Jede Schnittstelle eines IT-Systems ist ein potenzielles Einfallstor. Ein unzureichend gesicherter Fernwartungszugang, eine vergessene API, ein Dienst mit Standardpasswort — ein Angreifer braucht nur eine einzige verwundbare Schnittstelle, um Zugang zum System zu erlangen. Der Verteidiger muss alle schützen.
Unbefugtes Eindringen in IT-Systeme ist eine der fundamentalsten Gefährdungen der Informationssicherheit. Das BSI führt sie als G 0.23. Der Zugang ist häufig der erste Schritt einer Angriffskette — auf das Eindringen folgen Datendiebstahl, Manipulation oder Sabotage.
Was steckt dahinter?
Jede Schnittstelle — Netzwerkport, USB-Anschluss, API, Weboberfläche, Management-Konsole — bietet legitimen Benutzern Zugang zu Diensten des Systems. Dieselbe Schnittstelle bietet einem Angreifer die Möglichkeit, unbefugt zuzugreifen, wenn die Authentisierung zu schwach, die Software verwundbar oder die Konfiguration fehlerhaft ist.
Einfallstore
- Ausgespähte Zugangsdaten — Benutzernamen und Passwörter, die durch Phishing, Keylogger, Credential Stuffing oder Datenbanklecks erlangt wurden. Passwort-Wiederverwendung macht diesen Angriffsweg besonders effektiv.
- Schwachstellen in Software — Ungepatchte Sicherheitslücken in Betriebssystemen, Webanwendungen oder Diensten. Öffentlich bekannte Exploits werden innerhalb von Stunden nach Veröffentlichung eines CVE automatisiert ausgenutzt.
- Unsichere Fernwartungszugänge — RDP, SSH, VPN-Gateways oder proprietäre Fernwartungstools mit schwachen Zugangsdaten oder ohne Multi-Faktor-Authentisierung.
- Physische Schnittstellen — USB-Ports, die nicht deaktiviert sind, erlauben das Anschließen präparierter Geräte. Unbeaufsichtigte Systeme mit offenen Konsolen laden zum direkten Zugriff ein.
- Fehlkonfigurationen — Dienste, die unbeabsichtigt aus dem Internet erreichbar sind. Management-Interfaces ohne Authentisierung. Default-Credentials, die nie geändert wurden.
Schadensausmass
Unbefugtes Eindringen verletzt primär die Vertraulichkeit (Datenzugriff) und Integrität (Möglichkeit zur Manipulation). In vielen Fällen ist das Eindringen der Ausgangspunkt für schwerwiegendere Angriffe: Ransomware-Deployment, Datenexfiltration, laterale Bewegung im Netzwerk. Die Verweildauer eines Angreifers im kompromittierten System (Dwell Time) beträgt im Durchschnitt mehrere Wochen — genug Zeit für erheblichen Schaden.
Praxisbeispiele
Credential-Stuffing gegen VPN-Gateway. Ein Angreifer nutzt eine öffentlich verfügbare Sammlung gestohlener Zugangsdaten (aus früheren Datenlecks bei Drittanbietern) und testet sie automatisiert gegen das VPN-Gateway eines Unternehmens. Da mehrere Mitarbeiter dasselbe Passwort für private und berufliche Konten verwenden, gelingt der Zugang. Der Angreifer hat nun eine verschlüsselte Verbindung ins interne Netz.
Ungepatchter Webserver als Einstiegspunkt. Ein Unternehmen betreibt einen Webserver mit einer bekannten Schwachstelle, für die seit drei Monaten ein Patch verfügbar ist. Ein automatisierter Scanner entdeckt die Schwachstelle und installiert eine Webshell. Der Angreifer nutzt die Webshell als Ausgangspunkt für laterale Bewegung und kompromittiert innerhalb einer Woche den Domain-Controller.
Vergessener Fernwartungszugang. Bei der Inbetriebnahme einer Produktionsanlage richtet der Hersteller einen Fernwartungszugang ein — mit dem vereinbarten Standardpasswort „service2020”. Nach der Inbetriebnahme wird der Zugang vergessen; er bleibt aktiv. Jahre später findet ein Angreifer den offenen Port per Internet-Scan und meldet sich mit dem unveränderten Passwort an.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 42 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.8.5 — Sichere Authentisierung: Multi-Faktor-Authentisierung für alle kritischen Zugänge.
- A.8.8 — Management technischer Schwachstellen: Systematisches Patching schließt die Einfallstore.
- A.8.20 — Netzwerksicherheit: Segmentierung und Firewall-Regeln begrenzen den erreichbaren Angriffsradius.
- A.8.2 — Privilegierte Zugriffsrechte: Beschränkung administrativer Rechte, um die Auswirkungen eines kompromittierten Kontos zu begrenzen.
- A.8.9 — Konfigurationsmanagement: Standardkonfigurationen härten und dokumentieren, Default-Credentials ersetzen.
Erkennung:
- A.8.15 — Protokollierung: Fehlgeschlagene Anmeldeversuche, ungewöhnliche Zugriffsmuster und neue Verbindungen werden aufgezeichnet.
- A.8.16 — Überwachungsaktivitäten: SIEM-Korrelation erkennt Angriffsmuster wie Brute Force, Lateral Movement oder ungewöhnliche Administratorzugriffe.
- A.5.35 — Unabhängige Überprüfung der Informationssicherheit: Penetrationstests und Red-Team-Übungen testen die Schutzmaßnahmen unter realen Bedingungen.
Reaktion:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Incident-Response-Plan für den Fall eines erkannten Eindringens.
- A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Strukturierte Triage, um die Schwere des Vorfalls zu bewerten.
BSI IT-Grundschutz
G 0.23 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- NET.3.1 (Router und Switches) — Härtung und Zugangsschutz für Netzwerkkomponenten.
- NET.3.2 (Firewall) — Filterregeln und Segmentierung als primäre Barriere gegen unbefugten Zugang.
- ORP.4 (Identitäts- und Berechtigungsmanagement) — Anforderungen an Authentisierung, Autorisierung und Berechtigungsverwaltung.
- SYS.1.1 (Allgemeiner Server) — Härtung und Absicherung von Serversystemen.
Quellen
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.23 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 8.5 — Umsetzungshinweise zur sicheren Authentisierung
- BSI: Empfehlungen zu sicherer Authentisierung — Praktische Hinweise zur Absicherung von Konten und Zugängen