Certified Security Operations Center GmbH

5. September 2025

Unerlaubte SSH-Zugriffsversuche aus dem Internet – Wie Unternehmen sich schützen können

Die Angriffe erfolgen häufig automatisiert und kaum auffällig — oft in sehr kurzen Abständen, noch bevor jemand den Vorfall bemerkt. Ein besonders häufig ausgenutztes Einfallstor ist der SSH‑Dienst: Das Protokoll selbst ist für sichere Administration gedacht, doch exponierte oder schlecht konfigurierte SSH‑Server werden im Internet routinemäßig von Scannern und Angreifern angegriffen. Fehlen zusätzliche Schutzmaßnahmen (z. B. schlüsselbasierte Authentifizierung, Zugriffsbeschränkungen, Rate‑Limiting), können wiederholte automatisierte Login‑Versuche schnell zu Kompromittierungen führen.

SSH (Secure Shell) ist ein unverzichtbares Tool für Systemadministratoren, um sicheren Zugriff auf Netzwerkdienste zu gewährleisten. Doch wenn SSH-Services unsachgemäß konfiguriert oder über das Internet exponiert sind, können sie schnell zum Angriffsziel von Cyberkriminellen werden. Ein aktueller Fall zeigt eindrucksvoll, wie kritisch solche Schwachstellen sein können – und warum Unternehmen dringend vorbeugende Maßnahmen ergreifen sollten.

Kurzfassung des Vorfalles

Der jüngste Vorfall bei einem mittelständischen Unternehmen aus der Wohnungsbaubranche verdeutlicht, wie schnell ein Routine-Tool zur massiven Sicherheitsgefahr werden kann – und warum es höchste Zeit ist, SSH-Verbindungen konsequent abzusichern.

Wir erkannten bei einem Kunden ungewöhnliche SSH-Verbindungsversuche von einer externen IP-Adresse (Microsoft-IP) zu mehreren internen Servern. Die Verbindungen wurden über Port 22 (Standard-SSH-Port) hergestellt, und es wurden fehlgeschlagene Anmeldeversuche für den Administrator-Benutzer registriert. Betroffen waren unter anderem Server einer Sharepoint-Infrastruktur sowie weitere kritische Systeme.

Analyse der Bedrohung

  • Muster der Angriffe: Mehrere SSH-Verbindungsversuche von derselben Quelle innerhalb kurzer Zeit deuten auf automatisierte Scans oder Brute-Force-Angriffe hin. Die fehlgeschlagenen Logins für hochprivilegierte Benutzer (z. B. „Administrator“) zeigen, dass der Angreifer gezielt versucht hat, Zugang zu erhalten.
  • Exposition sensibler Systeme: Die betroffenen Server gehörten zu einer Infrastruktur, die für kritische Geschäftsprozesse genutzt wird. Eine erfolgreiche Kompromittierung hätte weitreichende Folgen gehabt, einschließlich Datenverlusten, Reputationsdamage und potenziellen Compliance-Verstößen.
  • Technologische Schwachstellen: Die Nutzung des Standard-SSH-Ports (22) und die Exposition der Services über das Internet ohne zusätzliche Sicherheitsmaßnahmen (z. B. Whitelisting, MFA) machten die Systeme besonders anfällig.

Potenzielle Auswirkungen auf das Unternehmen

  • Datenexfiltration: Ein Angreifer hätte sensible Unternehmensdaten abgreifen können.
  • Lateral Movement: Mit Zugriff auf einen Server ließe sich der Angriff auf andere Systeme ausweiten.
  • Dienstunterbrechung: Eine Kompromittierung kann zur Störung kritischer Anwendungen führen.
  • Reputationsrisiko: Ein Sicherheitsvorfall könnte das Vertrauen von Kunden und Partnern gefährden.

Handlungsempfehlungen für Unternehmen

SSH-Services minimieren und absichern

  • Port-Änderung: Nutzen Sie nicht-standardisierte Ports für SSH-Dienste, um automatisierte Scans zu erschweren.
  • Whitelisting: Ermöglichen Sie nur autorisierten IPs den Zugriff auf SSH-Port.
  • Firewall-Regeln: Blockieren Sie alle eingehenden Verbindungen außer von vertrauenswürdigen Quellen.

Zweifaktor-Authentifizierung (MFA) implementieren

  • Setzen Sie MFA für SSH-Logins ein, um den Schutz auch bei kompromittierten Passwörtern aufrechtzuerhalten.

Regelmäßige Audits durchführen

  • Prüfen Sie regelmäßig, welche Systeme über das Internet erreichbar sind, und eliminieren Sie unnötige Expositionen.
  • Analysieren Sie Logfiles auf verdächtige Aktivitäten (z. B. wiederholte Login-Versuche).

Monitoring und SOC-Kooperation stärken

  • Nutzen Sie die Echtzeitüberwachung von Netzwerkverkehr.
  • Arbeiten Sie eng mit einem erfahrenen SOC zusammen, um Vorfälle frühzeitig zu erkennen und zu beheben.

Festlegen von Notfallplänen

  • Definieren Sie klare Prozesse für die Reaktion auf Sicherheitsvorfälle (z. B. Abschaltung von Systemen, Benachrichtigung von Stakeholdern).

Fazit

Die Detektion von SSH-Angriffen aus dem Internet ist ein klarer Hinweis auf die Notwendigkeit proaktiver IT-Sicherheit. Unternehmen sollten nicht auf reaktive Maßnahmen vertrauen, sondern stattdessen ihre Infrastruktur systematisch gegen solche Angriffe absichern. Durch technische Prävention, kontinuierliche Überwachung und Zusammenarbeit mit einem SOC lassen sich kritische Bedrohungen effektiv abwehren – und das bevor sie zu echten Schäden führen.

Tipp: Lassen Sie sich von einem erfahrenen SOC-Partner beraten, um Ihre Sicherheitsstrategie zu optimieren und sich gegen moderne Bedrohungen abzusichern.

error: