Für Unternehmen wird es zunehmend schwieriger, mögliche Einfallstore für Cyberkriminelle vor einer Attacke zu schließen. Das zeigt der neue „Attack Surface Threat Report 2023“ von Palo Alto Networks und der Einheit für Bedrohungsforschung Unit 42, für den mehrere Petabytes an Daten analysiert wurden. Demnach nutzen Angreifer neue Schwachstellen mitunter schon wenige Stunden nach Bekanntwerden aus.

Die Verteidigung ist für viele Unternehmen ein Problem: „Man kann nur schützen, was man kennt und sieht“, kommentiert André Reichow-Prehn, Managing Partner bei Unit 42. „Unternehmen müssen daher versuchen, eine maximale Sichtbarkeit für alle aus dem Internet erreichbaren Assets zu erlangen und diese in Echtzeit zu überwachen.“ Ein solches Attack Surface Management sei allerdings eine fortlaufende Aufgabe und müsse stark automatisiert werden, um nicht zu viele Ressourcen zu binden, rät Reichow-Prehn.

Denn die Angriffsoberfläche ändert sich permanent: Dem Report zufolge wandelten sich bei 250 betrachteten Organisationen in jedem Monat durchschnittlich 20% der cloudbasierten IT-Infrastruktur. Dies erschwert es, den Überblick zu behalten.

Dabei wäre eine schnelle Reaktion entscheidend: Von 30 analysierten häufigen Schwachstellen (Common Vulnerabilities and Exposures, CVE) wurden drei bereits innerhalb weniger Stunden nach der Veröffentlichung ausgenutzt. 63% der CVE wurden innerhalb von zwölf Wochen nach Bekanntwerden von Angreifern genutzt. Noch schneller geht es bei Angriffen via Remote Code Execution (RCE). Diese Methode steht für eine Code-Ausführung aus der Ferne, Angreifer können einen Rechner darüber beispielsweise mit Schadsoftware infizieren.

RCE-Attacken nutzen Schwachstellen in Internetbrowsern oder Betriebssystemen aus – etwa, wenn veraltete und damit schlechter geschützte Versionen im Einsatz sind. Die Suche nach solchen Schwachstellen läuft inzwischen oft automatisiert: Spezielle Tools suchen die remote erreichbaren Systeme gezielt nach Einfallstoren ab. Von den 15 RCE-Schwachstellen, die Unit 42 analysiert hat, wurden 20% wenige Stunden nach Bekanntwerden bereits von Ransomware-Banden angegriffen. 40% der Schwachstellen wurden innerhalb von acht Wochen ausgenutzt.

Angriffe auf Remote-Zugriffsdienste machen dem Report zufolge fast ein Fünftel der Probleme aus. Mit jeder Konfigurationsänderung, jeder neuen Cloud-Instanz und jeder neu entdeckten Schwachstelle beginne ein neuer Wettlauf gegen Angreifer, heißt es bei Unit 42.

Auch die mobile Arbeitswelt hat Einfluss auf die Bedrohungslage: „Durch die vielen Mitarbeiter, die mittlerweile über das eigene Smartphone, den Internetanschluss zuhause oder das WiFi-Netz im Hotel eine Verbindung zur Infrastruktur ihrer Unternehmen herstellen, ist die Angriffsoberfläche größer, komplexer und dynamischer geworden“, sagt Reichow-Prehn. Er rät Unternehmen, sämtliche Fernzugriffe permanent auf sogenannte Brute-Force-Angriffe zu untersuchen. Dabei versuchen Kriminelle, einen Zugang zu knacken, indem sie beispielsweise eine umfassende Liste der gängigsten Passwörter durchprobieren. Gegen diese gängige Masche können bereits einfache Maßnahmen wie eine Multi-Faktor-Authentifizierung schützen.