Da immer mehr Unternehmen auf Fernarbeit, verteilte Teams und Cloud-verbundene Umgebungen setzen, sind L\u00f6sungen f\u00fcr den Fernzugriff zu unverzichtbaren Werkzeugen f\u00fcr die Flexibilit\u00e4t der Mitarbeiter geworden.<\/p>\n\n
Der Aufstieg des Fernzugriffs ist zwar ein hervorragender technologischer Fortschritt, aber er hat auch mehr Zugangspunkte und mehr M\u00f6glichkeiten f\u00fcr Angreifer geschaffen.<\/p>\n\n
Heutzutage geh\u00f6ren Fernzugriffsangriffe und die Ausnutzung des Remote Desktop Protokolls (RDP) nach wie vor zu den am h\u00e4ufigsten von Ransomware-Gruppen und Cyberkriminellen verwendeten Methoden f\u00fcr den Erstzugang.<\/p>\n\n
Ein positiver Trend? Wir verf\u00fcgen heute \u00fcber detailliertere Berichte als je zuvor. Security-Anbieter, IR-Teams und Nachrichtenagenturen ver\u00f6ffentlichen h\u00e4ufig Analysen von Vorf\u00e4llen, aus denen genau hervorgeht, wie sich Angreifer Zugang verschaffen, welche Fernzugriffs-Tools sie verwenden und wie sie ihre Privilegien ausweiten.<\/p>\n\n
F\u00fcr Unternehmen, die bereit sind, darauf zu achten, bietet dieses Ma\u00df an Transparenz zwei gro\u00dfe Vorteile:<\/p>\n\n
In diesem Leitfaden erl\u00e4utern wir die h\u00e4ufigsten Schwachstellen beim Fernzugriff, wie Angreifer sie ausnutzen und welche konkreten Schritte Sie unternehmen k\u00f6nnen, um Ihre Umgebung zu sichern und RDP-basierte Ransomware-Angriffe zu verhindern.<\/p>\n\n
Schwachstellen im Fernzugriff<\/a> sind das R\u00fcckgrat vieler erfolgreicher Cyberangriffe. Sie bieten Angreifern eine offene T\u00fcr, um in Ihr Netzwerk einzudringen, Daten zu stehlen oder b\u00f6sartige Software einzusetzen.<\/p>\n\n Mit der Ausweitung der weltweiten Fernarbeit w\u00e4chst auch das Risiko des Fernzugriffs. Nach Angaben des Weltwirtschaftsforums<\/a> werden die digitalen Arbeitspl\u00e4tze weltweit bis 2030 um 25 % zunehmen. Damit kommen Millionen neuer Remote-Endpunkte hinzu, die zu potenziellen Einstiegspunkten f\u00fcr Angreifer werden k\u00f6nnten.<\/p>\n\n Dies unterstreicht, wie wichtig es ist, diese Schwachstellen zu verstehen, um Ihre Security zu st\u00e4rken und potenzielle Sicherheitsverletzungen zu verhindern.<\/p>\n\n Im Folgenden er\u00f6rtern wir die h\u00e4ufigsten Schwachstellen im Fernzugriff, mit denen Unternehmen heute konfrontiert sind:<\/p>\n\n Vielen Unternehmen mangelt es an einem umfassenden \u00dcberblick und Verst\u00e4ndnis der Fernzugriffssysteme, wie z.B. VPN-Konfigurationen, RDP-Einstellungen und Zugriffskontrollen von Drittanbietern.<\/p>\n\n Ohne eine klare Bestandsaufnahme der Fernzugriffstools und Endpunkte kann es leicht zu Fehlkonfigurationen kommen. Diese Wissensl\u00fccken k\u00f6nnen dazu f\u00fchren:<\/p>\n\n Dar\u00fcber hinaus k\u00f6nnen Remote-Mitarbeiter unwissentlich eine Verbindung zu einem ungesicherten \u00f6ffentlichen Wi-Fi herstellen, was das Risiko von Man-in-the-Middle-Angriffen erh\u00f6ht.<\/p>\n\n Die gemeinsame Nutzung von Passw\u00f6rtern ist eine g\u00e4ngige, aber gef\u00e4hrliche Praxis. Wenn Mitarbeiter ihre Zugangsdaten gemeinsam nutzen, insbesondere f\u00fcr Fernzugriffssysteme, wird die Nachverfolgung der Verantwortlichkeit schwierig.<\/p>\n\n Wiederverwendete oder schwache Passw\u00f6rter machen Systeme anf\u00e4llig f\u00fcr Brute-Force-Angriffe oder Credential Stuffing. Wenn ein Mitarbeiter das Unternehmen verl\u00e4sst und die gemeinsam genutzten Passw\u00f6rter nicht \u00e4ndert, k\u00f6nnen die Systeme auch noch lange nach dem Ausscheiden des Mitarbeiters missbraucht werden.