Als Folgemaßnahme zu unseren 2018 durchgeführten Studien zu offenen Remote Desktop Protocol (RDP)-Endpunkten hat Awingu Research herausgefunden, dass über 360.000 Unternehmen und Regierungsorganisationen in Deutschland, Großbritannien, Italien, den Niederlanden, Belgien und Schweden einen offenen Zugang zu ihrem Netzwerk haben, der ungeschützt und über das "normale" Internet via RDP verfügbar ist. Darüber hinaus haben wir auch einen besonderen Peak (bis zu 40.000 anfällige RDP-Umgebungen) auf dem öffentlichen cloud von Microsoft Azure Amsterdam festgestellt. Selbst unerfahrene Hacker können sich leicht einen Weg in diese ungeschützten Umgebungen bahnen, indem sie zum Beispiel Datenbanken mit gestohlenen Logins verwenden oder einen der vielen bekannten RDP-Exploits nutzen. Wir raten diesen Unternehmen daher dringend, ihre Umgebung so schnell wie möglich mit einer zusätzlichen Sicherheitsebene auszustatten.
Diese Studie wurde vorgestellt in DataNews (BE), DutchITChannel (NL), ImpresaCity (IT) und Digit (UK).
Die Studie und warum sie so wichtig ist
Im September 2018, November 2018 und Februar 2019 wurde eine von Awingu durchgeführte Untersuchung über die Sicherheit von bzw. Belgisch, Italienisch und Schwedisch Unternehmen führten zu erschütternden Ergebnissen: Es wurden über 50.000 offene RDP-Endpunkte (Remote Desktop Protocol) entdeckt, die für die Unternehmen, zu denen sie gehörten, eine sehr reale Sicherheitsbedrohung darstellten. Im Januar 2020 haben wir untersucht, wie sich die Situation verändert hat und wie andere europäische Länder (Vereinigtes Königreich, Niederlande und Deutschland) bei diesem Test abgeschnitten haben.
Wir haben die eingehende Untersuchung auf der Grundlage öffentlich zugänglicher Daten durchgeführt, um herauszufinden, welche RDP-Endpunkte in den genannten Ländern öffentlich zugänglich waren, und wir haben gezielt nach IP-Adressen gesucht, die mit ungeschützten Endpunkten mit aktivem RDP-Zugang (Remote Desktop Protocol) verbunden waren. Dabei kann es sich um Server und PCs handeln.
RDP ist eines der weltweit am häufigsten verwendeten Tools für den Remote Zugriff auf Desktops und Server. Über den RDP-Client, eine Anwendung, die auf dem Gerät des Benutzers (z. B. einem Laptop) installiert werden muss, können Benutzer aus der Ferne auf einen vollständigen Desktop oder eine Anwendung zugreifen. In der Regel können Mitarbeiter so ihre Software sowohl innerhalb als auch außerhalb des Unternehmens nutzen. RDP ist eine niedrigschwellige Lösung, und das Hinzufügen von Sicherheit wird manchmal als selbstverständlich angesehen: zusätzliche Sicherheitsmaßnahmen (z. B. Firewall-Regeln oder Zugriffskontrolllisten) bedeuten zusätzliche Komplexität für den IT-Administrator (und den Benutzer).
Nach einer Analyse auf der Grundlage von Daten, die von einer öffentlichen Suchmaschine zur Verfügung gestellt wurden, kam Awingu zu folgendem spektakulären Ergebnis: Über 360.000 RDP-Endpunkte sind derzeit in unseren 6 untersuchten Ländern öffentlich zugänglich. Das bedeutet, dass diese für jedermann über das Internet zugänglich sind - auch wenn keine sichere, von der Organisation ermöglichte Verbindung hergestellt wird. Mit anderen Worten: Sie sind nicht oder nur unzureichend geschützt und haben ein unübersehbares Potenzial, gehackt zu werden.
Leichte Ziele für Hacker
Für relativ wenig erfahrene Hacker ist es ein Kinderspiel, die Liste der RDP-Endpunkte und ihre IP-Adresse echten Unternehmen zuzuordnen und diese Liste mit den vielen öffentlich zugänglichen Datenbanken gestohlener Passwörter im Dark Web zu vergleichen - die Chancen stehen gut, dass sie ohne großen Aufwand eindringen können. Wenn das nicht funktioniert, aber der RDP-Endpunkt öffentlich zugänglich ist, gibt es keinen Grund, warum Hacker nicht auch einen Brute-Force-Angriff durchführen könnten, um die Anmeldedaten zu erraten, oder die vielen bekannten RDP-Schwachstellen ausnutzen könnten (wenn Sie nicht das neueste Update verwenden). Unternehmen mit einer offenen RDP-Umgebung sollten daher so schnell wie möglich etwas dagegen unternehmen. Sobald ein Hacker Zugang hat, kann er Befehle ausführen, die Ransomware auf dem System installieren und andere Geräte im selben Netzwerk infizieren.
