

MEHR SCHUTZ, MEHR SICHERHEIT

Kritische Sicherheitslücke in
Logging-Bibliothek LOG4J

Aufgrund der veröffentlichten Sicherheitslücke Log4Shell hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe ausgesprochen. Die Sicherheitslücke in Log4j, einer beliebten Protokollierungsbibliothek für Java-Anwendungen, macht große Teile der digitalen Infrastruktur verwundbar. Angreifer, die diese Lücke ausnutzen, können möglicherweise Schadsoftware auf fremden Systemen ausführen lassen und diese so kompromittieren oder sogar komplett übernehmen. 

 

Wenn Sie wissen wollen, ob Ihr Unternehmen möglicherweise von dieser Sicherheitslücke betroffen ist, sprechen Sie uns an. Wir bieten unseren Kunden einen kostenlosen Check aus dem Internet an, ob Schwachstellen durch Log4Shell vorhanden sind und ob es Hinweise darauf gibt, dass diese möglicherweise bereits ausgenutzt wurden. Wichtig ist aus unserer Sicht, dass Sie auch in den nächsten Monaten permanent ihre Systeme auf Schwachstellen prüfen und mögliche Lücken zeitnah patchen.

mehr erfahren

DAS ANGEBOT VON MOD IT

Mehr Klarheit

Unsere Spezialisten untersuchen die Lücken, die trotz vieler Sicherheitsmaßnahmen immer wieder unbeachtet bleiben. Oftmals reicht selbst ein fundiertes Patch Management nicht aus. Erfahrungsgemäß existieren an vielen Stellen noch immer schwache oder sogar Standard-Passwörter. Auch in der fehlerhaften Konfiguration von Servern, Peripheriegeräten und Anwendungen lauern große Gefahren. Das Angebot von mod IT Services bietet die Möglichkeit, die sicherheitsrelevanten Lücken per Schwachstellenanalyse in Ihrer IT besonders tiefgreifend und umfassend kennenzulernen.

Individuelles Angebot

Ihr Vorteil

Sie erhalten Klarheit über das bisherige Sicherheitsniveau der IT-Infrastruktur Ihres Unternehmens. Gleichzeit zeigen Ihnen die Security-Spezialisten von mod IT Services auf, wo Handlungsbedarf besteht, um Ihre IT-Umgebung wirkungsvoll und nachhaltig abzusichern.

Schwachstellenscan für Ihre Umgebung

Beratung

Gemeinsam mit Ihnen definieren wir die Ziele der Untersuchung und stimmen die Schwerpunkte der Überprüfung ab.

Durchführung

Wir scannen die internen Systeme (LAN) auf Schwachstellen und beziehen je nach Anforderung auch externe Systeme (Internet, DMZ) ein.

Analyse

Wir untersuchen die Ergebnisse der Security-Scans und erarbeiten Empfehlungen für konkrete Lösungen.

Vorstellung und Workshop

Die Erkenntnisse der Untersuchung werden in einer Management-Präsentation vorgestellt und/oder im Rahmen eines Workshops für IT-Administratoren durch weitere Handlungsempfehlungen zum Thema Networkscanner ergänzt.

Kurz_Interview

Manche Schwachstellen tauchen immer wieder auf

Sebastian Brabetz, IT-Security Engineer bei mod IT Services, im Gespräch mit dem modus über die Untersuchungen bei zahlreichen Kunden.

  • modus:
    Sie haben bereits eine Vielzahl von Schwachstellenscans bei den Kunden von mod IT Services durchgeführt. Welche Erkenntnisse haben Sie dabei gewonnen?
  • Sebastian Brabetz:
    Bei der Auswertung der Ergebnisse lassen sich gewisse Trends erkennen. Außerdem tauchen immer wieder bestimmte Kategorien von Schwachstellen auf. Das gilt sowohl für Kunden, die noch kein Schwachstellenmanagement betreiben, als auch für jene Unternehmen, die bereits bestimmte Prüfungen vornehmen.
  • modus:
    Wie sehen die Unterschiede zwischen diesen beiden Gruppen aus?
  • Sebastian Brabetz:
    Bei Kunden ohne Schwachstellenmanagement ist eine Vielzahl kritischer Schwachstellen auf nahezu alle Geräten verteilt. Dies liegt nicht zuletzt daran, dass moderne IT Umgebungen immer komplexer werden und neue Schwachstellen in rasantem Tempo über das Internet verbreitet werden. Diesen Risiken ist man ohne einen systematischen Schwachstellen-Management-Prozess schutzlos ausgeliefert.
  • modus:
    Wo liegen die Probleme bei den Kunden, die bereits ein gewisses Schwachstellenmanagement betreiben?
  • Sebastian Brabetz:
    Hier sieht die Situation etwas besser aus. Es existieren nicht ganz so viele kritische Schwachstellen. Allerdings haben wir bis jetzt bei jedem Scan noch die eine oder andere Lücke in Konfigurationen oder Patch-Prozessen identifiziert.
  • modus:
    Wie kann man diese Schwachstellen aufdecken?
  • Sebastian Brabetz:
    Grundsätzlich zahlt sich ein spezialisiertes Fachwissen über Schwachstellen und Bedrohungen aus. Die wenigsten mittelständischen Unternehmen können oder wollen dieses Know-how selbst aufbauen. Ein gesunder Mix aus Eigenerbringung und externer Beratung ist hier aus meiner Sicht der Schlüssel zum Erfolg.
„Unsere Spezialisten verfügen über langjährige Erfahrung in der Erkennung von Schwachstellen und führen die Scans in enger Abstimmung mit der IT-Administration durch. Im Anschluss werden die Gefährdungspunkte präsentiert und können auf Wunsch im Rahmen eines Workshops auch demonstriert werden.“

