Die Verwaltung von über 7.000 aktiv betriebenen Endpunkten stellt besondere Anforderungen an die Konsistenz sicherheitstechnischer Kontrollmechanismen. Die Skalierbarkeit operativer Sicherheit kann dabei nicht allein durch Ereignisdetektion erreicht werden, sondern erfordert die strukturelle Einschränkung potenzieller Angriffsinteraktionen auf Hostebene.
Unsere Architektur verfolgt daher einen präventionsorientierten Ansatz: Ziel ist nicht primär die Identifikation schädlichen Verhaltens, sondern die technische Begrenzung zulässiger Prozessinteraktionen.
Die Analyse realer Ereignisse zeigt eine zunehmende Nutzung legitimer Betriebssystemressourcen („Living-off-the-Land“) zur Umgehung klassischer Detektionsmechanismen.
Der folgende Vorfall illustriert eine typische Prozesskette:
Beobachtete Sequenz:
‣ Enumeration: Abfrage aktiver Sessions über quser.exe
‣ Remote-Service-Etablierung: Installation eines PSExec-Servers
‣ Codeausführung: Remote-Execution über administrative Schnittstellen
‣ Persistenz: Deployment eines RMM-Tools als Dienst
Jeder Einzelschritt kann isoliert betrachtet administrativ legitim erscheinen und erfordert in detektionszentrierten Betriebsmodellen eine manuelle Kontextvalidierung.
Technische Durchsetzung von Interaktionsgrenzen
Statt ausschließlich auf Ereignisbewertung zu setzen, implementiert unsere Umgebung restriktive Interaktionsrichtlinien zwischen Anwendungen.
Diese werden lokal auf dem Endpunkt durchgesetzt und begrenzen u.a.:
‣ Zugriff auf Speicherbereiche fremder Prozesse
‣ Nutzung bestimmter Netzwerkpfade
‣ IPC-Kommunikation
‣ Tool-Kaskadierung zwischen administrativen Utilities
Dadurch wird nicht nur Verhalten beobachtet, sondern Interaktion technisch eingeschränkt.
Wichtig dabei: Diese Form der Kontrolle unterscheidet sich konzeptionell von klassischem Behaviour Monitoring moderner EDR/XDR-Systeme, die primär auf Telemetrieauswertung und Anomalieerkennung basieren.
Hier erfolgt eine direkte Policy-Durchsetzung vor Ausführung oder Interaktion.
Einordnung in Bezug auf das NIST-Framework
Das NIST Cybersecurity Framework beschreibt organisatorische und prozessuale Funktionen:
‣ Identify
‣ Protect
‣ Detect
‣ Respond
‣ Recover
Die hier eingesetzte Architektur ergänzt diese nicht formal, sondern implementiert eine darunterliegende technische Ebene, die sicherstellt, dass definierte Schutzrichtlinien operativ erzwungen werden. „Prevent“ wird daher nicht als zusätzliche Framework-Funktion verstanden, sondern als infrastrukturelle Durchsetzungsbasis.
Der Betrieb mehrerer tausend Endpunkte zeigt, dass Alarmreduktion nicht primär durch verbesserte Detektion erreicht wird, sondern durch strukturelle Einschränkung möglicher Angriffswege. Präventive Policy-Durchsetzung reduziert Analyseaufwand, indem unzulässige Interaktionen bereits auf technischer Ebene ausgeschlossen werden.
Kostenloser Beratungstermin
Das fehlende Bewusstsein für die Risiken beim Einsatz von Fernwartungstools stellt eine erhebliche Gefahr für die Unternehmenssicherheit dar. Der Markt bietet zahlreiche solcher Tools, darunter neben dem Marktführer TeamViewer auch Ammyy Admin, AnyDesk, DameWare, Riverbird, SimpleHelp, Splashtop, Zoho und viele mehr. Doch durch die Verwendung solcher Tools können sich große Sicherheitslücken auftun. Im folgenden Blog wollen wir Sie darüber aufklären, was für Gefahren durch diese Tools lauern können.
Zugriff im Verborgenen
Die oben genannten Tools nutzen das Verfahren des sogenannten Hole Punching, das es ermöglicht, Firewalls zu umgehen und eine direkte Datenverbindung zwischen zwei Geräten aufzubauen. Dies geschieht oft unbemerkt von Firewalls, Administratoren, Sicherheitslösungen, Virenschutzsystemen, oder auch dem EDR/XDR-Schutz, wodurch sie für Angreifer sehr attraktiv werden.
Vertrauenswürdigkeit der Programme
Nutzer vertrauen diesen Tools oft blindlings und unterschätzen die damit verbundenen Risiken. Dies erleichtert es Angreifern, Benutzer zu täuschen und unter einem Vorwand Fernwartungszugriffe zu erwirken, sei es per E-Mail oder Telefon. Heutzutage ist es durch moderne Software leicht möglich, einen Anruf mit der Mobilnummer des Geschäftsführers zu tätigen und dabei die Stimme des Geschäftsführers einzunehmen. Deshalb ist hier eine hohe Awareness aller Mitarbeiter essentiell.
Einsatz durch IT-Dienstleister
Viele IT-Dienstleister setzen diese Tools intensiv ein, oft ohne das Wissen des Unternehmens. Diese Tools werden als Dienst installiert, um rund um die Uhr auf Server oder Maschinensteuerungen zuzugreifen. Häufig fehlen klare Regelungen zu Passwortsicherheit, -alter, -komplexität und zur Aktualisierung der verwendeten Software. Hier sind uns Fälle bekannt, in denen Angreifer sich als IT-Dienstleister ausgeben, um Zugang zu erlangen. Es reicht, dass der Angreifer weiß, welche Software Sie einsetzen oder mit welchen Dienstleistern Sie zusammenarbeiten. Im Darknet werden Millionen solcher Daten für wenig Geld gehandelt, im schlimmsten Fall können es komplette Zugangsdaten zu Systemen sein, auf jeden Fall aber wichtige Informationen über eingesetzte Hard- und Software sowie Tools.
Veraltete Softwareversionen
Einmal installiert, bleiben diese Tools oft über einen langen Zeitraum ohne Updates aktiv, wodurch Sicherheitslücken bestehen bleiben. Es gibt Fälle, in denen veraltete Windows-Versionen (Windows XP, Windows Server 2000) ohne Updates genutzt wurden, die TeamViewer-Hosts liefen ununterbrochen und waren ebenfalls jahrelang ohne Update aktiv, was ein großes Risiko darstellt.
Schatten-IT
Die Komplexität moderner IT-Infrastrukturen erfordert eine sorgfältige Absicherung und Kenntnis über exponierte Systeme. Jeder Fernwartungs-Host kann einen Einstiegspunkt darstellen, sei es auf Arbeitsplätzen, Produktionsanlagen oder Servern. Heutzutage kann man jeden Datenspeicher oder Management-Interface ebenfalls öffentlich erreichbar machen. Ungewollt öffentlich zugängliche Daten können hier erhebliche Risiken bergen. Das Bewusstsein und die Sensibilität vieler IT-Administratoren müssen daher gestärkt werden und umfassende Kontrolle über eingesetzte Fernwartungssoftware ist nötig. Auf Systemen, wo Fernwartungswerkzeuge nicht gewünscht sind, sollten sie pauschal blockiert werden. Ein Versuch, diese zu starten, sollte sofort eine Warnung an die IT auslösen, da dies auf unzureichendes Sicherheitsbewusstsein bei Mitarbeitern oder auf eine Sicherheitslücke in dem Betriebssystem, dem Webbrowser oder eines Programms, bei der sich eine Fernwartungssoftware unbemerkt zu aktivieren versucht, hindeutet.
Soliden Schutz etablieren
Die gute Nachricht: Ein solider Schutz lässt sich einfach und nachhaltig etablieren. Die IT-Sicherheit befindet sich in einem starken Wandel, und das Vertrauen in Systeme, die einst funktionierten, ist heute nicht mehr tragbar. Dies hat einen Paradigmenwechsel hin zu einem neuen Denken und Handeln hervorgerufen: Das Zero-Trust-Prinzip.
Dieses Prinzip bedeutet einfach erklärt: „Erlaube nur das explizit Bekannte und Gewollte und verbiete alles andere.“ Zero Trust ist ein Sicherheitsmodell, das Angriffe sowohl von extern als auch intern verhindern soll. Mit dem Einsatz unserer Lösung werden auf Ihren Systemen nur noch autorisierte Programme mit ihren legitimen Prozessen ausgeführt, alles andere wird automatisch blockiert. Wir sorgen dafür, dass nur die Prozesse auf die Daten zugreifen können, die sie wirklich benötigen. Mit dem intelligenten Zero Trust Schutzschirm erhalten Sie verlässliche IT-Security für Ihr Unternehmen, höchst effizient und dauerhaft.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
