Tabletop Tuesday

Remote Access Tools

Herzlich willkommen zu einer neuen Ausgabe von "Tabletop Tuesday"! Diese Woche beleuchten wir ein Szenario, das für viele Unternehmen eine wachsende Bedrohung darstellt: Angriffe, die legitime oder illegitim installierte Remote Access Tools (Fernzugriffswerkzeuge) oder Remote Monitoring and Management (RMM) Tools missbrauchen. Diese Werkzeuge sind für den IT-Support Gold wert, können aber in den falschen Händen zu einem Albtraum werden.

Angreifer lieben RMM-Tools, da sie oft unter dem Radar der traditionellen Sicherheitslösungen fliegen und ihnen tiefen Zugriff auf kompromittierte Systeme ermöglichen. Sind Ihre Verteidigungsstrategien und Ihr Wissen über die im Unternehmen eingesetzten Tools auf dem neuesten Stand?

Was ist eine Tabletop-Übung?

Eine Tabletop-Übung ist ein diskussionsbasiertes Training, bei der Teammitglieder die Rollen und Verantwortlichkeiten durchgehen, die sie während eines bestimmten Notfallszenarios hätten. Es geht nicht darum, Systeme live zu testen, sondern darum, Prozesse, Pläne und Kommunikationswege auf den Prüfstand zu stellen.

Phase 1: Ungewöhnliche Aktivitäten im Netzwerk

Szenariobeschreibung (Teil 1):

An einem Mittwochmorgen bemerkt das Security Operations Center (SOC) oder Ihr IT-Team ungewöhnliche Netzwerkaktivitäten, die von einem Server im internen Netzwerk ausgehen. Es handelt sich um ausgehende Verbindungen zu einer IP-Adresse, die keiner bekannten legitimen Gegenstelle zugeordnet werden kann. Parallel dazu meldet ein Endpoint Detection and Response (EDR) System verdächtige Prozessstarts auf demselben Server, die auf die Ausführung von PowerShell-Skripten hindeuten, die typischerweise für administrative Aufgaben oder Fernwartung genutzt werden – allerdings außerhalb geplanter Wartungsfenster und ohne zugehöriges Ticket.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Alarmschlagung und initiale Triage:
    • Wer ist im Unternehmen für die Untersuchung solcher Alarme zuständig (SOC, IT-Admins, Incident Response Team)?
    • Wie werden diese initialen Indikatoren bewertet? Welche Priorität erhält der Vorfall?
    • Welche ersten Schritte werden unternommen, um mehr Informationen über die verdächtigen Verbindungen und Prozesse zu sammeln (z.B. Log-Analyse auf dem betroffenen Server, Firewall-Logs, DNS-Logs)?
  • Hypothesenbildung:
    • Welche möglichen Ursachen könnten hinter diesen Aktivitäten stecken (Malware, kompromittiertes Konto, unautorisierte Software)?
    • Wird die Möglichkeit eines Missbrauchs von Fernwartungssoftware bereits in Betracht gezogen?
  • Informationsaustausch:
    • Wer muss intern über den Verdacht informiert werden (IT-Leitung, ISB/CISO)?

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Einberufung eines kleinen Untersuchungsteams (z.B. SOC-Analyst, Systemadministrator des betroffenen Servers).
  2. Detaillierte Analyse der Netzwerkverbindungen: Ziel-IP-Reputation prüfen, Art des Traffics untersuchen (Port, Protokoll).
  3. Untersuchung der verdächtigen Prozesse auf dem Server: Welche Skripte wurden ausgeführt? Welche Dateien wurden erstellt oder modifiziert? Welche Benutzerkonten waren involviert?
  4. Prüfung, ob geplante Wartungsarbeiten oder legitime Support-Zugriffe stattfinden, die die Aktivitäten erklären könnten.