<\/p>\n\n Ransomware und andere Arten von Malware nutzen ungepatchte Software aus. Viele Unternehmen verwenden weiterhin veraltete RDP-Software, VPN-Clients oder andere Fernzugriffssysteme, die bekannte Ziele f\u00fcr Cyberkriminelle sind. Schwachstellen in diesen Systemen:<\/p>\n\n Viele Softwarehersteller ver\u00f6ffentlichen regelm\u00e4\u00dfig Patches, um diese Schwachstellen zu beheben, aber wenn Sie die Updates nicht anwenden, sind die Systeme ungesch\u00fctzt. Software von Drittanbietern, Plugins oder Erweiterungen, die veraltet oder unsicher sind, k\u00f6nnen ebenfalls ungewollte Einfallstore darstellen.<\/p>\n\n Pers\u00f6nliche Ger\u00e4te, die nicht von der IT-Abteilung des Unternehmens verwaltet werden, stellen ein erhebliches Risiko dar, wenn sie f\u00fcr die Arbeit verwendet werden. Mitarbeiter k\u00f6nnen eine Verbindung von:<\/p>\n\n F\u00fcr diese Ger\u00e4te gibt es m\u00f6glicherweise auch keine regelm\u00e4\u00dfigen Sicherheitsupdates, so dass Unternehmen anf\u00e4llig f\u00fcr Malware und Ransomware-Angriffe sind. Pers\u00f6nliche Ger\u00e4te verf\u00fcgen in der Regel nicht \u00fcber das gleiche Ma\u00df an Kontrolle, \u00dcberwachung oder Authentifizierung wie vom Unternehmen verwaltete Ger\u00e4te, wodurch sie anf\u00e4llig f\u00fcr unbefugten Zugriff sind.<\/p>\n\n Viele Unternehmen stehen vor der Herausforderung, ihre Systeme zu patchen und zu aktualisieren, insbesondere wenn sie mit veralteter Infrastruktur oder begrenzten IT-Ressourcen arbeiten. Nicht gepatchte Systeme sind leichte Ziele f\u00fcr Cyberkriminelle, die Netzwerke aktiv nach Schwachstellen durchsuchen. Wenn Patches verz\u00f6gert oder vers\u00e4umt werden:<\/p>\n\n Im Falle von RDP verwenden Angreifer oft Brute-Force-Angriffe auf schwache oder ungepatchte Dienste, um sich Zugang zu verschaffen.<\/p>\n\n Backups sind entscheidend f\u00fcr die Wiederherstellung im Falle eines Cyberangriffs, aber ungesicherte Backups k\u00f6nnen auch ein Ziel sein. Angreifer suchen oft nach ungesch\u00fctzten Cloud-Backups oder unverschl\u00fcsselten Daten und nutzen sie als sekund\u00e4re Angriffspunkte. Ohne starke Zugangskontrollen und Verschl\u00fcsselung k\u00f6nnen diese Backups zu einem leichten Einstiegspunkt f\u00fcr Datendiebstahl oder Ransomware werden.<\/p>\n\n Die Vernachl\u00e4ssigung regelm\u00e4\u00dfiger Ger\u00e4te-Updates und Sicherheitspr\u00fcfungen kann das Risiko von Malware- und Ransomware-Infektionen erh\u00f6hen. Mit der Zeit sammeln sich auf den Ger\u00e4ten Schwachstellen an, die:<\/p>\n\n Regelm\u00e4\u00dfige Ger\u00e4tehygiene und die Aktualisierung von Sicherheitssoftware sind unerl\u00e4sslich, um das Risiko von Sicherheitsverletzungen zu verringern.<\/p>\n\n Phishing ist nach wie vor eine der am weitesten verbreiteten Methoden, um sich unbefugten Zugang zu verschaffen. Cyber-Kriminelle verschicken:<\/p>\n\n Angreifer verwenden jetzt fortschrittliche Taktiken, einschlie\u00dflich maschinellem Lernen, um personalisierte Phishing-Nachrichten und Domain-Spoofing zu erstellen, um ihre Angriffe glaubhafter zu machen. Sind die Zugangsdaten erst einmal gestohlen, k\u00f6nnen sie leicht f\u00fcr den Zugriff auf Fernzugriffssysteme wie RDP, VPNs oder Cloud-Dienste verwendet werden.