Die Olympischen Spiele Paris 2024 holen Silber in der Disziplin Cybersecurity – wie steht es mit Ihrer Angriffsfläche?

Mit Sweepatic, unserer EASM-Lösung (External Attack Surface Management), haben wir eine Analyse der Online-Infrastruktur der diesjährigen Olympischen Spiele Paris 2024 durchgeführt. Vorweg ist zu sagen, dass das Cybersecurity-Team von Paris 2024 vieles richtig gemacht hat, aber wir haben auch einige reale Schwachstellen in der Angriffsfläche gefunden, die möglicherweise übersehen wurden (wie bei vielen Unternehmen), beispielsweise offene Ports, SSL-Fehlkonfigurationen, Verstöße gegen Cookie-Consent-Vorgaben und mögliches Domain Squatting.

Wenn eine Organisation physisch wächst, ist das leicht zu erkennen. Man sieht ein größeres Büro, neue IT-Hardware und mehr Mitarbeiter. Der Unterschied bei der digitalen Expansion besteht darin, dass dieser Wachstum explosionsartig erfolgen kann, ohne dass dies jemand wirklich mitbekommt. Analysen mit unserer EASM-Lösungen zufolge schätzen wir, dass sich der digitale Fußabdruck eines Unternehmens alle neun Monate verdoppelt – das bedeutet eine Menge an Assets, Services, Domains etc, die Sicherheitsverantwortliche im Blick haben müssen.

Um trotz dieses Umstandes weiterhin und jederzeit einen vollständigen Überblick über alle öffentlich erreichbaren Assets zu haben und welche Schwachstellen darin von Angreifern ausgenutzt werden könnten, nutzen Unternehmen EASM. Im Folgenden sehen Sie eines der Ergebnisse der EASM-Plattform Sweepatic von Outpost24 – ein Netzwerkdiagramm, das den digitalen Fußabdruck einer Organisation in der Öffentlichkeit darstellt. Dies unterscheidet sich vom gewöhnlichen Schwachstellenmanagement, da es Ihnen sowohl die unbekannten als auch die bekannten Assets Ihrer Organisation aufzeigt.

Beispiel für die Verknüpfung von Assets und Services einer Organisation in Sweepatic

Die Funktionsweise und der Nutzen von EASM lassen sich am besten anhand eines konkreten Beispiels nachvollziehen. Wir haben daher den gesamten Internetauftritt des Organisationskomitees für die Olympischen Spiele kartiert: Paris 2024. Warum haben wir die Olympischen Spiele in Paris für diese Untersuchung ausgewählt? Vor allem, weil es sich um den größten internationalen Sportwettbewerb handelt, der sowohl physische als auch digitale Besucher aus der ganzen Welt anzieht. Die Olympischen Spiele sind eine sehr etablierte Marke, und mit dem Näherrücken der Spiele in Paris 2024 wird das Online-Interesse stark ansteigen.

Ähnlich wie Taschendiebe und Ticketverkäufer auf Touristengruppen abzielen, werden sich Cyberkriminelle des wachsenden Online-Traffics im Zusammenhang mit den Spielen in Paris 2024 bewusst sein und versuchen, daraus Kapital zu schlagen. Die Infrastruktur der Olympischen Spiele 2020 in Tokio wurde von 450 Millionen Cyberangriffen heimgesucht – das ist das 2,5-fache der Zahl, die vor etwas mehr als einem Jahrzehnt bei den Spielen in London 2012 zu verzeichnen war. Das bedeutet, dass die Sicherheitsteams durchaus auf die Probe gestellt werden und eine EASM-Lösung dabei helfen kann, bislang noch unentdeckte Schwachstellen zu finden. Im nächsten Abschnitt erfahren Sie, was unsere Lösung herausgefunden hat und welche Lehren Sie für Ihr eigenes Attack Surface Management ziehen können.

Infografik zu Analyse der Angriffsfläche der Olympischen Sommerspiele Paris 2024.
Die Ergebnisse der Analyse zusammengefasst

Wie schlägt sich Paris 2024 im Durchschnitt?

Zusammenfassend: ziemlich gut! Nicht ganz eine Goldmedaille, aber sicherlich eine Silbermedaille. Es gibt sowohl mehrere positive Sicherheitsmaßnahmen als auch einige mögliche Gefahren, die selbst bei Organisationen, die vieles richtig machen, auftreten können. Zu Beginn haben wir eine Bestandsaufnahme aller Domains, Subdomains, Hosts, Webanwendungen und Cloud-Ressourcen von Drittanbietern von Paris 2024 durchgeführt. Eine visuelle Darstellung davon sehen Sie in der Netzwerkgrafik unten. Von dort aus konnten wir spezifische Risiken und Schwachstellen aufspüren.

