Meinung

Welche Risiken durch Remote Monitoring entstehen können

Veränderte Arbeitsmodelle und IT-Umgebungen führen dazu, dass IT-Teams häufig Probleme aus der Ferne mit entsprechenden Tools lösen müssen. Das birgt Risiken für die Sicherheit.

Volker Sommer
von
Zuletzt aktualisiert:13 Dez. 2024

RMM-Tools (Remote Monitoring & Management) erlebten in den letzten Jahren nicht zuletzt aufgrund der zunehmenden Verbreitung von Remote Work und hybriden Arbeitsplatzmodellen ein rasantes Wachstum. Mit ihrer Hilfe kann die IT-Abteilung die Vielzahl an eingesetzten und verstreuten Geräten verwalten und den Mitarbeitenden Hilfestellungen geben. Allerdings können RMM-Tools auch missbraucht werden, um Verbindungen zum Gerät eines Opfers herzustellen, Befehle auszuführen sowie Daten zu entwenden – oftmals gänzlich unentdeckt.

RMM-Software hat die Netzwerkverwaltung vereinfacht und ermöglicht es IT-Fachleuten, Probleme aus der Ferne zu lösen, Software zu installieren und Dateien hoch- oder herunterzuladen. Allerdings stellt jeglicher Zugang auf einen Rechner eine potenzielle Gefahrenquelle dar, die von Cyberkriminellen ausgenutzt werden kann.

So setzten bei den meisten der von Varonis im letzten Jahr untersuchten Cybervorfälle Ransomware-Banden eine Technik ein, die als „Living off the Land“ bekannt ist: Die Angreifer nutzen dabei vorhandene legitime IT-Tools, um die Fernsteuerung zu übernehmen, unbemerkt durch Netzwerke zu navigieren und Daten zu stehlen. Dabei besteht der Hauptvorteil aus Angreifersicht darin, dass sie sich unbemerkt einschleusen und der Entdeckung entgehen können, da diese Tools und ihr Datenverkehr in der Regel sowohl von Sicherheitskontrollen als auch von den Sicherheitsrichtlinien des Unternehmens, wie zum Beispiel dem Application Allowlisting, „ignoriert“ werden.

Wie Angriffe mit RMM-Tools erfolgen

Cyberkriminelle nutzen in aller Regel zwei Methoden:

  • Missbrauch vorhandener RMM-Tools: Die Angreifer verschaffen sich mit Hilfe bereits vorhandener RMM-Tools einen ersten Zugang zum Netzwerk eines Unternehmens. Sie nutzen schwache, voreingestellte oder ergaunerte Anmeldeinformationen sowie Schwachstellen in den Tools aus, um sich Zugang zu verschaffen, ohne entdeckt zu werden.
  • Installation neuer RMM-Tools: Die Angreifer installieren ihre bevorzugten RMM-Lösung, indem sie sich zunächst Zugang zum Netzwerk verschaffen. Sie verwenden Phishing-E-Mails oder Social-Engineering-Techniken, um die Opfer dazu zu bringen, das RMM-Tool unwissentlich in ihrem Netzwerk zu installieren.

Bei einer kürzlich durchgeführten Untersuchung entdeckten Sicherheitsforscher im PowerShell-Verlauf eines kompromittierten Geräts Hinweise auf ein RMM-Tool namens „KiTTY“. Bei dieser Software handelt es sich um eine modifizierte Version von PuTTY, einem bekannten Tool zum Erstellen von Telnet- und SSH-Sitzungen mit entfernten Rechnern. Da es sich bei PuTTY um ein legitimes RMM-Tool handelt, löste keine der Sicherheitslösungen des Unternehmens Alarm aus, sodass KiTTY in der Lage war, Reverse-Tunnel über Port 443 zu erstellen, um interne Server mit einer AWS EC2-Box zu verbinden und auf diese Weise Daten zu entwenden.

Volker Sommer, Varonis Systems

„RMM-Software hat die Netzwerkverwaltung vereinfacht und ermöglicht es IT-Fachleuten, Probleme aus der Ferne zu lösen. Allerdings stellt jeglicher Zugang auf einen Rechner eine potenzielle Gefahrenquelle dar, die von Cyberkriminellen ausgenutzt werden kann.“

Volker Sommer, Varonis Systems

Risiken reduzieren

Um die Gefahr des Missbrauchs von RMM-Tools durch Angreifer zu minimieren, sollten Sicherheitsverantwortliche folgende Maßnahmen in Betracht ziehen:

Richtlinie zur Anwendungskontrolle

Sicherheitsverantwortliche sollten die Verwendung mehrerer RMM-Tools einschränken, indem sie eine Richtlinie zur Anwendungskontrolle durchsetzen. Dabei müssen sie sicherstellen, dass die RMM-Tools aktualisiert sowie gepatcht sind und nur autorisierte Benutzer mit aktivierter MFA (Multifaktor-Authentifizierung) darauf zugreifen können. Zudem müssen proaktiv sowohl eingehende als auch ausgehende Verbindungen zu verbotenen RMM-Ports und -Protokollen an der Netzwerkgrenze blockiert werden.

Eine Möglichkeit ist die Erstellung einer WDAC-Richtlinie (Windows Defender Application Control) mit PowerShell, die Anwendungen auf der Grundlage ihres Herausgebers auf eine Whitelist setzt. Dabei ist zu beachten, dass für die Erstellung von WDAC-Richtlinien Administratorrechte und für die Bereitstellung über Gruppenrichtlinien Domänenadministratorrechte erforderlich sind.

Als Vorsichtsmaßnahme sollte die Richtlinie im Prüfmodus getestet werden, bevor sie im Erzwingungsmodus bereitgestellt wird, um zu vermeiden, dass notwendige Anwendungen versehentlich blockiert werden.

Kontinuierliche Überwachung

Der Netzwerkverkehr und die Protokolle müssen ständig kontrolliert werden, insbesondere im Hinblick auf RMM-Tools. Um eigene Ressourcen zu schonen, kann man Security-Dienstleistungen wie einen MDDR-Service (Managed Data Detection and Response) oder ein SOC (Security Operations Center) in Erwägung ziehen. Diese Dienste haben den Vorteil, dass sie eine 24/7-Überwachung gewährleisten, was in den meisten Unternehmen intern nicht möglich ist.

Sensibilisierung und Schulung

Die Mitarbeitenden sollten regelmäßig trainiert werden, damit sie Phishing-Versuche erkennen. Auch die Passworthygiene ist ein entscheidender Punkt, da Cyberkriminelle häufig diese Wege nutzen, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Sicherheitsverantwortliche sollten die Meldung verdächtiger Aktivitäten (und des eigenen Fehlverhaltens) fördern und die Sicherheitsmaßnahmen regelmäßig testen.

Fazit

Nicht nur Unternehmen profitieren vom stetigen technologischen Fortschritt, sondern auch die Cyberkriminellen. Nahezu alle Technologien lassen sich auch missbrauchen. Entsprechend sind auch RMM-Tools nur ein weiteres Beispiel dafür, wie Angreifer in die Infrastruktur ihrer Opfer eindringen können. Und so unterschiedlich diese Wege auch sein mögen, ihr Ziel ist zumeist dasselbe: die wertvollen Daten des Unternehmens. Deshalb ist es wichtig, die Daten ins Zentrum der Sicherheitsstrategie zu stellen. Sie müssen stets geschützt sein, ganz gleich, auf welche Weise sich Cyberkriminelle Zugang in die Systeme verschaffen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit