Die US-amerikanischen Sicherheitsbehörden NSA und Cisa haben gemeinsam ein Cybersecurity-Advisory herausgegeben, in dem sie die zehn häufigsten Fehlkonfigurationen im Bereich der Cybersicherheit auflisten. Wie die NSA in einer Pressemitteilung erklärte, sind darin auch häufige Angriffstechniken Cyberkrimineller sowie Maßnahmen beschrieben, mit denen Administratoren IT-Systeme vor Angriffen schützen können.
Die zehn häufigsten sicherheitsrelevanten Fehlkonfigurationen, die die Behörden in Netzwerken verschiedener Organisationen beobachteten, sind demnach:
- der Einsatz von Standardkonfigurationen für Software und Anwendungen
- eine unzureichende Trennung von Benutzer- und Administratorenprivilegien
- eine unzureichende interne Netzwerküberwachung
- die fehlende Segmentierung von Netzwerken
- ein mangelhaftes Patch-Management
- die mögliche Umgehung von Systemzugangskontrollen
- schwache oder falsch konfigurierte Methoden für Multi-Faktor-Authentifizierungen (MFA)
- unzureichende Zugriffskontrolllisten für Netzwerkfreigaben und Dienste
- ein mangelhafter Umgang mit Anmeldeinformationen
- eine uneingeschränkte Codeausführung
——
Soweit zu den sicher berechtigten Tipps der Security-Spezialisten.
Die Frage, welche man sich nun stellen kann ist, welche davon lassen sich denn nun gut und einfach ebenfalls in einem Heimnetzwerk, wie z.B. im LAN/WLAN einer Internetbox durch uns Kunden direkt umsetzen?
Was mit spontan dazu einfällt, ohne Anspruch auf Vollständigkeit, aber über was jeder Benutzer sicher mal selber nachdenken könnte:
- generelle UPnP-Portfreigabe auf der Internetbox vermeiden
- In der Windows-Benutzeradministration zwischen einem Administrator-User und einem Benutzer-User unterscheiden, und den Administrator-User wirklich nur dann verwenden, wenn man tatsächlich auch Änderungen am Windowssystem vornehmen will
- bei der Internetbox-Firewall die Einstellung "strikt" verwenden
- IoT-Geräte wie Sensoren, Strom-Switches, Alexas, Geschirrspüler, WLAN-gesteuerte Lampen, etc. nicht im normalen WLAN, sondern in einem eigenen abgeschotteten WLAN ohne Zugriff auf das komplette Heimnetz anmelden. Bei der Internetbox wäre das dann als aktuell einzige Möglichkeit das Gast-WLAN.
- falls man für bestimmte Services direkte Zugriffe aus dem Internet auf das Heimnetz benötigt, benötigte Portfreigaben nicht gleich bündelweise als überflüssige Sicherheitsrisiken auf der Internetbox erfassen, sondern bei jedem einzelnen Port überlegen, ob der persönlich auch wirklich benötigt wird und falls ja auch prüfen, ob sich der Standardport durch einen individuell gewählten privaten Port ersetzen lässt.
Viele Portfreigaben werden zudem sowieso überflussig, sobald man auf das Heimnetz aus dem Internet konsequent nur noch über eine VPN-Verbindung zugreift. Den dazu benötigten VPN-Server, kann man entweder direkt auf seiner Internetbox, oder einem anderen dazu geeigneten nachgelagerten eigenen Netzwerkgerät aktivieren.
Vielleicht kann nicht jeder Benutzer jeden Tipp sinnvoll umsetzen, aber zumindest mal darüber nachdenken, fördert in jedem Fall das eigene Sicherheitsbewusstsein.