Vertrauen ist bequem und genau darin liegt die Gefahr. In modernen IT-Landschaften sind Unternehmen längst keine abgeschotteten Inseln mehr. Verbindungen zu externen Partnern, Dienstleistern oder Wartungszugängen gehören zum Alltag. Doch was passiert, wenn genau diese vertrauten Zugänge in Vergessenheit geraten? Wenn ein alter Test-Account weiter existiert oder ein Wartungszugang offen bleibt, obwohl ihn längst niemand mehr aktiv nutzt? Solche unscheinbaren Details wirken harmlos, bis sie es plötzlich nicht mehr sind. Denn für Angreifer sind genau das die perfekten Einstiegspunkte: unauffällig, selten überwacht und oft mit mehr Rechten ausgestattet als gedacht. Ein leiser Zugang, der nie richtig geschlossen wurde, kann sich schnell zur größten Schwachstelle im gesamten Netzwerk entwickeln.
Genau so begann auch ein Fall, den das Team der Certified Security Operations Center GmbH kürzlich entdeckte. Was zunächst wie eine ungewöhnliche Systemanmeldung wirkte, entpuppte sich bei genauerem Hinsehen als etwas ganz anderes: eine Serie auffälliger Verbindungsversuche, getarnt als interner Zugriff. Ein scheinbar vertrauter Zugang und doch der Beginn einer potenziell kritischen Sicherheitslücke.
Schnell zeigte sich, was wirklich dahintersteckte: Das Monitoring erkannte eine auffällige Häufung von Anmeldeversuchen aus nur einer einzigen IP-Adresse. Innerhalb kürzester Zeit wurden verschiedene Systeme und Subnetze angesprochen – ein typisches Muster für sogenanntes Password Spraying. Zu Password Spraying können Sie hier mehr Informationen finden: https://www.csoc.de/password-spraying-auf-active-directory-konten/
Besonders verdächtig war dabei die Nutzung des Kontos „ANONYMOUS-ANMELDUNG“ in Kombination mit dem veralteten Protokoll NTLMv1. Was zunächst wie interner Traffic wirkte, stellte sich bei genauerer Analyse als Zugriff über eine bestehende Verbindung zu externen IT-Partnern heraus. Ein eigentlich legitimer Zugang, aber in diesem Moment der Ausgangspunkt für einen großflächigen Scan und damit ein ernstzunehmendes Sicherheitsrisiko.
Erste Handlungsschritte
Unmittelbar nach der Alarmierung handelte unser Analystenteam gemeinsam mit dem Kundenteam, denn in solchen Momenten zählt jede Minute. Als erste Sofortmaßnahme wurde der betroffene VPN-Tunnel konsequent getrennt, um die Verbindung zu unterbinden und die potenzielle Angriffsquelle einzudämmen. Parallel dazu nahm der Kunde direkt Kontakt mit dem angebundenen Dienstleister auf, um die Situation schnellstmöglich aufzuklären. Die anschließende Analyse brachte Klarheit: Ausgangspunkt der verdächtigen Aktivität war ein Test-VPN-Account, der ursprünglich für mobile Fehleranalysen eingerichtet worden war. Dieser Zugang war jedoch nicht nur weiterhin aktiv, sondern inzwischen auch von außen kompromittiert worden – offenbar aus dem Ausland. Der Dienstleister reagierte umgehend, deaktivierte den betroffenen Account und bestätigte den Vorfall als kompromittierten Zugang. Ein scheinbar harmloser Testzugang hatte sich damit als kritischer Schwachpunkt entpuppt.
Tiefere Analyse
Um absolute Gewissheit zu erlangen, führte das Team eine detaillierte Auswertung der Logs durch. Das Ziel war es zu klären, ob der Angreifer mehr als nur „Klingelanschläge“ unternommen hat:
- Scan-Verhalten: Es wurden diverse Systeme im internen Netz abgefragt (Reconnaissance).
- Erfolgreiche Anmeldung: Auf einem Exchange-Server gelang eine anonyme Anmeldung via NTLMv1.
- Keine Auffälligkeiten: Es gab keine Hinweise auf Datenexfiltration, Lateral Movement oder das Anlegen weiterer Backdoors.
- Status Quo: Es wurde kein Datenabfluss festgestellt. Der Angriff wurde im Stadium der Erkundung gestoppt.
Im Worst-Case-Szenario hätte der kompromittierte Test-Account den Angreifern eine „Brücke“ direkt in das Kunden-IT-Netzwerk gebaut. Da der Angreifer logisch gesehen bereits „innerhalb“ des Netzwerks agierte, hätte er sich möglicherweise unbemerkt weitere Zugänge verschaffen oder sensible Daten aus dem Exchange-Server extrahieren können. Dass dies nicht geschah, war nicht dem Zufall überlassen, sondern dem sofortigen Eingreifen nach der Alarmierung.
Unsere Handlungsempfehlungen
Um solche Szenarien in Zukunft zu vermeiden, raten wir basierend auf diesem Vorfall dringend zu folgenden Schritten:
- Saubere Housekeeping: Regelmäßige Prüfung und Löschung von temporären Service- oder Test-Accounts, insbesondere auf VPN-Gateways.
- Partner-Überwachung: Auch Traffic aus vertrauenswürdigen Partner-Netzen (Site-to-Site-VPN) sollte denselben strengen Sicherheitsrichtlinien und Monitoring-Regeln unterliegen wie der öffentliche Internet-Verkehr.
- Deaktivierung alter Protokolle: Das verwendete NTLMv1-Protokoll gilt als unsicher und sollte nach Möglichkeit flächendeckend deaktiviert werden.
- Prinzip der geringsten Rechte: Test-Accounts sollten nur die absolut notwendigen, temporären Berechtigungen erhalten und nicht flächendeckende Zugriffsmöglichkeiten im Netzwerk.
Fazit
Dieser Vorfall ist eine deutliche Warnung: Das Risiko eines Sicherheitsvorfalls besteht nicht nur durch direkte Angriffe von außen, sondern auch durch das Ausnutzen von Schwachstellen in der eigenen IT-Hygiene oder in den Schnittstellen zu Partnern. Ein „vergessener“ Test-Account ist für einen Angreifer ein goldener Schlüssel, wenn er weiß, wo er ist. Dank der kontinuierlichen 24/7-Überwachung wurde der Scan jedoch sofort als Anomalie erkannt, bevor daraus ein ernsthafter Sicherheitsvorfall entstehen konnte. Sicherheit bedeutet auch, die „toten Winkel“ der eigenen Infrastruktur kenntlich zu machen.