Sebastian Brabetz

Geschäftsleitung Security Consulting

ERFAHRUNGSBERICHT

Die fünf gefährlichsten Sicherheitslücken

Aus den zahlreichen Schwachstellenscans haben die Sicherheitsspezialisten von mod IT Services interessante Erkenntnisse gewonnen. Die Auswertung der Ergebnisse offenbart viele Lücken. Die fünf gefährlichsten Schwachstellen beschreiben wir hier.

Das Patchen der Microsoft-Umgebung ist in allen Firmen mit Windows Servern mittlerweile ein selbstverständlicher Prozess. Microsoft bringt jeden Monat am Patch Day mindestens einen kritischen Patch heraus, der zeitnah eingespielt werden sollte. Doch was passiert mit den hochkritischen Systemen in der Produktion oder in den Forschungs- und Entwicklungsabteilungen? Hier wird aufgrund von fehlenden Hersteller-Supports oder aus Angst vor Unterbrechungen nicht automatisiert gepatcht.

Ein Klassiker ist auch der Fall, bei dem zwar alle Windows Updates installiert werden, aber die aktualisierten Dateien auf der Festplatte (oft DLLs) nach dem Patchen nicht die Versionsnummer aufweisen, die Microsoft verteilen wollte. So bestehen im System weiterhin teils kritische Sicherheitslücken, obwohl der Update-Dialog von Windows einen grünen Haken und „Windows ist auf dem aktuellsten Stand“ anzeigt. Außerdem gibt es immer wieder den Server oder Client, der vor Jahren aufgesetzt wurde und seither unbeaufsichtigt und ohne Pflege läuft. Ein Angreifer kann hier unter Umständen an administrative Benutzer und Domänen-Accounts gelangen.

Im Gegensatz zu Windows Updates und dem Windows Server Update Service (WSUS) von Microsoft ist es nicht in jedem Unternehmen selbstverständlich, eine zentrale Patch-Infrastruktur für Third-Party-Applikationen vorzuhalten. So sind der Acrobat Reader, Flash, Java, Firefox und Chrome eigentlich immer auf einigen Systemen mit veralteten Versionen vertreten. Genau diese Applikationen zählen heute allerdings zu den Haupt-Einfallstoren in Unternehmen. Für einen Angreifer ist es meist relativ einfach, die eingesetzten Versionen von Anwendungen aus der Ferne zu identifizieren. So präsentieren Browser und Applikationen wie der Acrobat Reader einem Webserver im Internet einen sogenannten „User Agent String“, der in vielen Fällen sogar die genaue Versionsnummer bis auf die Nachkommastelle preisgibt.

Ein Angreifer könnte beispielsweise einen Link oder ein legitimes PDF-Dokument mit dem Verweis auf einen Webserver versenden, der von ihm kontrolliert wird. Anschließend genügt die Auswertung des Webserver Log, um eine genaue Auflistung von vermeintlich verwundbaren Client-Applikationen zu bekommen. Eine einfache und schnell erledigte Möglichkeit ist es, das eigene Proxyserver Log auf die entsprechende „User Agent“ Spalte zu filtern und diese zu gruppieren. Mit genauen Versionsnummern kann ein Angreifer dann sogenannte Client-Side-Angriffe durchführen, bei denen Schwachstellen in den Applikationen der Anwender gezielt ausgenutzt werden, um das System völlig unbemerkt vom Anwender mit Malware zu infizieren. Einmal infiltriert, dient dieser Rechner im schlimmsten Fall als Sprungpunkt für Angreifer in das interne Firmennetzwerk.

Kaum ein Drucker wird heute noch direkt via USB mit einem Computer auf dem Schreibtisch des Anwenders verbunden. Üblicherweise stehen einer großen Benutzergruppe leistungsstarke Multifunktionsgeräte mit zusätzlicher Scan- und Faxfunktion zur Verfügung. Gedruckt, gemailt und gefaxt wird hier über das Netzwerk, in dem der Drucker oft uneingeschränkt ansprechbar ist. Nicht alle Unternehmen sind sich hierbei bewusst, dass diese Drucker regelmäßig Schwachstellen enthalten, die es ermöglichen, an Informationen auf dem Drucker zu gelangen. Ein gefährliches Szenario wäre hier zum Beispiel der ungeschützte Netzwerkdrucker auf der Chefetage, der es ermöglicht, alle gedruckten oder eingescannten Dokumente abzufangen. Eine Stufe gefährlicher wird es, wenn die administrativen Interfaces der Drucker nicht mit Passwörtern geschützt oder noch mit den Auslieferungs-Passwörtern versehen sind. Für versierte Angreifer wäre es möglich, eine manipulierte Firmware einzuspielen, die jedes gescannte oder gedruckte Dokument unbemerkt an eine externe E-Mail-Adresse versendet.