Netzwerkdiagramm der öffentlich sichtbaren Assets von Paris 2024.

Stijn Vande Casteele, CSO von Outpost24’s EASM, äußerte sich zu den Ergebnissen wie folgt: „Obwohl wir mehrere gängige Gefahren in der Angriffsfläche analysiert haben, kann man sagen, dass die Cybersicherheit des öffentlichen Auftrittes der Olympischen Spiele Paris 2024 insgesamt gut ist. Vor einigen Jahren analysierten wir die Angriffsfläche der FIFA-Weltmeisterschaft 2018 in Russland, die eine alarmierende Anzahl veralteter Hosts und potenzieller Zugangspunkte zu deren Infrastruktur aufwies.

Im Vergleich dazu hat das Cybersicherheitsteam von Paris 2024 eindeutig mehr Anstrengungen unternommen. Aber auch wenn wir die Spiele von Paris 2024 als „gutes“ Beispiel für den Umgang mit einer Angriffsfläche betrachten, ist es nicht perfekt (denn Perfektion gibt es im Bereich Cybersecurity selten). Anhand der gefundenen Punkte, die wir im nächsten Abschnitt untersuchen werden, wird deutlich, wie wertvoll eine EASM-Lösung ist, die automatisch früher oder später auftretende Schwachstellen in der Angriffsfläche aufspürt.

Mögliche Gefahren in der Angriffsfläche

Die folgenden Sicherheitsrisiken sind nicht nur in diesem konkreten Fall von Paris 2024 zu beobachten. Viele dieser Risiken haben wir auch schon vorher bei anderen Organisationen gesehen, deren Assets mit dem Internet verbunden sind. Möglicherweise lauern einige dieser Risiken auch in Ihrer Angriffsfläche! Wenn Sie wissen möchten, wie es um den Status Ihre Angriffsfläche bestellt ist, können Sie jetzt eine kostenlose Analyse Ihrer Angriffsfläche bei Outpost24 buchen.

Offene Ports

Offene Ports sind zwar nicht grundsätzlich riskant, aber wenn sie nicht richtig konfiguriert und geschützt sind, können Hacker sie nutzen, um Software-Schwachstellen auszunutzen und auf vertrauliche Informationen zuzugreifen.
Ungeschützte Ports öffnen Ihr Netzwerk und Ihren IT-Stack möglicherweise für Angriffe, so dass Cyberkriminelle Ihre laufenden Services ausspähen, Schwachstellen ausfindig machen und strategisch gezielte Angriffe planen können. EASM gibt Ihnen einen vollständigen Überblick über die offenen Ports in Ihrem Unternehmen, so dass Sie das damit verbundene Risiko besser beurteilen können.

Obwohl wir für Paris 2024 keine ungewöhnlich hohe Anzahl an risikoreichen offenen Ports feststellen konnten, gab es zwei offene Ports für den Fernzugriff über SSH. Diese könnten für Brute-Force-Angriffe anfällig sein und sollten mit hoher Priorität gesichert werden. Angriffe dieser Art können zu Datenschutzverletzungen, zum Diebstahl von geistigem Eigentum sowie zu finanziellen und rufschädigenden Folgen führen. Denken Sie daran, dass viele Brute-Force-Skripte nur versuchen, eine Verbindung zum TCP-Port 22 herzustellen, so dass es sich zusätzlich lohnen kann, Ihren Standard-Port zu ändern.

Fehlerhafte Konfiguration von SSL-Zertifikaten

Die häufigsten Probleme, die wir bei der Analyse einer Angriffsfläche feststellen, sind falsch konfigurierte SSL-Zertifikate. Diese treten auf, wenn SSL-Zertifikate nicht ordnungsgemäß eingerichtet oder verwaltet werden, was zu Schwachstellen im Netzwerk Ihres Unternehmens, im Vertrauen auf Ihre Sicherheit, Anfälligkeit gegen Phising-Angriffe und Rufschädigungen führen kann. Ursachen hierfür sind u. a. veraltete Verschlüsselungsalgorithmen, fehlerhafte Zertifikatseinstellungen und abgelaufene SSL-Zertifikate, die sich direkt auf die Angriffsfläche eines Unternehmens auswirken, indem sie mögliche Zugangswege für Cyberangriffe schaffen.