Phase 2: Die Entdeckung – Ein unerwünschtes RMM-Tool

Szenariobeschreibung (Teil 2):

Die tiefere Analyse des betroffenen Servers fördert zutage, dass eine portable Version eines bekannten RMM-Tools (z.B.  ScreenConnect, AnyDesk, TeamViewer - oder ein weniger bekanntes Tool) in einem temporären Verzeichnis abgelegt und ausgeführt wurde. Dieses spezifische Tool oder diese Version ist nicht auf der Liste der offiziell im Unternehmen genehmigten und genutzten Fernwartungslösungen. Es gibt Anzeichen dafür, dass über dieses Tool interaktive Sitzungen stattgefunden haben und Befehle ausgeführt wurden.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Inventarisierung und Legitimität:
    • Welche RMM-Tools werden offiziell und legitim im Unternehmen eingesetzt? Gibt es eine aktuelle, gepflegte Liste (Software-Inventar)? Wer genehmigt den Einsatz solcher Tools?
    • Wie unterscheidet man legitimen von illegitimem Einsatz eines RMM-Tools (z.B. wenn ein offiziell erlaubtes Tool auf einem System auftaucht, wo es nicht sein sollte oder von einem unbekannten Konto genutzt wird)?
  • Ursachenforschung (Wie kam das Tool dorthin?):
    • Wie konnte das nicht genehmigte RMM-Tool auf den Server gelangen und ausgeführt werden (z.B. durch eine Phishing-Mail mit schädlichem Anhang, Ausnutzung einer anderen Schwachstelle, kompromittiertes Benutzerkonto, bewusste Installation durch einen Mitarbeiter)?
    • Welche Benutzerrechte waren notwendig, um das Tool auszuführen?
  • Ausbreitung und weitere Betroffenheit:
    • Gibt es Hinweise, dass von diesem Server aus versucht wurde, auf andere Systeme zuzugreifen oder das RMM-Tool weiterzuverbreiten?
    • Gibt es Möglichkeiten, unternehmensweit nach bekannten (oder unbekannten) RMM-Tools zu suchen? (z.B. Scans mit EDR-Software, Überprüfung von Software-Inventarlisten, Netzwerktraffic-Analyse auf typische RMM-Ports/Protokolle, PowerShell-Skripte zur Prozess-/Datei-Suche).
  • Umfang des Zugriffs:
    • Welche Aktionen wurden über das RMM-Tool durchgeführt? (Versuch der Rekonstruktion anhand von Logs, falls vorhanden, oder forensischer Analyse).
    • Welche Daten oder Systeme könnten kompromittiert worden sein?

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Formelle Einberufung des Incident Response Teams (IRT).
  2. Bestätigung, dass das gefundene RMM-Tool nicht genehmigt ist. Abgleich mit der Liste der legitim eingesetzten Tools.
  3. Start eines unternehmensweiten Scans/einer Suche nach Instanzen dieses und anderer potenziell nicht genehmigter RMM-Tools.
  4. Beginn der forensischen Analyse auf dem primär betroffenen Server, um den Infektionsweg und die Aktivitäten des Angreifers zu verstehen.
  5. Überprüfung der Zugriffsrechte der involvierten Benutzerkonten.

Phase 3: Eindämmung, Bereinigung und der Blick auf Lieferanten

Szenariobeschreibung (Teil 3):