<\/p>\n\n Es ist seit langem bekannt, dass ein signifikanter Prozentsatz der Ransomware-Angriffe, unabh\u00e4ngig von der Variante, entweder mit Phishing oder mit Remote-Desktop-basierten Eindringlingen beginnt.<\/p>\n\n Phishing, das wir im vorherigen Abschnitt erw\u00e4hnt haben, ist ein offensichtlicher Einstiegspunkt: Wenn es erfolgreich ist, erhalten die Angreifer eine Endpunkt-Sitzung und g\u00fcltige Benutzeranmeldedaten. Aber Remote Desktop-Angriffe (einschlie\u00dflich solcher, die \u00fcber kommerzielle Remote Access-Tools durchgef\u00fchrt werden) bieten das gleiche Ergebnis.<\/p>\n\n Unabh\u00e4ngig davon, ob die Angreifer Brute-Force-Versuche unternehmen – also Tausende von Passw\u00f6rtern testen – oder gestohlene Zugangsdaten verwenden, die sie bei fr\u00fcheren Einbr\u00fcchen erworben oder erbeutet haben, sind RDP-basierte Angriffe nach wie vor gleicherma\u00dfen effektiv und stehen daher Schulter an Schulter mit Phishing als Hauptangriffsvektor.<\/p>\n\n Ein gut dokumentiertes Beispiel ist MedusaLocker, eine Ransomware-Variante, die erstmals im Jahr 2019 identifiziert wurde und vor kurzem wieder aufgetaucht ist, so dass die Regierungsbeh\u00f6rden eine gemeinsame Cybersecurity Advisory<\/a> herausgegeben haben. Die Betreiber von MedusaLocker haben es in erster Linie auf ungesch\u00fctzte RDP-Verbindungen abgesehen – manchmal<\/a>werden sie aus Bequemlichkeit absichtlich ver\u00f6ffentlicht, ein anderes Mal versehentlich offen gelassen. Nachdem sie sich Zugang verschafft haben, setzen sie Ransomware ein, verschl\u00fcsseln wichtige Daten und fordern eine Zahlung.<\/p>\n\n Ein weiterer Fall von gro\u00dfer Tragweite, der von Sophos Forschern dokumentiert wurde, zeigt, wie eine Gruppe, die LockBit Ransomware einsetzt, ein US-Regierungsnetzwerk \u00fcber RDP infiltriert<\/a> hat. Schockierenderweise erkundeten die Angreifer das Netzwerk f\u00fcnf Monate lang von der Seite, ohne entdeckt zu werden, bevor sie die Ransomware einsetzten.<\/p>\n\n Da Sie nun wissen, wie Angreifer Schwachstellen im Fernzugriff ausnutzen, um sich Zugang zu verschaffen, lassen Sie uns nun er\u00f6rtern, wie sie eskalieren und sich \u00fcber den Fernzugriff seitlich bewegen:<\/p>\n\n Sobald sich Angreifer lokalen Zugriff verschafft haben, ist die n\u00e4chste logische Phase nach dem MITRE ATT&CK Framework die seitliche Bewegung. Fernzugriffsmechanismen (insbesondere internes RDP) werden in dieser Phase h\u00e4ufig missbraucht.<\/p>\n\n J\u00fcngste Daten des auf Ransomware-Angriffe spezialisierten Unternehmens<\/a> Coveware zeigen, dass bei etwa 70 % der Ransomware-Angriffe eine seitliche Bewegung stattfindet. Die Analysten von Coveware stellen fest, dass diese Phase „haupts\u00e4chlich darin besteht, den internen Remote Desktop (RDP) zu missbrauchen, nachdem der erste Zugriff erfolgt ist.“<\/p>\n\n Indem sie sich seitlich bewegen, erweitern die Angreifer ihre Berechtigungen, greifen auf weitere Endpunkte zu, finden sensible Daten und positionieren die Ransomware f\u00fcr eine maximale Wirkung.