Allein im letzten Jahr gab es mehr als ein paar verheerende Sicherheitslücken, die weltweit Schaden anrichteten, darunter die noch nicht vollständig gepatchte Bluekeep das getan hat erhebliche Schäden ganz am Ende des Jahres 2019 und die NotPetya-Virus, der Unternehmen weltweit über $10b gekostet hat und im Wesentlichen ausgeschaltet Maersk kann für eine Weile keine seiner Aktivitäten ausüben. Mit anderen Worten: Ihren RDP-Endpunkt für die ganze Welt sichtbar zu machen, ist eine Haupt Sicherheitsproblem.
Die Ergebnisse: schlechte Nachrichten
Bevor wir unseren Test durchführten, waren wir optimistisch: Sicherlich haben diese weltweiten Vorfälle und Microsofts kontinuierliche Bemühungen, Sicherheitslücken einzuschränken, dazu geführt, dass die Menschen vorsichtiger mit ihrer Infrastruktur umgehen und die Anzahl der offenen RDP-Endpunkte gesunken ist. Das war jedoch nicht der Fall.
| Frühere Studie | Studie 2020 | |
|---|---|---|
|
🇧🇪 Belgien |
8.803 |
8.698 |
|
🇮🇹 Italien |
33.629 |
32.664 |
|
🇸🇪 Schweden |
9.655 |
12.614 |
|
🇬🇧 Vereinigtes Königreich |
|
76.626 |
|
🇩🇪 Deutschland |
|
141.500 |
|
🇳🇱 Die Niederlande |
|
89.398 |
Anmerkung: diese Zahlen beinhalten öffentliche cloud-Infrastrukturen wie Google Cloud Platform und Microsoft Azure. Das bedeutet, dass Länder wie die Niederlande, die viele öffentliche clouds hosten, mehr "ausgesetzt" sind. Die Kunden, die in diesen clouds arbeiten, kommen auch aus anderen Ländern, was die Daten ein wenig verzerrt - auch wenn wir nicht messen können, um wie viel.
Während die Zahlen in Belgien und Italien nur geringfügig zurückgingen (1,2% bzw. 2,8%), verzeichnete Schweden in 11 Monaten einen Anstieg von etwa 25%. Darüber hinaus weisen die bisher nicht untersuchten Regionen hohe Zahlen auf, wobei insbesondere die Niederlande beim Vergleich der offenen RDP-Endpunkte mit der Bevölkerung an der Spitze liegen - mit etwa 1,5 Mal so vielen Einwohnern wie Belgien haben sie zehn Mal so viele ungesicherte RDP-Server.
Da wir nicht wissen, wie viele RDP-Endpunkte (einschließlich derjenigen, die die korrekten Sicherheitsverfahren befolgen) es in einem Land gibt, können wir nicht sagen, welches Land das beste ist. relativ am schlechtesten gestellt. Ein aussagekräftiger Vergleichsmaßstab ist jedoch das BIP, das uns zumindest einen Maßstab für den Vergleich der Länder liefert. Wenn wir diese Übung durchführen, kommen wir zu folgendem Ergebnis:
| Offene Endpunkte | BIP (in Mrd. USD)* | Endpunkte/b BIP | |
|---|---|---|---|
|
1. 🇳🇱 Die Niederlande NL (nicht-Azure) |
89.398 51.632 |
902,36 |
99,07 57,21 |
|
2. 🇩🇪 Deutschland |
141.500 |
3.863,34 |
36,63 |
|
3. 🇬🇧 Vereinigtes Königreich |
76.626 |
2.743,59 |
27,93 |
|
4. 🇸🇪 Schweden |
12.614 |
528,93 |
23,85 |
|
5. 🇧🇪 Belgien |
8.698 |
517,61 |
16,8 |
|
6. 🇮🇹 Italien |
32.664 |
1.988,64 |
16,43 |
*Quelle: https://www.imf.org/external/pubs/ft/weo/2019/02/weodata/index.aspx
Auch Deutschland steht im Vergleich zum Durchschnitt schlecht da. Die Niederlande stechen jedoch wie ein böser Daumen hervor. Selbst wenn man die Azure-Server (die potenziell die Daten nicht-niederländischer Unternehmen hosten, da Azure Amsterdam den westeuropäischen Teil der Azure-Geografie beherbergt) aus dem Mix herausnimmt, finden wir immer noch 51.632 offene Endpunkte, was das Argument ausschließt, dass die Zahlen nur aufgrund ihrer öffentlichen cloud-Präsenz in die Höhe schnellen. Diese hohe Zahl hängt natürlich auch mit der hohen Akzeptanz von "Server Based Computing" (und damit RDP) in den Niederlanden zusammen - und damit mit mehr Rechenzentren, mehr Windows-Servern und einer Kultur, die Remote-Arbeit begünstigt. Selbst wenn man die Zahlen von Azure Amsterdam außer Acht lässt, können wir mit Sicherheit sagen, dass in den Niederlanden mehr Unternehmen pro Kopf betroffen sind als in allen anderen Regionen.
Was lernen wir daraus?