Das IRT hat bestätigt, dass ein nicht autorisiertes RMM-Tool von externen Angreifern genutzt wird, um auf Systeme zuzugreifen. Die unternehmensweite Suche hat ergeben, dass dieses Tool auf einigen wenigen weiteren Workstations schlummert, aber noch nicht aktiv genutzt wurde. Während der Untersuchung stellt sich auch heraus, dass ein wichtiger Maschinenlieferant für den Produktsupport regelmäßig "AnyDesk" verwendet, um auf die Steuerungs-PCs seiner Maschinen in Ihrer Produktion zuzugreifen. Diese Nutzung ist zwar bekannt, aber die genauen Zugriffsmodalitäten und deren Überwachung sind unklar und nicht gut dokumentiert.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Eindämmung des Angriffs:
    • Wie kann die Kommunikation des nicht autorisierten RMM-Tools blockiert werden (Firewall-Regeln für spezifische IPs/Domains, Prozessblockierung auf Endgeräten via EDR/AppLocker)?
    • Wie werden die betroffenen Systeme isoliert, um eine weitere Ausbreitung zu verhindern?
  • Bereinigung (Eradication):
    • Wie wird das nicht autorisierte RMM-Tool und jegliche Persistenzmechanismen der Angreifer sicher von den betroffenen Systemen entfernt?
    • Müssen kompromittierte Benutzerkonten gesperrt und Passwörter zurückgesetzt werden?
  • Umgang mit legitimen, aber riskanten RMM-Zugängen (z.B. Lieferant mit AnyDesk):
    • Ist der AnyDesk-Zugriff des Lieferanten klar definiert und auf das Nötigste beschränkt (z.B. nur Zugriff auf bestimmte Maschinen-PCs, zeitlich begrenzt)?
    • Wie können und werden Zugriffe des Lieferanten über AnyDesk aktuell überwacht? Gibt es dedizierte Logs? Werden diese regelmäßig geprüft?
    • Könnte der legitime AnyDesk-Traffic die Erkennung des illegitimen RMM-Tools erschwert haben?
    • Welche Maßnahmen sind notwendig, um den AnyDesk-Zugriff des Lieferanten sicherer zu gestalten und besser zu überwachen? (z.B. Zugriff nur über einen gesicherten Jump-Host, Anforderung von Vorabankündigungen für jeden Zugriff, Aktivierung von Sitzungsaufzeichnungen in AnyDesk, falls Enterprise-Version genutzt wird, dedizierte Firewall-Regeln, regelmäßige Audits dieser Zugänge).
  • Datenschutz:
    • Wurden durch den unautorisierten Zugriff personenbezogene Daten oder sensible Geschäftsdaten kompromittiert? (Bewertung durch DSB).

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Blockierung der Kommunikation des identifizierten bösartigen RMM-Tools an der Unternehmensfirewall und auf den Endgeräten.
  2. Systematische Bereinigung der infizierten Systeme und Zurücksetzen betroffener Konten.
  3. Temporäre Aussetzung oder verschärfte Überwachung des AnyDesk-Zugangs des Lieferanten, bis dessen Sicherheit und die Überwachbarkeit geklärt sind.
  4. Einleitung einer Diskussion mit dem Lieferanten über sicherere Zugriffsmethoden und Protokollierungsanforderungen für deren AnyDesk-Nutzung.
  5. Bewertung einer möglichen Datenschutzverletzung durch den DSB.

Phase 4: Wiederherstellung, Stärkung der Verteidigung und langfristige Strategien

Szenariobeschreibung (Teil 4):

