Risiko Remote-Zugang: Das Homeoffice im Fadenkreuz

Covid-19 hat die Arbeitswelt in nahezu allen Bereichen verändert. Zur Hochzeit der Krise arbeiteten 41 Prozent der Beschäftigten in Deutschland im Home Office. Seitdem ist Mobile Working für viele Unternehmen zur Normalität geworden und wie neueste Umfragen zeigen, wird dies in Zukunft auch so bleiben. Technologisch hinken aber viele Firmen noch hinterher. Dies macht sich besonders bei der Absicherung der Netzwerkzugänge für mobil arbeitende Mitarbeiter bemerkbar: Cyberkriminelle wissen um diesen Rückstand und greifen verstärkt das Remote Desktop Protocol (RDP) an. Die Angriffszahlen sind seit Covid-19 rasant gestiegen. Wie ist die Lage bei Unternehmen und was sollten Unternehmen jetzt tun?

Veränderung der Arbeitswelt durch die Corona-Krise

Abbildung 1: Die Arbeitssituation im April 2020.

Unsere repräsentative Umfrage aus dem April 2020 ergab, dass 41 Prozent der Beschäftigten im Zuge von Covid-19 von zu Hause aus arbeiten. Davon wurden fast 70 Prozent erst durch die veränderte Situation in die Telearbeit geschickt. Das zeigt deutlich: Unternehmen mussten von heute auf morgen ihre Arbeitsweise, teils sogar ihre Firmenphilosophie ändern, um mit der Entwicklung Schritt halten zu können. Für viele bedeutet das jetzt, auch im Bereich IT-Sicherheit nachzubessern und hier den neuen Herausforderungen ganzheitlich anzugehen.

Abbildung 2: Absicherung des Zugangs zum Firmennetzwerk, laut ESET Studie vom Juli 2020.

In der repräsentativen ESET Wirtschaftsstudie „Quo Vadis, Unternehmen?“, die von Mai bis Juli 2020 durchgeführt wurde, wurden mehr als 620 Unternehmen zu den Veränderungen der Arbeitswelt durch die Corona-Pandemie befragt. Eine Frage behandelte das Thema Absicherung des Zugangs zum Firmennetzwerk. Hier gaben 30 Prozent der befragten Unternehmen an, dass ihre Mitarbeiter zur Verifizierung lediglich ein Passwort benötigen. Nicht einmal die Hälfte der Firmen lassen ihre Mitarbeiter über eine sichere VPN-Verbindung zugreifen (44 Prozent). Nur 29 Prozent nutzen zur Absicherung des Zugangs eine Zwei-Faktor-Authentifizierung (2FA). Die Ergebnisse zeigen eindringlich, dass bei der Sicherung des Netzwerkes weiterhin Nachholbedarf besteht. Gerade bei der Absicherung mit nur einem Passwort wird in den meisten Fällen das Remote Desktop Protokoll zum Einsatz kommen.

Homeoffice längst im Cybercrime-Fadenkreuz

RDP ist ein proprietäres Microsoft-Protokoll, das in allen Versionen von Windows ab XP verfügbar ist. Es ermöglich das Teilen und Steuern eines Computers bzw. Desktops aus der Ferne. Unternehmen können damit auf eine kostengünstige und einfache Möglichkeit zurückgreifen, um Mitarbeitern das Arbeiten aus der Ferne zu ermöglichen. Für die Verbindung zu einem RDP-Server benötigt man einen Benutzernamen und ein Passwort.

Cyberkriminelle haben das Potential von RDP-Verbindungen als Angriffsvektor bereits früh erkannt. Vielfach sind diese Verbindungen schlecht geschützt. Ein erfolgreicher Angriff ermöglicht Zugriff auf das gesamte Unternehmensnetzwerk.

Covid-19: Angriffe auf Remote-Working haben sich vervielfacht

Abbildung 3: Angriffe auf RDP-Zugänge in der DACH Region (Quelle: ESET).

ESET-Forscher haben aktuelle Daten hierfür ausgewertet. Die Statistik zeigt, dass sich seit Beginn der Corona-Pandemie die Angriffe auf RDP vervielfacht haben. Waren es im Januar 2020 durchschnittlich rund 310.000 Angriffe pro Tag im DACH-Raum, stieg die Anzahl im März auf fast 1,5 Millionen Attacken. Vor den Sommer-Schulferien verzeichneten die Forscher sogar knapp 3,4 Millionen Angriffe - pro Tag!

Abbildung 4: Angriffe auf RDP-Zugänge in Deutschland (Quelle: ESET).