„calvin“, „PASSW0RD“, „admin“ oder „changeme“ lauten die Standard-Passwörter, mit denen eine Vielzahl von Servern mit sogenannten „Out of Band Management Prozessoren“ (z.B. iLO, iDrac oder ähnliche) ausgeliefert werden.

Ein ungesicherter Fernwartungszugang ermöglicht nicht nur das harte Ausschalten eines kritischen Servers, sondern auch seine Administration. Tastatur, Bildschirm und Maus (KVM) können über das Netzwerk gesteuert werden. Auch das Einlegen von CD- oder USB-Stick-Abbildern ist auf diesem Wege möglich. Angreifer sind damit in der Lage, einen Server beispielsweise von einer CD zu booten und die Daten auf der Festplatte zu dem System auszulesen. Auch lokale Passwörter wie die des Administratorenkontos sind damit abrufbar.

Neben den Standardpasswörtern nach einer Auslieferung oder Installation sind eine Gefahrenquelle die weitverbreiteten schwachen Passwörter. Gerade Kennwörter wie „admin“, „12345“ oder „qwert“ sind mit sehr wenig Zeitaufwand durchprobiert und ermöglichen einem Angreifer den Zugang zu kritischen Systemen besonders einfach und schnell.

Unsichere Konfigurationen können in allen möglichen Formen auftreten. Ob Dateifreigabe mit SSH-Private-Keys, Klartext-Passwortdokumente oder komplette Laufwerke, die versehentlich anstelle eines einzelnen Ordners freigegeben wurden: oftmals machen unbedarfte Konfigurationen und Flüchtigkeitsfehler das gesamte Firmennetzwerk angreifbar. Gerade wenn bestimmte Konstellationen von Schwachstellen auftreten, wird der unerlaubte Zugriff noch einfacher. Dies verdeutlicht das Beispiel: Eine veraltete Apache-Tomcat-Installation mit dem administrativen Kennwort „tomcat“ ermöglicht es, Java Code im Kontext des Webserver-Dienst-Benutzers auszuführen. Läuft dieser aufgrund manueller Eingriffe auf höchster Benutzerebene eines Windows-Systems, so kann ein Angreifer auf diesem Wege das Passwort des lokalen Administrator-Accounts auslesen. Wenn dieses Passwort zusätzlich auf allen Clients oder Servern identisch ist, hat ein Angreifer innerhalb kurzer Zeit nahezu das gesamte Firmennetzwerk übernommen.

Fazit unserer
Untersuchungen

 ITIL ist ein flexibles Regelwerk, welches dazu dient, die Rollen und ProzDie hier gezeigten Schwachstellen sind nur einige Beispiele aus den angeführten Kategorien. Die Untersuchungen von mod IT Services haben viele Lücken gefunden, die oftmals einfach unentdeckt bleiben. Die Angriffsflächen sind in vielen Unternehmen mittlerweile so komplex, dass nur systematische Prozesse auf Dauer zu einer messbaren Steigerung der IT-Sicherheit führen können. Hier hilft das Angebot zum Schwachstellenscan, die Sicherheitslücken zu identifizieren, um anschließend die entsprechenden Maßnahmen für den Schutz zu ergreifen.esse für den Betrieb von IT Services betriebswirtschaftlich sinnvoll zu bestimmen. ESM überträgt im Grunde genommen die Logik von ITIL auf alle unterstützenden Geschäftsprozesse. Somit arbeiten dann auch Fachabteilungen wie HR oder Finance effizient mit Service-Request-Tickets, wie es in der IT durch ITIL längst Standard ist. Im Endeffekt arbeitet das gesamte Unternehmen deutlich effizienter.

Ihr Ansprechpartner

Kontaktieren Sie mich gern

Stefanie Iseke

IT Account Managerin

EINFACH AUSFÜLLEN & ABSENDEN

Ihr individuelles Angebot




    Bitte wählen Sie aus:


    Kontakt

    Grimsehlstraße 23
    37574 Einbeck
    T +49 5561 922-0

    Hans-Böckler-Allee 20
    30173 Hannover
    T +49 511 902 850

    Miramstraße 87, Geb. B
    34123 Kassel
    T +49 5561 922-0

    Sitemap
    Top Themen
    Kontakt
    Support
    © mod IT Services GmbH 2021
    Kontakt

    Grimsehlstraße 23
    37574 Einbeck
    T +49 5561 922-0

    Hans-Böckler-Allee 20
    30173 Hannover
    T +49 511 902 850

    Miramstraße 87, Geb. B
    34123 Kassel
    T +49 5561 922-0

    Sitemap
    Top Themen
    Kontakt
    Support
    © mod IT Services GmbH 2021