<\/p>\n\n Da Bedrohungsakteure den Fernzugriff immer wieder f\u00fcr b\u00f6swillige Zwecke missbrauchen, m\u00fcssen IT- und Security-Verantwortliche entscheidende Schritte unternehmen, um das Risiko zu verringern. Im Folgenden finden Sie die wichtigsten Ma\u00dfnahmen, die Unternehmen ergreifen k\u00f6nnen, um Missbrauch zu verhindern:<\/p>\n\n Angreifer erzwingen h\u00e4ufig Brute-Force-Anmeldedaten auf Desktops und Servern, die dem \u00f6ffentlichen Internet ausgesetzt sind. Selbst das j\u00fcngste Windows 11-Update von Microsoft<\/a>, das automatisch RDP Brute-Force-Versuche blockiert, kann die Bedrohung nicht vollst\u00e4ndig eind\u00e4mmen, vor allem, wenn die Angreifer gestohlene Zugangsdaten in der Hand haben.<\/p>\n\n Angesichts der Tatsache, dass 59 % der Unternehmen<\/a> mit Phishing-Kampagnen konfrontiert sind, die auf den Diebstahl von Zugangsdaten abzielen, und der Anwesenheit von Dark Web-Diensten, die sich dem Verkauf von Zugangsdaten widmen<\/a>, sollte klar sein, dass sich viele Angreifer nicht mehr auf rohe Gewalt verlassen, um Zugang zu erhalten.<\/p>\n\n Eliminieren Sie, wann immer dies m\u00f6glich ist, extern zug\u00e4ngliche RDP- und andere Fernzugriffswege auf Desktop-Ebene.<\/p>\n\n Sowohl f\u00fcr den externen als auch f\u00fcr den internen Remote Desktop-Zugriff hat Microsoft Ma\u00dfnahmen ergriffen, um sicherzustellen, dass seine RDP-Dienste so sicher wie m\u00f6glich sind. Aber es bleibt ein zweifaches Problem:<\/p>\n\n Die Umstellung auf sichere, moderne Fernzugriffsl\u00f6sungen mit granularen Kontrollen kann Ihre Risikofl\u00e4che erheblich reduzieren.<\/p>\n\n Die Multi-Faktor-Authentifizierung (MFA) ist nach wie vor einer der wirksamsten Schutzmechanismen gegen den Missbrauch von Fernzugriffen. Das Erfordernis eines zweiten Faktors, wie z.B. Smartcards, Zertifikate, Authentifizierungs-Apps oder Hardwareschl\u00fcssel, macht gestohlene Passw\u00f6rter praktisch unbrauchbar und verhindert unbefugten Zugriff, selbst wenn die Anmeldedaten kompromittiert wurden.<\/p>\n\n Regelm\u00e4\u00dfige Updates und Patches f\u00fcr alle Fernzugriffstools und -software sind entscheidend, um Angreifer in Schach zu halten. Ungepatchte Systeme sind ein Hauptziel f\u00fcr Cyberkriminelle. Daher ist es f\u00fcr den Schutz Ihres Netzwerks unerl\u00e4sslich, dass Sie sich \u00fcber Updates auf dem Laufenden halten.<\/p>\n\n Investieren Sie in Schulungen zur Cybersicherheit, um das Bewusstsein f\u00fcr die mit dem Fernzugriff verbundenen Risiken zu sch\u00e4rfen. Wenn Sie Ihre Mitarbeiter \u00fcber die Gefahren von Phishing und die Verwaltung von Passw\u00f6rtern schulen, verringert sich die Wahrscheinlichkeit des Diebstahls von Zugangsdaten und des unbefugten Zugriffs.<\/p>\n\nMangel an Informationen und Sichtbarkeit<\/h3>\n\n
\n
Gemeinsame Nutzung von Passw\u00f6rtern und schwachen Anmeldeinformationen<\/h3>\n\n
Ungesicherte oder veraltete Software<\/h3>\n\n
\n
Nutzung pers\u00f6nlicher Ger\u00e4te f\u00fcr Fernarbeit<\/h3>\n\n
\n
Unzureichende Patch-Verwaltung<\/h3>\n\n
\n
Anf\u00e4llige Backups<\/h3>\n\n
Schlechte Ger\u00e4tehygiene<\/h3>\n\n
\n
Phishing-Angriffe<\/h3>\n\n
\n
Wie Angreifer Schwachstellen im Fernzugriff ausnutzen, um sich Zugang zu verschaffen<\/h2>\n\n
Echte Beispiele f\u00fcr RDP-Ausbeutung<\/h4>\n\n
Wie Angreifer durch Fernzugriff eskalieren und sich seitlich bewegen<\/h3>\n\n
Effektive Strategien zur Verhinderung des Missbrauchs des Fernzugriffs bei Ransomware-Angriffen<\/h2>\n\n
Fernzugriff von au\u00dfen deaktivieren<\/h3>\n\n
Erw\u00e4gen Sie, RDP ganz zu stoppen<\/h3>\n\n
\n
Sichere Authentifizierung aktivieren<\/h3>\n\n
Regelm\u00e4\u00dfig Software aktualisieren und patchen<\/h3>\n\n
Mitarbeiter ausbilden und schulen<\/h3>\n\n