Die versteckten Scheunentore

Security
Verfasst von Marc Winter

Mit KI erstellt durch Copilot

Man kann durchaus behaupten, dass mittlerweile jeder nicht völlig weltfremde gewerbliche IT-Nutzer zu einem gewissen Maß verstanden hat, dass IT-Security kein Luxus, sondern eine absolute Notwendigkeit ist.

Wie weit dieses Verständnis geht, ist sehr unterschiedlich. Auch, wie weit die Bereitschaft geht, aufgedeckte Problemstellen mit dem notwendigen Nachdruck zu adressieren. Oft wird lange hin und her diskutiert, ob man es den Mitarbeitern zumuten kann, Passwörter mit mehr als 8 Zeichen und ohne das eigene Geburtsdatum verwenden zu müssen; oder gar zu MFA-Anmeldungen mit einem zusätzlichen Gerät gezwungen zu werden.

Wenn man als Außenstehender einen richtigen Hack einer Firmenumgebung beobachten musste, hört diese Diskussion sehr abrupt auf: Wer einmal hautnahe miterleben musste, wie sich ein völliger Kontrollverlust auswirkt und was die Behebung alles nach sich zieht - finanziell und an immateriellen Schäden, der wünscht so etwas seinem ärgsten Feind nicht mehr.

Für die Opfer ändert sich ihre Sicht auf die IT-Welt - und ganz plötzlich sind viele Themen, die vorher kategorisch abgelehnt oder auch nur schlampig verschoben wurden, mit maximaler Prio im Fokus.

Vor diesem Hintergrund betrachtet wirkt es fast erheiternd, was mal als IT-Profi täglich erlebt. Alle Beispiele, die nun folgen sind aus dem echten Leben - so gesehen, so erlebt. Es geht hier nicht darum, mit dem Finger auf andere zu zeigen, sondern darum, die Aufmerksamkeit auf solche Dinge zu lenken. Die hier genannten Fälle tauchen bei beiden Arten von Umgebungen auf: die, deren Betreiber sich oft selbst einem Mindestmaß an Sicherheit verwehren und die, bei denen die Betreiber eigentlich davon ausgehen, dass sie ordentlich gesichert haben. Der aus dem Qualitätsmanagement bekannte kontinuierliche Verbesserungsprozess ist die wichtigste Grundlage für jede IT-Security: "kontinuierlich" ist das Zauberwort - man ist bestenfalls zum aktuellen Zeitpunkt recht sicher - morgen ist das ggf. schon völlig anders.

Schöner Conditional Access - leider wirkungslos

Conditional Access ist State of the Art zur Sicherung von M365. Im Prinzip eine Art Firewall in der Cloud. Wer Conditional Access ernsthaft dem Level "nette Spielerei" entheben will, muss die Firmengeräte managen (und zwar mit Intune, nicht mit irgendwelchen spaßigen Zusatzlösungen) und dafür sorgen, dass sie den (hoffentlich sinnvollen) Unternehmensregeln entsprechen, um für den Zugriff zugelassen zu werden. Hier trifft man in gewachsenen oder auch von angeblichen Profis eingerichteten Umgebungen alles:

  • Es gibt eine fast dreistellige Anzahl von Conditional Access Regeln, die ein Superprofi eingerichtet hat. Garantiert für den Tenant-Betreiber nicht transparent, garantiert nicht wartbar und garantiert mit Lücken - was man nicht versteht, kann man auch nicht sichern.

  • Unternehmen in der Gewichtsklasse "mehrere Hundert User" haben brav alle Geräte eingehängt, aber dummerweise gibt es keine Regeln, die sich diese Geräte einverleiben - nahezu alle sind im Übergangsmodus (den Microsoft idiotischerweise zulässt) und die ganzen hübschen Conditional Access Regeln damit unwirksam. Wochenlange Workshops zur Regelerstellung völlig nutzlos, da keine der Regeln zieht. Und alle Beteiligten sind überzeugt, sie seien perfekt geschützt.

  • Conditional Access kann sehr anstrengend sein - wenn ein Gerät zickt, wird der User durch einen überforderten Admin gerne mal kurz von den Zugriffsbeschränkungen ausgenommen - sprich: Es wird ein großes Loch in die Firewall gebohrt. Dummerweise vergisst man das und es bleibt so. Dann kommt das nächste Problem und das nächste Loch. Aufräumen? Fehlanzeige. Pflege? Fehlanzeige.

 

MFA für (beinahe) alle

Die Notwendigkeit von MFA muss nicht mehr diskutiert werden. Zumindest mit den Menschen, die von diesem Planeten kommen. Leider gibt es nach wie vor Softwareanbieter, die noch nie etwas von Modern Authentication usw. gehört haben und davon ausgehen, dass ihre Software weiterhin per SMTP auf Port 25 Mails verschicken darf, nachdem sie sich per Benutzername und Passwort angemeldet hat. Microsoft hatte im April 2019 erstmals darauf hingewiesen, dass Basic-Auth abgeschafft werden wird. Wie üblich gab es zig Aufschübe, bis im Februar 2024 zumindest die Standards verschärft wurden. Das Geschrei war riesig: "Ihr könnt uns doch nicht einfach die Zugänge dichtmachen. Schon gar nicht mit nur 5 Jahren Vorlaufzeit."

  • Es gibt Anbieter von Scansoftware, die bis zum heutigen Tag nicht mit MFA-geschützten Konten umgehen können und einen User-Login (via Benutzername und Passwort) verwenden, um Scans in M365 abzulegen. Hier gibt es nur eine Lösung: Solche Anbieter müssen aussterben. Die Software muss sofort weg.