1. Offene RDP-Endpunkte gibt es überall
Von den sechs Ländern, die wir untersucht haben, hat jedes einzelne eine große Anzahl von offenen RDP-Endpunkten. Wir sollten nicht erwarten, dass sie bei 0 liegt (obwohl das unser Ziel sein sollte), aber sie zeigt, dass kein Land oder keine Region dem Problem entgeht.
Da die Endpunkte öffentlich sind und einer IP-Adresse zugeordnet sind, konnten wir auch die ungefähre Lage dieser Unternehmen (oder zumindest ihrer Rechenzentren) auf einer Karte bestimmen, wie unten dargestellt. Klicken Sie auf die Bilder, um eine detaillierte Ansicht zu erhalten!
Insgesamt geht aus diesen Karten hervor, dass - wenig überraschend - die Konzentration offener RDP-Endpunkte direkt mit der Bevölkerungsdichte zusammenhängt. Das bedeutet aber auch, dass sie nicht regionalspezifisch oder z. B. nur an einen bestimmten ISP gebunden ist.
2. Die Lage ist ernst und verbessert sich nicht
Da Remote Working über RDP immer beliebter wird und (ebenfalls) immer mehr Unternehmen sie ermöglichen, sollte man ein Mindestmaß an Sicherheit im Auge behalten. Der Anstieg in Schweden zeigt uns jedoch das genaue Gegenteil. Und während die Zahlen in Belgien und Italien relativ stabil bleiben, ist das kein Grund zum Feiern - im Gegenteil. Wenn überhaupt, zeigt dies, dass das allgemeine Wissen über die Gefahren, die diese Praktiken mit sich bringen, wenig bis gar nicht vorhanden ist; wäre dies der Fall, müssten wir einen drastischen Rückgang der offenen RDP-Endpunkte verzeichnen, nicht eine Konstante.
Obwohl wir keine historischen Daten aus unseren bisher nicht untersuchten Regionen (Großbritannien, Niederlande, Deutschland) vergleichen können, können wir mit Sicherheit sagen, dass die Bedrohung auch in diesen Ländern sehr real ist. Zusammen machen sie den Löwenanteil der entdeckten öffentlichen Server aus.
3. Unternehmen, die auf öffentliche cloud umsteigen, vergessen die Sicherheitsgrundlagen
Man würde erwarten, dass das öffentliche cloud (wie Microsoft Azure) einen positiven Einfluss auf die Anzahl der offenen RDP-Endpunkte hat - leider ist das Gegenteil der Fall. Wie in den Niederlanden zu sehen ist, wo 42% der offenen Endpunkte in Azure gefunden wurden, ist es definitiv nicht der Fall, dass der Wechsel zu einem öffentlichen cloud die Sorgen vergessen lässt. Dies führt uns auch zu der Schlussfolgerung, dass Unternehmen oft einen "Lift & Shift" in Richtung öffentliches cloud durchführen, ohne die richtigen Sicherheitsverfahren weder auf ihrer On-Prem- noch auf ihrer öffentlichen cloud-Infrastruktur zu berücksichtigen.
Minderung von Sicherheitsrisiken mit Awingu
Awingu bietet mit seinem Unified Workspace eine Lösung für dieses Problem. Bei dessen Nutzung verbinden Sie sich mit der Anwendung oder dem Desktop über einen Browser - und nicht mehr über einen RDP-Client. Das bedeutet, dass Personen mit bösen Absichten die Schwachstellen eines ungeschützten RDP-Zugangs nicht mehr ausnutzen können. Um den Schutz durch den Browser-Zugang zu maximieren, implementiert Awingu die folgenden Sicherheitsmaßnahmen:
- Multi-Faktor-Authentifizierung: Awingu verfügt über eine integrierte MFA-Lösung und kann (falls erforderlich) Ihre derzeitige Authentifizierungsmethode problemlos integrieren. Durch das Hinzufügen von MFA stellen Sie sicher, dass "Brute-Force-Angriffe" nicht mehr möglich sind.
- SSL ohne Probleme: Verwenden Sie Ihre eigenen Zertifikate oder wechseln Sie SSL über die integrierte Let's Encrypt-Integration mit nur einem Mausklick.
- Umfangreiche Prüfungsmöglichkeiten: Ihre bestehenden RDP-Protokollierungstools neben den integrierten Awingu-Audit-Funktionen weiterlaufen lassen
- Erkennung von Anomalien: über Unregelmäßigkeiten in Ihrer Umgebung informiert werden, z. B. wenn sich jemand zu oft mit einem falschen Passwort anmeldet oder wenn jemand versucht, sich aus dem Ausland anzumelden
- Fügen Sie eine zusätzliche Schicht hinzu: Awingu fügt ein zusätzliches Tor hinzu, auf das nur über http(s) zugegriffen werden kann, wodurch es für Hacker sehr viel schwieriger wird, auf Ihr RDP zuzugreifen. Im Wesentlichen bietet es eine weitere Tür, die "entriegelt" werden muss.
English 
Italian 
German 
Spanish 
French