Cyberkriminelle greifen IT-Systeme nicht immer mit Hacker-Methoden über das Internet an. Auch über gewöhnliche PC-Arbeitsplätze von Unternehmen können sich Angreifer Zugang zu Netzwerken und anderen Geräten verschaffen.
Ein grundsätzliches Sicherheitsrisiko ist dabei laut Experten zunächst der Zutritt zu den Büroräumen. Denn zu vielen Gebäuden haben nicht nur Mitarbeitende Zugang, sondern auch Dritte, wie Raumpflegepersonal oder der Sicherheitsdienst. Ohne entsprechende Massnahmen können sich dadurch auch Unbefugte Zutritt zu den Räumlichkeiten von Unternehmen verschaffen. Und sitzen die Täter einmal am PC, haben sie zahlreiche Möglichkeiten, um Schaden anzurichten.
Festplattenverschlüsselung minimiert Sicherheitsrisiken
Eine gängige Methode bei Angriffen über PC-Arbeitsplätze ist etwa der Austausch der Datei OSK.EXE im Windows-Verzeichnis. Dadurch können sich die Täter über eine Kommandozeile lokale Administratorenrechte erschleichen. Um sich dagegen zu schützen, hilft die Festplattenverschlüsselung auf allen Arbeitsplätzen, die den Zugriff auf das System nur nach Eingabe eines Passworts oder durch einen Hardware-Token erlaubt.
Sind Angreifer nämlich im Besitz von Administratorrechten haben Sie die Möglichkeit, an gehashte Passwörter zu gelangen, die oft ausreichen, um Zugang zu allen Geräten zu erhalten, allenfalls selbst auf interne Server. Möglich ist dies, weil in Windows-Umgebungen lokale Administrator-Accounts, etwa für den lokalen Virenschutz oder die Softwareverteilung, häufig auf verschiedenen Arbeitsplätzen eingerichtet sind. Abhilfe gegen solche «Pass-the-Hash»-Angriffe kann eine Local Administrator Password Solution (LAPS) schaffen, die automatisiert unterschiedliche Passwörter pro Arbeitsplatz erstellt und regelmäßig ändert.
Ein weiteres Sicherheitsrisiko bildet in Windows-Netzwerken das Kerberos-Verfahren zur Nutzer-Authentisierung im Active Directory, wobei Nutzende Tickets für die Anmeldung bei anderen Servern erhalten. Diese Tickets gelten zwar grundsätzlich für einzelne Dienste, allerdings gibt es Ausnahmen. Kerberos-Server können eine Authentisierungsanfrage stellen, wodurch sich ein Angreifer mit dem entsprechenden Passwort als eine andere Person ausgeben kann. Eine Methode, um diesem Sicherheitsproblem vorzubeugen ist die Verwendung langer, komplexer Passwörter für Kerberos-Table-Accounts.
Mit Endpoint-Security gegen Ransomware und Co.
Wie die Übersicht zeigt, sind Angriffe über PC-Arbeitsplätze nicht zu unterschätzen. Ein schwerwiegenderes Risiko in Sachen IT-Sicherheit sind jedoch weiterhin Hackerangriffe über das Internet. Um ihnen vorzubeugen, genügen ebenfalls oft schon einfache und kostengünstige Massnahmen. So empfiehlt sich als Basisschutz gegen Ransomware, Phishing und Co- beispielsweise die Installation einer bewährten Endpoint Security Lösung, wie Bitdefender.
