Insgesamt im Schnitt 13 Angriffsversuche pro Minute, pro Honeypot.; Frankfurt wurde rund 440.000 Mal attackiert

April 9, 2019 —

Sie ist ein elementarer Bestandteil moderner IT, ermöglicht ortsunabhängigen Datenzugriff, steigert Kosteneffizienz, vereinfacht Geschäftsprozesse und vieles mehr: Weltweit speichern immer mehr Unternehmen und Endverbraucher ihre Daten in die Cloud. Sie wirksam vor dem Zugriff von Cyberkriminellen zu schützen ist daher ein elementares Anliegen für die IT-Security. Sophos wollte wissen, wie sehr Cloud-Server potenziellen Hackerangriffen ausgesetzt sind und hat dieses im Rahmen einer 30-tägigen Studie „Exposed: Cyberattacks on Cloud Honeypots“ anhand von zehn Honeypots untersucht. Hierfür wurden in zehn der weltweit beliebtesten Amazon Web Services (AWS) Datenzentren in Frankfurt, London, Paris, Mumbai, Ohio, Sao Paolo, Singapur, Sidney Kalifornien und Irland Cloud-Honeypots eingerichtet.

Die eingerichteten Honeypots simulierten den Secure Shell (SSH) -Dienst, um SSH-Anmeldeversuche zu messen. SSH ist ein Fernzugriffsdienst, der nicht nur von Servern verwendet wird, sondern auch in häuslichen Umgebungen mit so unterschiedlichen Geräten wie CCTV-Kameras oder NAS-Geräten genutzt wird. Auf diesen Systemen können berechtigte Benutzer über SSH eine Verbindung herstellen, um das Gerät aus der Ferne zu konfigurieren oder auf Dateien zuzugreifen. Wenn ein Angreifer die Anmeldeaufforderung auf einem IoT-Gerät hinter sich gelassen hat, erhält er nicht nur die gleichen Zugriffsrechte wie der Besitzer, sondern erlangt häufig sogar mehr Kontrolle als er eigentlich beabsichtigt hatte.. Ähnlich wie dies auch bei realen Installationen immer noch sehr oft der Fall ist, haben die Sophos-Experten auch bei der Konfiguration der Honeypots dabei werkseitig vorinstallierte Standardbenutzernamen und -kennwörter beibehalten.

Die Untersuchung zeigt klar, dass Geräte, die nicht die erforderliche Konfiguration erhalten haben (einschließlich der Änderung von werkseitig installierten Standardkennwörtern auf vielen Geräten), einem Hacker einen relativ einfachen Zugriff auf diese Geräte gestatten. Während des 30-tägigen Testzeitraums wurden so insgesamt mehr als fünf Millionen Angriffsversuche auf das globale Honeypot-Netz gezählt. Am häufigsten traf es dabei Ohio mit rund 950.000 Versuchen, gefolgt von Mumbai, Sidney, Irland und Paris mit Angriffsraten zwischen knapp 680.000 und 613.000 und Kalifornien mit ca. 573.000 Versuchen. Frankfurt verzeichnete knapp 440.00 Angriffsversuche und London und Singapur kamen mit „nur“ rund 314.000 bzw. 313.000 Attacken davon.

Erstaunlich war auch die Schnelligkeit, mit der die Hacker ihre potenziellen Ziele ausmachten und erste Angriffe starteten. So wurde bereits 52 Sekunden nach Freischaltung der Honeypot in Sao Paolo, Brasilien attackiert. Paris und Sydney waren bei der Erst-Attacke 17 bzw. 18 Minuten am Netz, Frankfurt ereilte es nach einer guten Stunde und in Irland dauerte es mit gut 100 Minuten am längsten, bis ein erster Angriffsversuch erfolgte. Weltweit waren die Honeypot-Cloud-Server durchschnittlich jeweils 13 Mal pro Minute, bzw. 757 Mal in der Stunde das Ziel versuchter Attacken. Darauf, dass Werkskonfigurationen eben nicht geändert werden, spekulieren dabei offenbar auch die Hacker – sie verwendeten bei den meisten Anmeldeversuchen Standard-Benutzernamen und beliebte, häufig verwendete schwache Kennwörter. Die Zahlenreihe 123456 wurde etwa weltweit am häufigsten als Kennwort für einen Anmeldeversuch benutzt.

Sophos gibt im Report Empfehlungen, um eine bessere Sicherheit zu gewährleisten und die automatisierten Angriffsversuche der Cyberkriminellen zu durchbrechen. „Die Geschwindigkeit und das Ausmaß der Angriffe zeigen einmal mehr, wie beharrlich und entschieden Cyberkriminelle sind, um Cloud-Plattformen anzugreifen,“ sagt Michael Veit, Security-Evangelist bei Sophos. „Unsere wichtigste Empfehlung ist daher immer eine starke Authentisierung per Zertifikat bzw. per Multifaktor-Authentisierung und zeitbasiertem Einmalkennwort. Die Cloud ist ein elementarer Bestandteil des modernen IT-Alltags und daraus nicht mehr wegzudenken. Der einzige zugelassene Standard darf deshalb die Sorgfalt bei der Konfiguration und eine schlagkräftige IT-Sicherheitsstrategie sein.“

Über Sophos

Sophos ist ein führender Anbieter im Bereich Cybersicherheit und schützt weltweit 600.000 Unternehmen mit einer KI-basierten Plattform und Experten-Services. Sophos begegnet Unternehmen unabhängig von ihrem Sicherheitsstatus auf Augenhöhe und entwickelt sich gemeinsam mit ihnen weiter, um Cyberangriffe abzuwehren. Die Lösungen kombinieren maschinelles Lernen, Automatisierung und Echtzeit-Bedrohungsinformationen mit der Expertise von Sophos X-Ops und bieten so fortschrittliche Bedrohungsüberwachung, -erkennung und -reaktion rund um die Uhr. Sophos bietet branchenführendes Managed Detection and Response (MDR) sowie ein umfassendes Portfolio an Cybersicherheitstechnologien – darunter Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheit, Extended Detection and Response (XDR), Identity Threat Detection and Response (ITDR) und SIEM der nächsten Generation. Zusammen mit den Fachberatungsdienstleistungen der Sophos-Experten helfen diese Funktionen Unternehmen, Risiken proaktiv zu reduzieren und schneller zu reagieren – inklusive der nötigen Transparenz und Skalierbarkeit, um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein. Sophos agiert mit einem globalen Partnernetzwerk, das Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs), Reseller und Distributoren, Marktplatzintegrationen sowie Cyber-Risikopartner umfasst. Dadurch haben Organisationen die Flexibilität, bei der Absicherung ihrer Unternehmenswerte auf vertrauensvolle Partnerschaften zurückzugreifen. Der Hauptsitz von Sophos befindet sich in Oxford, Großbritannien. Weitere Informationen finden Sie unter www.sophos.de.