Die durch das nicht autorisierte RMM-Tool verursachte Bedrohung wurde eingedämmt und die betroffenen Systeme bereinigt. Der Fokus richtet sich nun auf die sichere Wiederherstellung des Normalbetriebs und die Implementierung von Lehren aus dem Vorfall, um zukünftige Angriffe dieser Art zu verhindern oder schneller zu erkennen. Dies schließt auch den Umgang mit allen legitim genutzten RMM-Tools ein.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Root Cause Analyse:
    • Was war der ursprüngliche Eintrittspunkt für das nicht autorisierte RMM-Tool? (Phishing, Schwachstelle, etc.).
    • Warum wurde es nicht früher entdeckt? (Lücken im Monitoring, fehlende Software-Inventarisierung, keine Richtlinien für RMM-Tools).
  • Verbesserung der Prävention und Detektion:
    • Wie kann die Installation und Ausführung nicht genehmigter Software (insbesondere RMM-Tools) technisch unterbunden werden (Application Whitelisting/AppLocker, EDR-Blockregeln)?
    • Wie kann das Monitoring auf typische Aktivitäten von RMM-Tools verbessert werden (Netzwerkverkehrsanalyse, Log-Korrelation)?
    • Sollte eine regelmäßige, proaktive Suche (Scanning) nach RMM-Installationen im Unternehmen etabliert werden?
  • Management von legitim genutzten RMM-Tools:
    • Erstellung oder Aktualisierung einer verbindlichen Richtlinie für den Einsatz von RMM-Tools (intern und durch Dritte). Wer darf welche Tools für welche Zwecke nutzen? Genehmigungsprozess.
    • Implementierung strengerer Sicherheitsmaßnahmen für alle RMM-Zugänge, einschließlich derer von Lieferanten (z.B. MFA erzwingen, wo möglich; Nutzung über Bastion-Hosts/Jump-Server; zeitliche Beschränkungen; dedizierte, nicht-privilegierte Konten).
    • Verbesserung der Protokollierung und Überwachung aller RMM-Sitzungen (intern und extern).
  • Schulung und Awareness:
    • Müssen Mitarbeiter besser darin geschult werden, die Risiken von RMM-Tools zu verstehen und verdächtige Software oder Anfragen zu erkennen und zu melden?
  • Lieferantenmanagement:
    • Überprüfung der Sicherheitsanforderungen und -kontrollen für alle Lieferanten, die Fernzugriff auf Unternehmenssysteme benötigen.

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Durchführung eines umfassenden "Lessons Learned"-Workshops.
  2. Entwicklung/Überarbeitung und Implementierung einer strengen Richtlinie für den Einsatz und die Überwachung von RMM-Software.
  3. Implementierung technischer Kontrollen zur Verhinderung und Erkennung nicht autorisierter RMM-Tools.
  4. Einführung eines Prozesses zur regelmäßigen Überprüfung und Genehmigung aller eingesetzten RMM-Tools.
  5. Verstärkung der Sicherheitsmaßnahmen und Monitoring-Funktionen für Lieferantenzugänge, z.B. durch dedizierte Überwachung des AnyDesk-Traffics des genannten Lieferanten.
  6. Anpassung der Security-Awareness-Schulungen mit Fokus auf die Risiken durch Fernzugriffssoftware.

Fazit

Der Missbrauch von Remote Access und RMM-Tools ist ein potenter Angriffsvektor, da diese Werkzeuge oft legitimen Zwecken dienen und schwer von bösartigen Aktivitäten zu unterscheiden sind. Ein klares Verständnis darüber, welche Tools in Ihrem Unternehmen legitim im Einsatz sind, strenge Kontrollen für deren Nutzung (insbesondere durch Dritte) und eine proaktive Suche nach nicht autorisierten Installationen sind unerlässlich. Gute Sichtbarkeit und Kontrolle über alle Fernzugriffe sind der Schlüssel zur Risikominimierung.

Nutzen Sie dieses Szenario, um Ihre aktuelle Situation zu bewerten: Wissen Sie, welche RMM-Software in Ihrem Netzwerk aktiv ist? Und wie gut haben Sie die Zugriffe Ihrer Dienstleister im Blick?

Wir unterstützen Sie gerne dabei. Ob Awareness-Schulungen, Incident-Response-Pläne oder technische Schutzmaßnahmen – mit unseren Services helfen wir Ihnen, Sicherheitsvorfälle nicht nur besser zu bewältigen, sondern im besten Fall ganz zu vermeiden.

info@byteray.com
+49 89 2000 7683
Hopfenstr. 8, 80335 München
Termin vereinbaren
Services
Managed SOCManaged ServicesProfessional ServicesIncident Response
Beratung
StrategieberatungVirtual CISONIS 2 WorkshopThreat Intelligence
Unternehmen
Über unsDatenschutzImpressumAGB
© 2025 ByteRay GmbH. All Rights Reserved.