Auch Cybersicherheitsexperten müssen ihre Sicherheitslage verbessern.
Das ist die Lehre aus der RSA-Konferenz im Februar, bei der das von Cisco und NetWitness betriebene Security Operations Center (SOC) 55,525 Klartext-Passwörter von 2,210 eindeutigen Konten erfasst hat, gaben die Unternehmen in einem letzte Woche veröffentlichten Bericht an. In einem vom SOC untersuchten Fall hatte ein Chief Information Security Officer einen falsch konfigurierten E-Mail-Client, der Passwörter und Text im Klartext verschickte, darunter auch vertrauliche Dokumente wie die Zahlung für eine Berufszertifizierung.
Während die Zahl der Klartext-Passwörter eine Verbesserung im Vergleich zu den 96,361 im Jahr 2020 offengelegten Passwörtern und den mehr als 100,000 im Klartext gesendeten Passwörtern im Jahr 2019 darstellt, gibt es noch Raum für Verbesserungen, sagt Jessica Bair Oppenheimer, Direktorin für technische Allianzen bei Cisco Secure.
„Da an der RSA-Konferenz hauptsächlich Cybersicherheitsexperten und unterstützende Rollen innerhalb der Sicherheitsbranche teilnehmen, gehen wir im Allgemeinen davon aus, dass die Bevölkerungsgruppe eher einen ‚Best-Case‘-Grad des Sicherheitsbewusstseins darstellt“, sagt sie. „Etwas schockierend ist, dass im Jahr 2022 immer noch unverschlüsselte E-Mails verwendet werden.“
Das jährlicher Bericht bietet einen Einblick in die Netzwerknutzung einer sicherheitsorientierten Benutzergruppe. Cisco und NetWitness betonten, dass das drahtlose Netzwerk auf der RSA-Konferenz nicht auf die sicherste Weise konfiguriert sei, sondern für die Überwachung zu Bildungszwecken konfiguriert sei. Aus diesem Grund verfügt das Netzwerk über eine flache Architektur, die es jedem Gerät ermöglicht, mit jedem anderen Gerät im Netzwerk Kontakt aufzunehmen. Eine Host-Isolierung, die Geräten eine Route zum Internet, aber nicht zu anderen Geräten im Netzwerk ermöglicht, wäre sicherer, aber weniger interessant.
Benutzeranmeldeinformationen gefährdet
Mit rund 19,900 Teilnehmern habe die RSA-Konferenz 2022 nur etwa halb so viele Menschen wie die vorherige Konferenz im Jahr 2020, aber etwa die gleiche Anzahl an Nutzern im Netzwerk, heißt es in dem Bericht.
Das Hauptproblem bestand darin, dass beim Authentifizierungsschritt bei der Verwendung von E-Mails und anderen gängigen Anwendungen keine Verschlüsselung verwendet wurde. Dem Bericht zufolge passierten fast 20 % aller Daten unverschlüsselt das Netzwerk.
„Die Verschlüsselung des Datenverkehrs erhöht nicht zwangsläufig die Sicherheit, aber sie hält Einzelpersonen davon ab, ihre Zugangsdaten preiszugeben, und Unternehmen davon ab, Unternehmensdaten offenzulegen“, heißt es in dem Bericht.
Dennoch ist die Situation nicht so schlimm, wie sie sein könnte. Da das drahtlose Netzwerk Datenverkehr von der Ausstellungsfläche umfasst, stammen viele der Benutzernamen und Passwörter wahrscheinlich von Demosystemen und -umgebungen, heißt es in dem Bericht. Darüber hinaus wurden die meisten Klartext-Benutzernamen und Passwörter – fast 80 % – tatsächlich von Geräten durchgesickert, die die ältere Version des Simple Network Management Protocol (SNMP) verwenden. Die Versionen 1 und 2 des Protokolls gelten als unsicher, während SNMP v3 erhebliche Sicherheitsfunktionen hinzufügt.
„Dies ist nicht unbedingt eine High-Fidelity-Bedrohung“, heißt es in dem Bericht. „Allerdings werden Informationen über das Gerät und die Organisation, mit der es zu kommunizieren versucht, preisgegeben.“
Neben der fortgesetzten Verwendung von Klartext-Benutzernamen und Passwörtern stellte das SOC fest, dass die Zahl der Online-Anwendungen weiterhin schnell zunimmt, was darauf hindeutet, dass die Teilnehmer bei der Erledigung ihrer Arbeit zunehmend auf mobile Geräte angewiesen sind. Das SOC erfasste beispielsweise den unverschlüsselten Videokameraverkehr, der über Port 80 mit Heimsicherheitssystemen verbunden war, und die unverschlüsselten Daten, die zum Einrichten von Voice-over-IP-Anrufen verwendet wurden.
CISO-Fehler
Größtenteils dürfte der unverschlüsselte Datenverkehr von Kleinunternehmensnutzern stammen, so die Unternehmen im Bericht. „Heutzutage ist es schwierig, E-Mails im Klartext zu versenden, und bei der Analyse dieser Vorfälle wurden Ähnlichkeiten festgestellt“, heißt es in dem Bericht. „Der größte Teil dieses Datenverkehrs erfolgte von und zu gehosteten Domains. Damit sind E-Mail-Dienste auf Domains gemeint, bei denen es sich um Familiennamen oder kleine Unternehmen handelt.“
Doch in einem Fall hatte ein leitender Informationssicherheitsbeauftragter seinen E-Mail-Client falsch konfiguriert und letztendlich seinen E-Mail-Benutzernamen und sein E-Mail-Passwort preisgegeben, indem er die Daten im Klartext übermittelte. Das SOC entdeckte das Problem, als es eine Quittung für eine CISSP-Zahlung fand, die unverschlüsselt von einem Android-basierten E-Mail-Client gesendet wurde.
„Die Entdeckung löste eine Untersuchung aus, die bestätigte, dass Dutzende E-Mails von und an die Person über das offene Netzwerk mit dem unsicheren Protokoll heruntergeladen wurden“, heißt es in dem Bericht.
Unternehmen sollten überprüfen, ob die von den Mitarbeitern verwendeten Technologien Ende-zu-Ende-verschlüsselte Verbindungen erstellt haben, und Zero-Trust-Prinzipien anwenden, um – zu geeigneten Zeitpunkten – zu überprüfen, ob die Verschlüsselung weiterhin angewendet wird.
„Wir haben Anwendungen und Websites gefunden, die sich verschlüsselt authentifizieren und die Daten dann unverschlüsselt über die offenen Netzwerke weiterleiten“, sagt Oppenheimer von Cisco Secure. „Alternativ werden einige unverschlüsselte Anmeldeinformationen über offene Netzwerke weiterleiten und die Daten dann verschlüsseln. Beide Szenarien sind alles andere als ideal.“
Virtuelle private Netzwerke sind kein Allheilmittel, können aber die Sicherheit unverschlüsselter Anwendungen erhöhen. Schließlich sollten Unternehmen Cybersicherheits- und Sensibilisierungsschulungen nutzen, um ihre hybriden Mitarbeiter darin zu schulen, wie sie bei der Arbeit an entfernten Standorten sicher sein können.
