In unserer Leitstelle wurden wir kürzlich über die Regel ‚Failed Logon From Public IP‘ darauf aufmerksam, dass auf einem Kunden-Notebook in kürzester Zeit insgesamt 4.500 fehlgeschlagene Loginversuche von zwei externen Systeme stattgefunden haben.
Erste Analysen verstärkten den Verdacht, dass es sich hier möglicherweise um einen versuchten BruteForce-Angriff, auch Wörterbuchangriff genannt, handeln könnte. Bei einem Wörterbuchangriff wird in einen mit einem Passwort geschützten Computer oder Server eingebrochen, indem jedes Wort in einer Wörterliste systematisch durchprobiert wird. In diesem Fall wurden unterschiedliche User-Namen willkürlich durchprobiert, die teilweise nicht existierten.
Der Kunde wurde über den Zwischenfall informiert und der betroffene User, der sich im Homeoffice befand, wurde durch den Kunden kontaktiert, sodass das Notebook unverzüglich vom Netzwerk entfernt werden konnte. Zusätzlich wurde beim User zu Hause die Konfiguration der FRITZ!Box überprüft. Dabei wurde festgestellt, dass in der Konfiguration unter dem Punkt ‚Freigaben‘ die Optionen ‚Internetzugriff auf die FRITZ!Box über HTTPS aktiviert‘ und ‚Dieses Gerät komplett für den Internetzugriff über IPV4 freigeben (Exposed Hosts)‘ aktiviert waren. Zusätzlich war ein fremder FRITZ!Box User angelegt worden. Somit war die Kommunikation in Richtung Internet komplett offen und es konnte von außen auf das Gerät zugegriffen werden.
Dieser Vorfall zeigt nochmal die Dringlichkeit für Unternehmen, geeignete technische und organisatorische Sicherheitsmaßnahmen zu treffen, um das Homeoffice ausreichend gegen Cyberangriffe abzusichern
Unsere Handlungsempfehlungen:
– Die Optionen ‚Internetzugriff auf die FRITZ!Box über HTTPS aktiviert‘ und ‚Dieses Gerät komplett für den Internetzugriff über IPV4 freigeben (Exposed Hosts)‘ sollten deaktiviert werden.
– Auf Notebooks sollte über eine installierte Firewall die Verbindung von außen unterbunden werden.
– Mitarbeiterinnen sollten aufgefordert werden, ihre Router regelmäßig zu aktualisieren.
– Beim Starten des Routers sollte die Verschlüsselung WPA2 oder WPA3 aktiviert werden.
– Die Antiviren-Programme sollten regelmäßig aktualisiert und Scans auf dem eingesetzten PC durchgeführt werden.
– Es sollten stets starke und komplexe Passwörter verwendet werden.
– Die Implementierung von Mehr-Faktor-Authentisierung ist eine weitere Maßnahme, um unerlaubten Zugriff auf die Systeme zu verhindern.
-Es sollte für eine sichere sowie verschlüsselte Datenübertragung ein VPN-Client auf jedem Rechner installiert und eingerichtet sein. Zudem wird der Einsatz von VPN-Boxen (Virtual Private Network) empfohlen.