In vielen Netzwerkumgebungen von Unternehmen ist es wahrscheinlich an der Tagesordnung, einen defekten Router aus dem Rack zu nehmen und einen glänzenden neuen Ersatz einzusetzen. Das Schicksal des Routers, der ausrangiert wird, sollte jedoch genauso wichtig sein, wenn nicht sogar wichtiger, als der reibungslose Übergang und die Implementierung des neuen Geräts. Leider scheint dies oft nicht der Fall zu sein.
Als das ESET-Forschungsteam einige gebrauchte Router kaufte, um eine Testumgebung einzurichten, waren die Teammitglieder schockiert, als sie feststellten, dass in vielen Fällen die zuvor verwendeten Konfigurationen nicht gelöscht worden waren - und schlimmer noch: die Daten auf den Geräten konnten verwendet werden, um die früheren Besitzer zusammen mit den Details ihrer Netzwerkkonfigurationen zu identifizieren.
Dies veranlasste uns zu einem umfangreicheren Test, bei dem wir mehr gebrauchte Geräte kauften und mit einfachsten Methode nachgesehen haben ob noch Daten auf den Geräten vorhanden waren. Insgesamt wurden 18 Router erworben. Einer war bei der Ankunft tot, zwei waren ein gespiegeltes Paar, so dass wir sie als ein einziges Gerät zählten; nach diesen Anpassungen entdeckten wir Konfigurationsdetails und Daten auf über 56 % der Geräte.
In den falschen Händen reichen die von den Geräten gesammelten Daten (einschließlich Kundendaten, Router-zu-Router-Authentifizierungsschlüssel, Anwendungslisten und vieles mehr) aus, um einen Cyberangriff zu starten. Ein bösartiger Akteur könnte sich den erforderlichen Erstzugang verschafft haben, um zu recherchieren, wo sich die digitalen Vermögenswerte des Unternehmens befinden und was sonst noch wertvoll sein könnte. Wir alle wissen, was in diesem Szenario als nächstes kommt.
In den letzten Jahren haben sich die Methoden, mit denen böswillige Akteure Cyberangriffe auf Unternehmen durchführen, um Geld zu verdienen, deutlich verändert. Durch die Umstellung auf fortschrittlichere, persistente Angriffe sichern sich Cyberkriminelle Einstiegspunkte und dauerhafte Aufenthalte in den Netzwerken ihrer Opfer. Sie verbringen dann Zeit und Ressourcen damit, raffinierte Datendiebstähle durchzuführen, Methoden zur Umgehung von Sicherheitsmaßnahmen zu erforschen und schließlich ein Unternehmen durch einen Ransomware-Angriff oder andere Cyber-Bösartigkeiten in die Knie zu zwingen.
Das erstmalige unbefugte Eindringen in ein Unternehmensnetzwerk hat einen enormen Wert: Der derzeitige Durchschnittspreis für Zugangsdaten zu Unternehmensnetzwerken liegt nach Untersuchungen von KELA Cybercrime Prevention bei rund 2.800 Dollar. Das bedeutet, dass ein gebrauchter Router, der für ein paar hundert Dollar gekauft wurde und ohne großen Aufwand Zugang zum Netzwerk verschafft, einem Cyberkriminellen eine beträchtliche Rendite einbringen könnte. Vorausgesetzt, dass sie nur die Zugangsdaten ausspähen und sie auf einem Dark-Web-Markt verkaufen, anstatt selbst einen Cyberangriff zu starten.
Ein beunruhigendes Element dieser Untersuchung war das mangelnde Engagement der Unternehmen, als wir versuchten, sie auf das Problem der öffentlichen Zugänglichkeit ihrer Daten aufmerksam zu machen. Einige waren offen für die Kontaktaufnahme, einige bestätigten, dass die Geräte zur sicheren Vernichtung oder Löschung an andere Unternehmen weitergegeben worden waren (was ganz offensichtlich nicht stattgefunden hatte) und andere ignorierten wiederholte Kontaktversuche ganz einfach.
Die Lehren, die aus dieser Untersuchung gezogen werden sollten, sind, dass jedes Gerät, das Ihr Unternehmen verlässt, gereinigt worden sein muss, und dass der Reinigungsprozess zertifiziert und regelmäßig überprüft werden muss, um sicherzustellen, dass die Kronjuwelen Ihres Unternehmens nicht offen auf öffentlichen Secondhand-Hardwaremärkten verkauft werden.
Wir haben die Details - nun ja, alle außer den Namen der Unternehmen und Daten, die sie identifizierbar machen würden - in einem White Paper veröffentlicht. Das White Paper enthält auch einige Hinweise auf den zu befolgenden Prozess, einschließlich Verweisen auf die NIST-Sonderveröffentlichung 800.88r1, Guidelines for Media Sanitization. Wir empfehlen dringend, die Details zu lesen und unsere Erkenntnisse als Anregung zu nutzen, um den Prozess in Ihrer eigenen Organisation zu überprüfen, um sicherzustellen, dass keine Daten ungewollt offengelegt werden.
