Die Prozesse in modernen Unternehmen, die mit einem ständig wachsenden Bedarf an externen Fernzugriffsmöglichkeiten auf Netzwerke und einer Zunahme der Konnektivität zu dritten Parteien (seien es Dienstleister, Lieferanten oder andere Prozessteilnehmer) einhergehen, stellen Cyber-Sicherheitsverantwortliche vor große Herausforderungen. Weit verbreitet bergen bei diesen Prozessen eingesetzte, unterstützende Technologien hohe Risiken und werden immer häufiger von Cyber-Kriminellen ins Visier genommen. Protokolle wie RDP (Remote Desktop Protocol), SMB (Server Message Block) und WinRM (Windows Remote Management) können wichtige Geschäftsprozesse erleichtern. Die mit diesen Protokollen verbundenen Risiken müssen jedoch, da sind sich Cyber-Sicherheitsexperten einig, bei jeder Analyse der Bedrohungslage berücksichtigt werden. Insbesondere RDP scheint es Hackern aktuell angetan zu haben, das Protokoll hat sich zu einem primärer Vektor für Ransomware entwickelt, mit dem Kriminelle in den letzten Monaten häufig erfolgreich waren.
Das proprietäre Microsoft-Protokoll RDP wird oft von Administratoren verwendet, um Nutzer-Probleme zu beheben, da es ihnen ermöglicht, eine Verbindung zu einem entfernten Computer herzustellen und diesen zu steuern. Auch beim Cloud Computing ist dieses Protokoll in den letzten Jahren vermehrt zum Einsatz gekommen, da darüber der Zugriff und die Verwaltung virtueller Maschinen in der Cloud-Umgebung zu realisieren ist. „Leider wird RDP in vielen Fällen zu einem Einfallstor“, warnt Markus Auer, Security Advisor beim Cyber-Sicherheitsanbieter BlueVoyant, „wenn der RDP-Port für das Internet offen gelassen wird, z. B. auf einem vergessenen System, einer Cloud-Instanz oder einem Netzwerksegment. In den letzten Jahren haben Bedrohungsakteure immer häufiger nach offenen RDP-Ports gesucht, da sie durch einen einfachen externen Scan des Netzwerks eines Unternehmens anfällige offene RDP-Dienste finden können. Wenn ein RDP-Port im Netzwerk eines Unternehmens offen bleibt, ist es nur eine Frage der Zeit, bis es zur Zielscheibe für Cyberkriminelle wird.“
Neben dem RDP und ähnlich leicht zu entdeckenden und ausnutzbaren Protokollen stellen laut BlueVoyant nach wie vor Emerging Vulnerabilities (EVs) eine überaus kritische Bedrohung für Unternehmen dar, da ihr Auftreten unvorhersehbar ist und es im Falle des Falles zu Datenverlusten, Ausfallzeiten, kostspieligen Abhilfemaßnahmen und Reputationsschäden für Unternehmen kommen kann. Quasi wöchentlich werden neue Schwachstellen bekannt. Wenn es für Unternehmen weltweit und branchenübergreifend schon schwierig genug ist, dabei stets im Blick zu haben, welche Schwachstellen das eigene Unternehmen betreffen könnten, ist die weitaus größere Herausforderungen sicherzustellen, dass auch die eigenen Zulieferer keine Instanzen anfälliger Software offen und ungepatcht lassen. Nach einem neu bekannt gewordenen Zero-Day-Angriff beträgt die durchschnittliche Zeit bis zur Kompromittierung nach BlueVoyant-Angaben maximal zwei Wochen, daher sei es extrem wichtig, schnell zu reagieren und dabei auch das erweiterte IT-Ökosystem auf Risiken abzuklopfen.