Alle SSL-Konfigurationen zu identifizieren und zu überprüfen kann durchaus eine Herausforderung darstellen, wenn man keine umfassende EASM-Lösung hat. Denn die meisten herkömmlichen Sicherheitstools sind einfach nicht in der Lage, alle mit dem Internet verbundenen Ressourcen Ihres Unternehmens zu überwachen und zu analysieren. Wie Sie unten sehen können, stellte unsere EASM-Lösung fest, dass Paris 2024 31 Domains (5,8 %) mit ungültigem Zertifikat und 86 Domains (16 %) ohne jegliches Zertifikat hatte. In einigen Fällen waren Weiterleitungen nicht ordnungsgemäß eingerichtet worden, drei Domains hatten abgelaufene Zertifikate (möglicherweise verwaiste Assets), und in anderen gab es Weiterleitungen mit kurzlebigem HSTS.

Status der SSL-Zertifikate von Paris 2024

Zudem stellten wir fest, dass von 294 Websites 257 Sicherheits-Header-Probleme aufwiesen. Wenn Sie eine Website in einem Browser besuchen, sendet der Browser einige Request-Header an den Server und der Server antwortet mit HTTP-Response-Headern. Sicherheits-Header werden von Client und Server verwendet, um als Teil des HTTP-Protokolls Informationen auszutauschen. Diese Header schützen Websites vor einigen gängigen Angriffen wie XSS, Code-Injection und Clickjacking.

Ein besonders interessantes Beispiel war ein Teil der Staging-Umgebung, der mit Ticketing zu tun hat. Eine Staging-Umgebung sollte mindestens mit einer HTTPS-Anmeldung ordnungsgemäß abgeschirmt sein. Das Ticketing ist kein Bereich, in dem ein Unternehmen eine offene Kommunikation wünscht, da es sich um PII (persönlich identifizierbare Informationen) und finanzielle Details handelt.

Domain Squatting

Beim Domain-Squatting (oder Cybersquatting) geht es um den Kauf oder die Registrierung von Domains mit der Absicht, von der Marke eines Unternehmens zu profitieren. Nimmt das kriminelle Züge an, entstehen gefälschte Websites, die vertrauenswürdig aussehen und in der Regel dazu dienen, direkt oder indirekt illegal Geld zu verdienen. Sie können auch sensible Informationen wie Passwörter oder andere Anmeldedaten stehlen, die dann im Dark Web verkauft werden können.

Dank der Domain-Erkennungsfunktion von Outpost24s EASM-Lösung kann eine Organisation Domain Squatting leicht ausfindig machen und sich vor künftigen Gefahren schützen. Die damit identifizierten Domains können in gutem oder schlechtem Zusammenhang mit Aufgabenbereichen einer Organisation stehen oder auch nicht. Administratoren können die entdeckten Domains als irrelevant kategorisieren, sie zu einer Liste hinzufügen, die gescannt werden soll, oder verdächtige Domains auf weitere Veränderungen überwachen.

In diesem Fall wurden bereits einige Domänennamen für die Olympischen Spiele 2024 in Paris gekauft und zum Verkauf angeboten. Wir haben sogar einige für die Olympischen Spiele 2028 in Los Angeles gefunden, wobei sich die Cybersquatter schon Jahre im Voraus darauf vorbereiten, dass das Interesse an diesem Ereignis ansteigt. Die folgende Liste enthält potenzielle „Typosquatting“-Domänen wie oaris2024.org und paris224.org, bei denen es sich um Rechtschreibfehler handelt, die der echten Veranstaltungsseite ähnlich sehen. Um die Beteiligung von Angreifern zu bestätigen, müssten wir weiter analysieren, wer die Domains registriert hat (der Registrant). Andererseits ist es möglich, dass diese Domains vom Paris 2024-Team als Präventivmaßnahme registriert wurden, damit sie nicht in die Hände von Angreifern gelangen.

Möglicherweise verwandte Domains für Paris 2024

Cookies dienen der Nachverfolgung von Nutzern, aber es gibt bestimmte Regeln und Vorschriften, ob, wann und wie ein Unternehmen diese auf Webseiten verwenden darf, die oft vom Standort der Nutzer abhängen. In diesem Fall haben wir über 20 Verstöße gegen die Cookie-Richtlinien festgestellt. Das bedeutet, dass Cookies in den Browsern der Nutzer ohne deren Zustimmung gesetzt wurden, was laut DSGVO Konsequenzen für Paris 2024 haben kann.

