Aus der Perspektive der Cybersicherheit zählt beim Wechsel zum Remote-Arbeitsmodell der Verlust an Kontrolle über die lokalen Netzwerkumgebungen der Workstations zu den negativsten Aspekten. Diesbezüglich sind besonders die Heimrouter der Mitarbeiter gefährlich, die im Wesentlichen die Netzwerkinfrastruktur ersetzt haben, die normalerweise von IT-Spezialisten kontrolliert wird. Auf der RSA Conference 2021 berichteten die Forscher Charl van der Walt und Wicus Ross in der Diskussionsrunde „All your LAN are belong to us. Managing the real threats to remote workers.“ (Ihr komplettes LAN gehört uns. Die echten Bedrohungen für Remote-Mitarbeiter im Griff haben.) darüber, wie Cyberverbrecher Unternehmenscomputer über Router angreifen können.
Warum Heimrouter von Mitarbeitern problematisch sind
Selbst wenn im Rahmen der Sicherheitsrichtlinien eines Unternehmens die Aktualisierungen der Betriebssysteme der Computer und alle anderen wichtigen Einstellungen durchgeführt werden, entgleiten Heimrouter trotzdem der Kontrolle der Systemadministratoren des Unternehmens. Bei Remote-Work-Umgebungen können IT-Spezialisten nicht wissen, welche anderen Geräte mit dem Netzwerk verbunden sind. Sie wissen auch nicht, ob die Firmware des Routers aktualisiert ist und ob starke Passwörter verwendet werden (eventuell hat der Benutzer nicht einmal das Standard-Passwort geändert).
Die fehlende Kontrolle ist nur ein Teil des Problems. Router für zu Hause und SOHO-Router (Small- und Home-Office-WLAN-Router) haben bekannte Schwachstellen, die von Cyberkriminellen ausgenutzt werden können, um die Kontrolle über das Gerät zu übernehmen und damit riesige IoT-Botnetze zu erstellen, wie beispielsweise Mirai. Botnetze können aus zehntausenden und sogar hunderttausenden gehackten Routern bestehen, die für verschiedene Zwecke verwendet werden.
In diesem Zusammenhang ist wichtig zu beachten, dass jeder Router im Grunde genommen ein kleiner Computer ist, der über eine Linux-Distribution verfügt. Mit einem gehackten Router können Cyberverbrecher so einiges anstellen. Folgend finden Sie einige anschauliche Beispiele aus dem Bericht der Forscher:
Gehackte VPN-Verbindungen
Die meisten Unternehmen setzen auf VPN (kurz für Virtuelles privates Netzwerk), um die unsichere Netzwerkumgebung von Remote-Mitarbeitern wettzumachen. VPNs bieten einen verschlüsselten Kanal, der zur Datenübertragung zwischen dem Computer und der Unternehmensinfrastruktur dient.
Der Kanal wird allerdings von Unternehmen, abgesehen von der VPN-Nutzung, auch noch für andere Zwecke genutzt (Split-Tunneling): Der Datenverkehr zwischen dem Computer und dem Unternehmensserver, mit beispielsweise einer RDP-Verbindung (Remote Desktop Protocol), läuft über das VPN und der restliche Datenverkehr läuft über das öffentliche Netzwerk und das ist in der Regel auch okay. Allerdings kann ein Cyberverbrecher, der die Kontrolle über den Router hat, das Kommunikationsprotokoll Dynamic Host Configuration Protocol (DHCP) erstellen und den RDP-Datenverkehr an seinen eigenen Server weiterleiten. Auch wenn der Verbrecher damit nicht das VPN entschlüsseln kann, kann er eine gefälschte Anmeldeseite erstellen, um die Zugangsdaten für die RDP-Verbindung abzufangen. Ransomware-Betrüger benutzen RDP sehr gerne.
Ein externes Betriebssystem hochladen
Ein weiterer cleverer Angriff mithilfe eines gehackten Routers besteht darin, die PXE-Funktionalität (Preboot Execution Environment) auszunutzen. Moderne Netzwerkadapter verwenden PXE, um Betriebssysteme über das Netzwerk auf Computer zu laden. Diese Funktionalität ist normalerweise deaktiviert, aber manche Unternehmen verwenden sie, um beispielsweise das Betriebssystem eines Mitarbeiters wiederherzustellen, wenn es nicht mehr richtig funktioniert.
Ein Cyberverbrecher, der die Kontrolle über den DHCP-Server im Router hat, kann dem Netzwerkadapter einer Workstation eine Adresse von einem modifizierten System für die Fernsteuerung angeben. Der Mitarbeiter wird höchstwahrscheinlich nichts merken und ganz bestimmt nicht wissen, was da gerade vor sich geht, besonders wenn er mit den Benachrichtigungen zur Update-Installation abgelenkt wird. Währenddessen haben die Cyberkriminellen uneingeschränkten Zugriff auf das Dateisystem.
So können Sie sich schützen
Mit den folgenden Maßnahmen können Sie die Computer von Mitarbeitern vor den oben erklärten und ähnlichen Angriffen schützen:
- Verwenden Sie Tunnelerzwingung anstatt Split-Tunneling. Viele VPN-Lösungen bieten Tunnelerzwingung mit konfigurierbaren Ausnahmen (standardmäßig werden alle Daten ausschließlich über den verschlüsselten Kanal übertragen, aber bestimmten Ressourcen ist es erlaubt das VPN zu umgehen).
- Deaktivieren Sie Preboot Execution Environment (PXE) in den BIOS-Einstellungen.
- Verschlüsseln Sie die komplette Festplatte des Computers mit einer umfassenden Verschlüsselungslösungen, wie beispielsweise BitLocker in Windows.
Bei Remote- oder Hybrid-Arbeitsmodellen ist die Sicherheit der Heimrouter von Mitarbeitern ausschlaggebend, um die IT-Sicherheit der Unternehmensinfrastruktur zu erhöhen. In manchen Ländern bespricht der technische Support-Team des Unternehmens das Thema mit den Remote-Mitarbeitern, um die optimalen Router-Einstellungen festzulegen. Andere Unternehmen stellen Ihren Mitarbeitern voreingestellte Router zur Verfügung und erlauben die Verbindung mit den Unternehmensressourcen nur über diese Router. Eine weitere wichtige Maßnahme für Netzwerksicherheit ist die Mitarbeiter darin zu schulen, moderne Bedrohungen erfolgreich abzuwehren.