Sergey Nivens - Fotolia
Häufig übersehene Schwachstellen auf Unternehmens-Webservern
In vielen Firmennetzen existieren mehr oder weniger bekannte Websysteme und -applikationen, die nur unzureichend abgesichert sind. So lassen sie sich aufspüren und schützen.
Schwachstellen-Scans und Penetrationstests werden meist nur bei größeren Webapplikationen, E-Commerce-Sites, besonderen Systemen wie etwa zur Erfassung von Daten für die elektronische Gesundheitsakte und gelegentlich auch auf für das Marketing eingesetzten Webseiten durchgeführt.
Das liegt vor allem daran, dass dort für die benötigten Maßnahmen in der Regel genug Geld vorhanden ist. Weniger gut abgesicherte, aus dem Internet erreichbare und deswegen verwundbare Webserver sind lohnende Ziele für Angreifer. Aber warum werden sie nicht ausreichend geschützt?
Dem Pareto-Prinzip folgend konzentrieren sich Sicherheitsspezialisten häufig auf die 20 Prozent der Ursachen, die für 80 Prozent der Sicherheitsprobleme verantwortlich sind. Wenn es um die Sicherheit von Webservern geht, könnte man auf dieser Basis leicht annehmen, dass die großen Webseiten und -applikationen den 20 Prozent entsprechen, um die man sich kümmern sollte.
Aber das ist eine falsche Annahme. Manche der bei weitem größten Risiken für Unternehmen befinden sich in ganz anderen Bereichen ihrer Netzwerke. Dabei handelt es sich um Segmente, die nicht ausreichend auf Sicherheitslöcher überprüft wurden oder die möglicherweise seit Jahren sogar komplett übersehen wurden. Nicht selten zählen dazu auch verwundbare Webseiten.
Unentdeckte Schwachstellen auf internen und externen Webseiten und -interfaces
Mittlerweile sieht es so aus, als ob heutzutage jede noch so unbedeutende Technologie über ein eigenes Web-Interface verfügt. Diese Eingabefelder stellen jedoch Schnittstellen zu internen Systemen dar, die Angreifer oder auch neugierige Insider verwenden können, um sich Zugang zu bisher verschlossenen Bereichen zu verschaffen. Sie ermöglichen also einen Zugriff auf Systeme und Segmente des Netzwerks, die – in einer perfekten Welt – nicht zugänglich sein sollten.
Oft ist es so, dass in einem Unternehmensnetzwerk weit mehr webbasierte Systeme vorhanden sind, als viele IT-Verantwortliche wissen oder gar für möglich halten. Es besteht zudem die große Wahrscheinlichkeit, dass sie Sicherheitslücken aufweisen, die etwa zum Diebstahl von Daten genutzt werden können. Zu diesen gefährdeten Systemen gehören vor allem:
- Kameras
- Standardinstallationen von Windows-Servern
- interne Server, die zur Entwicklung, zum Testen und zum Ausrollen neuer Applikationen genutzt werden
- IoT-Geräte (Internet of Things) wie Devices zum Reservieren von Konferenzräumen oder diverse Sensoren in den Firmengebäuden, die alle vermeintlich harmlos sind
- Infrastruktursysteme für das Netzwer, wie Switches, Firewalls und Wireless Access Points
- physische Maßnahmen zur Erhöhung der Sicherheit
- Drucker
- Web-Proxies
- diverse Endpunkte, um Webdienste zur Verfügung zu stellen
- wenig bekannte Microsites, die nur selten oder von wenigen Mitarbeitern genutzte Dienste bereitstellen
- Storage-Systeme
Bei ihnen allen handelt es sich in der Regel um legitime Systeme und Anwendungen, die von der IT-Abteilung bereitgestellt und eingerichtet werden. Dazu kommen aber noch weitere Systeme, die von Fachabteilungen oder gar nur einzelnen Anwendern eingesetzt werden. Für diese Systeme hat sich der Begriff Schatten-IT eingebürgert. Auch sie können meist von innerhalb sowie von außerhalb des Unternehmensnetzwerkes erreicht werden.
Dadurch entstehen unkalkulierbare Risiken, auf die die betroffenen Unternehmen meist nicht ausreichend vorbereitet sind. So ist es nur schwer möglich, Systeme zu sichern, die schlicht nicht bekannt sind und die deswegen oft nicht unter die getroffenen Sicherheitsmaßnahmen fallen.
Bislang übersehene Systeme und Anwendungen aufspüren und sichern
Unabhängig davon, ob ein Unternehmen bestimmte Webressourcen als essentiell betrachtet oder nicht und egal, ob sie vermutlich sicher sind oder nicht: Sie müssen überprüft werden. Dabei kann herauskommen, dass alles in Ordnung ist und dass keine Sicherheitslücken bestehen. Es ist aber auch sehr gut möglich, dass dabei gefährdete Systeme entdeckt werden, die von Angreifern für zum Beispiel SQL Injection oder das Verbreiten von Malware genutzt werden können.
Wenn Schwachstellen gefunden wurden, dann ist zumindest klar, dass schnell etwas unternommen werden muss, um sie zu schließen. Das können nicht nur das Einspielen von Updates sein, sondern auch beispielsweise die Nutzung von Access Control Lists (ACLs), IPS-Systemen (Intrusion Prevention Systems) oder auch Web-Application-Firewalls.
Unternehmen sollten unbedingt eine Inventur aller vorhandenen Webumgebungen erstellen. Dazu werden zunächst nur eine Handvoll relativ einfach durchzuführender Scans benötigt. Sie dienen dazu, herauszufinden, welche Systeme überhaupt aktiv im Einsatz sind. Besonders wichtig sind dabei die Standard-Ports für Webanwendungen wie 80, 443 und 8080. Anschließend kann entschieden werden, welche Systeme mit einem dedizierten Schwachstellen-Scanner überprüft werden oder ob manuelle Analysen durchgeführt werden müssen. Darüber hinaus sollte aber auch eine Suche nach besser versteckten Systemen erfolgen, die nicht über die Standard-Ports erreichbar sind.
Auch in Anbetracht der EU-Datenschutz-Grundverordnung (DSGVO) ist es wichtig, zu dokumentieren, dass Anstrengungen unternommen wurden, um bislang ungesicherte Systeme zu schützen. Sollte es dann zu einem Einbruch, einem Datendiebstahl oder gar einem Gerichtsverfahren kommen, können zumindest diese Maßnahmen zur Verteidigung angeführt werden. Es kann aber auch sein, dass die Unternehmensleitung nicht bereit ist, die benötigten Ressourcen bereitzustellen, um die gesamte Webumgebung zu überprüfen.
Entscheidungen auf der Basis von zu wenigen Fakten führen meist zu unabsehbaren Konsequenzen. Unternehmen sollten deswegen umgehend alle erforderlichen Maßnahmen ergreifen, um verwundbare Websysteme in ihrer IT-Umgebung zu finden, um dann die Schwachstellen zu beheben. Nur eines ist nämlich sicher: Es gibt diese Systeme in nahezu jedem Netzwerk.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!