  • Es gibt alle möglichen Softwarelösungen, die Mails senden oder empfangen müssen. Bei unendlich vielen davon glauben die Entwickler an den Osterhasen und den Weihnachtsmann. Und sie glauben, dass Userkonto + Benutzername/Passwort auch 2025 eine adäquate Methode ist, sich bei einem Mailserver anzumelden. Erneut wird in Conditional Access, MFA-Policies usw. ein riesiges Loch gerissen, um den alten Mist weiter in Betrieb zu halten. Im Idealfall (für die Angreifer) noch mit einem bescheidenen Passwort.

  • Der Geschäftsführer Prof. Dr. Müllermeier muss mit seinem ungemanagten Privatcomputer/ Privathandy/ Privattablet auf Firmendaten zugreifen können. Damit er nicht ständig mit Anmeldungen gegängelt wird, schalten wir auch hier mal kurz ein paar Conditional Access Regeln für ihn ab. Der IT-Verantwortliche redet sich mit "ich kann doch meinem Chef keine Vorschriften machen" raus. Wer ausgerechnet bei den "Persönlichkeiten" des Unternehmens Abstriche in der Security macht, ist sich nicht im Klaren darüber, dass bei Angriffen bevorzugt genau solche Personen angegriffen werden - a) weil die Wahrscheinlichkeit, dass deren Überheblichkeit ihr Sicherheitsbewusstsein übersteigt, groß ist und b) weil diejenigen oft auch die weitreichendsten Zugriffsrechte haben.

Mit VPN zur absoluten Sicherheit

  • Wir haben ein hypertolles VPN von Hersteller xyz und damit müssen sich die User erst in der Firma einloggen, um irgendeinen Zugriff zu bekommen. Dass das VPN meistens einen vollen Netzwerkzugang zum Unternehmensnetzwerk bedeutet und damit - im Falle eines gehackten Client-Computers - dem Hacker genau einen solchen Traumzugriff ermöglicht, scheint den Verfechtern der Steinzeittechnologie noch nie in den Sinn gekommen zu sein. Oder sie glauben: der integrierte Schutz vor Viren und Hackern ist genauso toll wie das VPN selbst und damit absolut unangreifbar. Fazit: VPN hat in modernen Umgebungen zur Client-Anbindung nichts zu suchen.

  • Die Variante für Menschen mit selektiver Wahrnehmung: das VPN ist MFA-gesichert, während man sich bei M365 mit den üblichen (siehe oben) Ausreden darum drückt, dies konsequent durchzusetzen.

  • Königsklasse: Jegliche Zugriffe auf M365 sind nur aus dem Firmennetz möglich. User, die unterwegs auf M365 zugreifen wollen, brauchen ein VPN. Die Regel, die den Zugriff von außerhalb unterbindet, liegt in M365 (Conditional Access). Maximal sicher, maximal tödlich: Was passiert, wenn die feste IP des Firmenzugangs versemmelt wird? Temporärer Ausfall, Verlust der IP, versehendliche Kündigung usw - genau: Nichts mehr. Es gibt dann keinen Zugriff mehr auf M365 - von nirgendwo. Die betreffende Regel kann nicht mehr geändert werden, da es keinen Zugriff mehr gibt.

 

Der Superknaller: Domainhosting-Zugänge

Jede Firma hat eine Homepage. Der Weg zur eigenen Homepage ist oft sehr unterschiedlich. Manchmal involviert er einen seltsamen, lichtscheuen Typen, der irgendwo im Keller mit seinem Linuxsystem komische Dinge tut - aber die Homepage ist hübsch und tut, was sie soll. Alternativ ist es ein cooler Webdesigner mit einem Macbook - mit dem gleichen Ergebnis. Oder es ist eine Agentur (groß oder klein), die das richtig professionell macht. Egal: aus unserer Sicht ist das Ergebnis aber immer das Gleiche.

Sobald wir M365 einrichten bzw. irgendwelche Anpassungen vornehmen sollen und das Thema "Zugang zum Domainhoster" auf den Tisch kommt, tropft es von der Decke.

Manchmal hat nur der Webdesigner den Zugang, oft liegt er in irgendeiner Text-Datei auf dem Admin-Share.

Was offensichtlich niemand auf dem Radar hat: Wenn ein Hacker Zugang zum Domainhosting bekommt, hat er das gesamte Unternehmen in der Hand: Homepage beliebig manipulieren? Kein Ding! Mails umleiten? Klar! Zugriffe auf Firmensysteme manipulieren, mitschneiden, umleiten? Warum nicht! Admin-Zugang zu M365 verschaffen und gleichzeitig den Eigentümer aussperren? Geht!

Vor diesem Hintergrund müsste klar sein, dass der Domainhoster-Zugang noch gefährlicher ist als ein globaler M365-Admin. Dennoch zeigt der Alltag ein völlig anderes Bild:

  • Domainhoster-Zugänge sind praktisch nie MFA-gesichert

  • Die Passwörter sind oft so abgrundtief schlecht, dass es schon unverschämt ist, sie als Passwörter zu bezeichnen

  • Es gibt meist keine Rechtetrennung zwischen den Kerndiensten Domainhosting, Webhosting und Domain-DNS

Viele Potenziale für Hacker, viele ganz alltägliche Situationen. Mein Tipp: Aufschieben verbessert ein Sicherheitsrisiko niemals. Daher: sofort angehen!

Getreu dem Untertitel „Meinung|ungefiltert“ verzichte ich auf Befindlichkeiten aufgrund Herstellerbindungen, dem üblichen Geschäftsgebaren und sonstiger Konventionen.
Damit einher geht, dass dieser Blog meine persönliche Meinung widerspiegelt und nur diese - Euer Marc Winter.

Marc Winter
Weiter

Künstliche Intelligenz (vs. Suchdienste)