Da Home-Office für viele mittlerweile Alltag ist, müssen Workstation und Server vermehrt per Fernzugriff aus verwaltet werden. Diese komfortable technische Möglichkeit bietet allerdings auch Hackern eine gewisse Angriffsfläche.
Erlangen die Cyberkriminellen beispielsweise per Admin-Login den Zugang zum Domain-Controller eines Unternehmensnetzwerks, besitzen diese faktisch Zugriff auf dessen Windows-Rechner-Infrastruktur. Dadurch kann erheblicher Schaden entstehen. Via Remote Desktop Protokoll (RDP) können die Eindringling dann Fake-E-Mails an die Buchhaltung schicken, geistiges Eigentum aus einem Unternehmen leiten oder alle Dateien mittels Ransomware verschlüsseln.
Wenn wir in diesem Zusammenhang von RDP sprechen, meinen wir alle Arten von Remote Desktop und Fernverwaltungssoftware. Das schließt auch VNC, PC Anywhere, Team Viewer usw. mit ein – nicht nur das RDP von Microsoft. Gut ist, dass viele Abwehrmechanismen gegen RDP-Angriffe existieren. Die einfachste Möglichkeit ist das Abschalten des RDP-Dienstes bei Nicht-Nutzung.
Benötigt man diesen Service jedoch, sollte man die nachfolgenden kurzen Überlegungen berücksichtigen, damit die bad guys ausgesperrt bleiben.
Zunächst einmal sollten IT-Admins den Zugriff nur von internen IP-Adressen aus dem VPN-Server des Unternehmens zulassen. Das bietet den Vorteil, dass die RDP-Verbindungsports nicht dem öffentlichen Internet ausgesetzt werden.
Apropos Ports: RDP sollte generell nicht über die Standard-Ports bereitgestellt werden, damit man Netzwerkangriffe von simplen Würmern verhindert. Außerdem überprüfen Netzwerkscanner alle Aktivitäten von RDP-Ports, sodass hier eher die Rede von „Security through obscurity“ sein muss. Die Maßnahme stellt keine zusätzliche Sicherheitsbarriere gegen mäßig raffinierte Angreifer dar. Bei der Überprüfung von Netzwerkzugriffs- und Anmeldeaktivitäten in den RDP-Serverprotokollen ist äußerste Wachsamkeit geboten, da es nur eine Frage der Zeit ist, wann ein Angreifer ins Unternehmensnetzwerk eindringt.
WEITERFÜHRENDER ARTIKEL: Produktives und sicheres Home‑Office
Um eine Sicherheitsbarriere um den Fernzugriff herum aufzubauen, empfehlen wir die Implementierung einer zusätzlichen Authentifizierungsebene. Darauf sind wir im Artikel Sicheres Home‑Office mit MFA schon näher eingegangen.
Wann immer es möglich ist, sollten nur eingehende RDP-Verbindungen von der bekannten öffentlichen IP-Adresse der Tele-Arbeitenden zugelassen werden. Den Angestellten im Home-Office hilft dabei eine kurze Google-Suche. Durch die Suchphrase „Wie ist meine IP-Adresse“ gelangt man zu zahlreichen Diensten, welche die öffentliche IP-Adresse des Internet-Anschlusses verraten. Diese übermitteln die Angestellten der IT-Administration, damit die IP in einer Whitelist geführt werden kann. Unter Umständen muss man eine Whitelist auch anhand von Subnetzen erstellen, da die dynamische Heim-IP-Adresse des Routers nach einem Neustart zumindest noch in dasselbe Subnetz fällt.
Selbst gegen abgesicherte RDP-Zugänge tauchten in letzter Zeit immer wieder Exploits auf. Deshalb ist es so wichtig, vorhandene Sicherheitspatches gleich nach der Veröffentlichung einzuspielen. Weitere Informationen zum Thema RDP-Sicherheit erhalten Sie unter: ESET BlueKeep Detection-Tool