Home » News » Security Management » Ausgemusterte Unternehmensrouter als Datenschleuder

Ausgemusterte Unternehmensrouter als Datenschleuder

Wenn Unternehmen ihre Router aussortieren oder weiterverkaufen, sollten sie unbedingt sicherstellen, dass alle gespeicherten Daten gemäß den geltenden Normen gelöscht werden. Leider scheinen viele kleine und mittelständische Unternehmen diese einfache Regel nicht zu befolgen. In einer Untersuchung von 16 gebraucht gekauften Routern stellten Experten fest, dass auf mehr als der Hälfte der Geräte noch vertrauliche Informationen zugänglich waren. Besorgniserregend: Auch Entsorgungsdienstleister haben hier mangelhaft gearbeitet und die Hardware sowie deren Inhalte nicht vernichtet, sondern weiterverkauft.

2 Min. Lesezeit
Foto: ©AdobeStock/aquatarkus

ESET-Experten haben für eine Stichprobenuntersuchung Router aus Organisationen unterschiedlicher Größen und Branchen (Rechenzentren, Anwaltskanzleien, Drittanbieter von Technologie, Fertigungs- und Technologieunternehmen, Kreativfirmen und Softwareentwickler) unter die Lupe genommen. Der deutsche Security-Hersteller teilte die Ergebnisse den betroffenen Unternehmen mit – unter ihnen befanden sich auch bekannte Namen. Cameron Camp, Sicherheitsforscher bei ESET, bezeichnet die Erkenntnisse als „äußerst besorgniserregend“ und fordert ein Umdenken in Sachen Sicherheitsvorkehrungen beim Stilllegen von Geräten. Die meisten untersuchten Geräte enthielten eine digitale Blaupause des betroffenen Unternehmens, einschließlich Kernnetzwerkinformationen, Anwendungsdaten, Unternehmensanmeldeinformationen und Informationen über Partner, Anbieter und Kunden.

Von den neun Netzwerkgeräten, bei denen vollständige Konfigurationsdaten verfügbar waren, enthielten

  • 22 Prozent Kundendaten,
  • 33 Prozent Verbindungen, die Drittanbietern den Zugang zum Netzwerk ermöglichten,
  • 44 Prozent Anmeldedaten für die Verbindung mit anderen Netzwerken als vertrauenswürdige Partei,
  • 89 Prozent Verbindungsdetails für einige Anwendungen,
  • 89 Prozent Router-zu-Router-Authentifizierungsschlüssel,
  • 100 Prozent eine oder mehrere IPsec- oder VPN-Anmeldeinformationen oder gehashte Root-Passwörter und
  • 100 Prozent genügend Daten, um den ehemaligen Eigentümer/Betreiber zuverlässig zu identifizieren.

Mangelnde Kontrolle spielt Kriminellen in die Hände

„Es gibt gut dokumentierte Prozesse für die ordnungsgemäße Außerbetriebnahme von Hardware, und diese Untersuchung zeigt, dass viele Unternehmen diese nicht strikt befolgen, wenn sie Geräte für den Sekundärmarkt vorbereiten“, sagt Tony Anscombe, Chief Security Evangelist bei ESET. „Das Ausnutzen einer Schwachstelle oder Spearphishing für Anmeldedaten ist potenziell harte Arbeit. Unsere Untersuchungen zeigen, dass es einen viel einfacheren Weg gibt, an diese Daten zu gelangen. Wir empfehlen Unternehmen, die sich mit der Entsorgung von Geräten, der Datenvernichtung und dem Weiterverkauf von Geräten befassen, ihre Prozesse genau zu überprüfen und sicherzustellen, dass sie die neuesten NIST-Standards einhalten.“

Entsorgung nur kontrolliert und fachgerecht

Unternehmen sollten ausschließlich vertrauenswürdige, kompetente Dritte mit der Entsorgung von Geräten beauftragen oder alle notwendigen Vorsichtsmaßnahmen treffen, wenn sie die Außerbetriebnahme selbst vornehmen. Dies gilt nicht nur für Router und Festplatten, sondern für alle Geräte, die Teil des Netzwerks sind. Die ESET Experten raten, die Richtlinien des Herstellers zu befolgen, um alle Daten von einem Gerät sicher zu entfernen, bevor es das Unternehmen verlässt – ein einfacher Schritt, den viele IT-Mitarbeiter durchführen können.

Die mangelnde Kontrolle bei der Außerbetriebnahme von Hardware spielt Kriminellen in die Hände, wie die Untersuchung von ESET-Experten zeigt. Viele Unternehmen scheinen nicht die notwendigen Sicherheitsvorkehrungen zu treffen, um gespeicherte Daten auf aussortierten oder weiterverkauften Geräten zu löschen. Von neun Netzwerkgeräten, für die vollständige Konfigurationsdaten verfügbar waren, enthielten 100 Prozent genügend Daten, um den ehemaligen Eigentümer/Betreiber zuverlässig zu identifizieren. Tony Anscombe, Chief Security Evangelist bei ESET, empfiehlt Unternehmen, ihre Prozesse genau zu überprüfen und sicherzustellen, dass sie die neuesten NIST-Standards einhalten, um Datenverluste zu vermeiden. Unternehmen sollten ausschließlich vertrauenswürdige, kompetente Dritte mit der Entsorgung von Geräten beauftragen oder alle notwendigen Vorsichtsmaßnahmen treffen, wenn sie die Außerbetriebnahme selbst vornehmen. Die ESET Experten raten, die Richtlinien des Herstellers zu befolgen, um alle Daten von einem Gerät sicher zu entfernen, bevor es das Unternehmen verlässt.

Andere interessante News

Payload

Cyberkriminelle kompensieren Makro-Aus mit dynamischen Angriffstechniken

Die Cyberbedrohungslandschaft für Unternehmen aller Größenordnungen hat im letzten Jahr eine massive Veränderung erlebt, die maßgeblich von Microsofts Entscheidung beeinflusst wurde, Makros standardmäßig zu blockieren. Diese Veränderung hat dazu geführt, dass alle Akteure in der cyberkriminellen Nahrungskette, angefangen bei unerfahrenen Hackern bis hin zu den erfahrensten Cyberkriminellen, die komplexe Ransomware-Angriffe durchführen, gezwungen sind, ihre Arbeitsweise anzupassen.

Cyber Security Radar

Die großen Trends bei der Cyberkriminalität

In der heutigen vernetzten Welt ist die Bedrohung durch Cyberkriminalität allgegenwärtig. Täglich erreichen uns alarmierende Nachrichten über neue Angriffe, bei denen Unternehmen jeglicher Größe ins Visier geraten. Die Hacker sind ständig auf der Suche nach neuen Wegen, um ihre Attacken zu perfektionieren und dabei setzen sie vermehrt auf eine gefährliche Waffe: künstliche Intelligenz. Aber es gibt auch noch andere Herausforderungen, wie ein Cyber Security Threat Radar jetzt offenbart.

AI Law

Kommentar: Potenzial von KI nur bei scharfer Regulierung nutzbar

Die fortschreitende Entwicklung künstlicher Intelligenz (KI) hat das Potenzial, unsere Welt zu transformieren und unser tägliches Leben zu beeinflussen. Um die positiven Möglichkeiten voll auszuschöpfen und gleichzeitig die damit verbundenen Risiken zu minimieren, ist es von entscheidender Bedeutung, angemessene Verbote und Vorschriften einzuführen. Eine umfassende Regulierung auf Basis ethischer Werte und Transparenz als grundlegende Prinzipien soll sicherstellen, dass KI-Systeme fair, zuverlässig und sicher sind.