Auch in Deutschland haben die Angriffe auf das RDP zugenommen. Vor dem Ausbruch der Corona-Pandemie ermittelten die ESET Sicherheitsexperten ungefähr 260.000 Angriffsversuche. Mit dem Beginn des Lockdowns stieg die Zahl rasant an. Im April gab es täglich rund 1,7 Millionen Attacken. Bis Juni kletterten diese Angriffe auf rund 3 Millionen Versuche pro Tag.

Abbildung 5: Angriffe auf RDP-Zugänge in der Schweiz (Quelle: ESET).

In der Schweiz zeigt sich ein ähnliches Bild. Im Januar gab es noch durchschnittlich 30.000 Angriffsversuche auf das RDP täglich. Dieser Wert schoss aber nach den Maßnahmen infolge der Pandemie in die Höhe. Einen ersten Höhepunkt erreichte der Wert im April mit über 140.000 täglichen Attacken. Im Mai, wohl durch die ersten Lockerungen verursacht, gingen die Angriffe auf immer noch hohe 115.000 Versuche zurück. Im Juni stiegen die Angriffsversuche aber bereits wieder auf über 220.000 täglich hoch.

Abbildung 6: Angriffe auf RDP-Zugänge in Österreich (Quelle: ESET).

In Österreich gingen aufgrund der Maßnahmen der Regierung und den zahlreichen Angestellten, die ins Homeoffice geschickt wurden, die Angriffsversuche rasant in die Höhe. Im April fanden durchschnittlich täglich rund 140.000 Angriffsversuche statt. Ähnlich wie in der Schweiz verringerten sich die Attacken im Mai mit den vermeintlichen Lockerungen, gewannen jedoch im Juni wieder an Fahrt (205.000).

Sicher von zu Hause arbeiten

Ein effektiver Schutz muss das gesamte Netzwerk umfassen, der Zugang zu Firmenservern dabei selbstverständlich sicher erfolgen. Nichts wäre schlimmer, als dass Unbefugte im Netzwerk ihr Unwesen treiben. Zunächst gilt es, ein starkes Passwort zu erstellen. Hier sollten im Unternehmen klare Regeln gelten, wie ein solches auszusehen hat. Dieses Verfahren allein erfüllt aber längst nicht mehr die Anforderungen moderner IT-Sicherheit. Dazu sollte zusätzlich eine Multi-Faktor-Authentifizierung zum Einsatz kommen. Sie nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Dazu zählen beispielsweise spezielles Wissen, biometrische Merkmale oder zusätzliche Hardware (z.B. Token, Security Keys). Die Kombination aus zwei oder mehr dieser voneinander unabhängigen Faktoren sichern Anmeldeverfahren stärker ab.

Auch das Thema Verschlüsselung darf dabei nicht außer Acht gelassen werden. Denn durch die veränderten Arbeitssituationen ist dienstliche Hardware viel mobiler. Der physische Verlust oder Diebstahl von Geräten wie Handys und Laptops ist für Unternehmen daher ein noch stärkeres Problem geworden. Dabei müssen im Verlustfall die Geräte nicht nur ausgetauscht werden. Es droht darüber hinaus das Abhandenkommen wertvoller Unternehmensdaten. Die Datenschutzgrundverordnung kennt in diesem Fall kein Pardon: Es drohen empfindliche Strafen und damit einhergehend eine sinkende Reputation und Imageschäden. Doch so weit muss es nicht kommen, wenn professionelle Verschlüsselungslösungen eingesetzt werden.

Weitere Tipps für sichere RDP-Verbindungen

Unternehmen sollten die Risiken einer verstärkten Nutzung von Remote-Zugängen über RDP oder ähnliche Dienste minimieren. Idealerweise gehört der direkte RDP-Zugriff über das Internet deaktiviert. Wenn dies nicht möglich ist, empfehlen Experten die Anzahl der Benutzer, die über das Internet eine direkte Verbindung zu den Servern des Unternehmens herstellen, zu begrenzen.

• Erlauben Sie nur sichere und komplexe Passwörter für alle Konten, die RDP verwenden.
• Nutzen Sie einen zusätzlichen Verifizierungsschutz mittels Multi-Faktor- oder Zwei-Faktor-Authentifizierung (MFA/2FA).
• Nutzen Sie ein VPN-Gateway (Virtual Private Network) für alle RDP-Verbindungen von außerhalb Ihres lokalen Netzwerks.
• Verbieten Sie an der Firewall externe Verbindungen zu lokalen Computern über Port 3389 (TCP/UDP) oder über einen anderen RDP-Port.
• Schützen Sie Ihre Endpoint-Sicherheitslösung vor Manipulationen oder Deinstallationen durch einen Kennwortschutz der Einstellungen.
• Isolieren Sie alle unsicheren oder veralteten Computer, auf die per RDP über das Internet zugegriffen werden muss und ersetzen Sie sie so bald wie möglich.

Foto von Vadim Kaipov / Unsplash.