Nehmen wir einmal an, Sie fahren in Urlaub.
Ein Fenster ist gekippt, damit man bei der Rückkehr schön saubere Raumluft hat.
Würden Sie so etwas machen?
Würden Sie ein Schild im Garten aufstellen mit einem Hinweis darauf, dass dieses Haus besonders angreifbar ist?
Ich denke, die Antwort darauf kennen Sie und ich bereits.
Allerdings geschieht so etwas täglich, wie ich eben auch bei meinem letzten Einsatz für die Cyberwehr feststellen musste.
Dem gekippten Fenster entspricht dabei eine “Portfreigabe” in der Fritzbox.
Das Schild ist die Tatsache, dass eine feste Internet-Adresse verwendet wird.
Grundsätzlich sind Systeme mit einer festen Internet-Adresse besonders von Interesse für Angreifer.
Eher selten nutzen Privatleute so etwas, also haben wir es mit einer “Firma” zu tun.
Das verspricht doch schon einmal mehr Beute.
Über die Adresse kann ich auch direkt herausfinden, welches Unternehmen dahinter steht.
Und ich könnte mir viel Zeit lassen, weil die Systeme auch in der nächsten Woche noch unter der gleichen Adresse ereichbar sind.
Der zweite Aspekt sind die “Portfreigaben”.
Damit wird ein bestimmter Dienst, z.B. ein Webserver, direkt im Internet verfügbar gemacht.
Die Fritzbox leitet praktisch nur den Datenverkehr weiter.
Im konkreten Fall waren darüber hinaus auch noch mehrere Freigaben für “Remotedesktop (RDP)” aktiv.
Eigentlich zu jedem erreichbaren Computer im Netzwerk, auch den Arbeitsplätzen
Schon seit Jahren warnt das bsi davor.
Generell gilt für den RDP-Dienst, dass dieser deaktiviert sein sollte, wenn kein Bedarf besteht. Wenn RDP eingesetzt wird, sollten Verbindungen von außen – wenn möglich – auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.
Es war nur eine Frage der Zeit, bis ein Angreifer die Schwachstelle(n) ausgenutzt hat.
Deshalb mein konkreter Rat an Sie:
- Prüfen Sie regelmäßig den Internet Router (Fritzbox) auf vielleicht vergessene Portfreigaben oder Auffälligkeiten in den Protokollen.
- Wenn Sie eine statische Netzwerk-Adresse verwenden, sollten Sie sich nicht auf die Fritzbox verlassen und eine “richtige” Firewall verwenden.
- Auch wenn ich kein Freund der Cloud bin – Web-Server mit Kundenzugang (auch wenn das nur Testumgebungen sind) sollten Sie bei einem Hoster oder in der Cloud betreiben.
Natürlich nur in Verbindung mit einer regelmäßigen Sicherung.
Es sind wie immer nur Kleinigkeiten, die Sie berücksichtigen müssen.
Also – was spricht dagegen, gleich einmal einen Blick auf die Fritzbox zu werfen?