Gemäß der DSGVO darf eine Website nur dann personenbezogene Daten von Nutzern erheben, wenn diese ihre ausdrückliche Zustimmung zu den spezifischen Zwecken ihrer Verwendung und Erhebung gegeben haben. Die Zustimmung zum Setzen von Cookies durch den Endnutzer ist die am häufigsten genutzte Rechtsgrundlage der DSGVO, so dass es sich lohnen würde, sich zu vergewissern, dass diese eingehalten wird. Organisationen mit Besuchern aus der EU sollten dies unbedingt berücksichtigen und überwachen.

Weitere Risiken und Fragen zur Cyber-Hygiene

  • 404 und ungenutze Seiten: Diese ungenutzten Seiten mögen harmlos erscheinen und im besten Fall haben sie keine Wirkung, im schlimmsten Fall stellen sie Webserver unnötig bloß und vergrößern Ihre Angriffsfläche. Es ist viel besser, sie einfach abzuschalten. Je mehr Sie offengelegt haben, desto mehr Überwachung und potenzielle Gegenmaßnahmen sind erforderlich.
  • Veraltete Software und Technologien: Wir haben einige veraltete Technologien mit bekannten Sicherheitslücken (KEVs) in der Infrastruktur von Paris 2024 entdeckt, wie z. B. Varnish 6.5. Diese sind besonders riskant, da sie bekannte Schwachstellen aufweisen, die bereits aktiv von Angreifern genutzt werden. So wurde beispielsweise eine Website mit Handlebars 4.0 entdeckt. Dies ist insofern von Bedeutung, als Versionen von Handlebars vor 4.3.0 anfällig für Prototyp-Verunreinigungen sind, die zur Remote Code Execution führen.
  • Kompromittierte Zugangsdaten: Für die meisten Unternehmen sind Passwörter das schwächste Glied und der einfachste Weg für Hacker. Wir haben einen Satz kompromittierter Anmeldedaten gefunden, die von der LUMMAC2-Malware gestohlen worden waren. Dies könnte auf zwei Arten geschehen sein: Der Mitarbeiter könnte die Malware versehentlich auf sein Arbeitsgerät heruntergeladen haben, oder er hat seine beruflichen Zugangsdaten auf einem mit Malware infizierten privaten Gerät verwendet. In jedem Fall braucht das Unternehmen eine Möglichkeit, kompromittierte Passwörter zu erkennen und Passwortänderungen zu erzwingen.

Fazit

Die Analyse von Paris 2024 unterstreicht die Notwendigkeit von Tools, die einen ganzheitlichen Überblick ermöglichen. Denn auch wenn in Sachen Cybersicherheit vieles richtig gemacht wurde, gibt es immer noch einige Risiken in der Angriffsfläche, mit denen man sich befassen muss – manche davon sehr dringend. Mit einer EASM-Lösung haben IT-Experten Zugriff auf einen aktuellen Bestand an Assets sowie eine kontinuierliche Analyse und Überwachung von Änderungen der Angriffsfläche. Es handelt sich um eine fortlaufende und automatisierte Lösung, die in Echtzeit und priorisiert die aktuellen Risiken der Angriffsfläche – sowohl bekannte als auch unbekannte – aufzeigt.

Darstellung der Ergebnisse anhand des Schweregrades der Schwachstelle für einfache Priorisierung

Der Einsatz von EASM zur Überwachung von Themen wie Domain Squatting kann für den Schutz Ihrer Marken und zur Verringerung von „Impersonation Attacks“ entscheidend sein. Wir können sehen, welche Anstrengungen die Organisatoren von Paris 2024 unternommen haben, um die Marke zu schützen, auch wenn dies in einigen Bereichen noch nicht hinreichend war. Im Allgemeinen wird durch die Verbesserung der Cyber-Hygiene die Angriffsfläche verringert, die Einhaltung von Vorschriften wie NIS2 gewährleistet und ein besseres Image bei den Kunden vermittelt, von denen viele vielleicht ausschließlich online mit Ihrem Unternehmen und Ihrer Marken in Kontakt treten.

Wo steht Ihre Organisation auf dem Treppchen?

Finden Sie heraus, wie die Angriffsfläche Ihres Unternehmens im Vergleich zum Branchendurchschnitt abschneidet. Um mehr über Sweepatic EASM von Outpost24 zu erfahren und eine kostenlose Analyse der Angriffsfläche Ihrer Organisation anzufordern, kontaktieren Sie unser Team noch heute:

Haftungsausschluss: Diese Analyse wurde extern von Outpost24 unter Verwendung der firmeneigenen EASM-Plattform (External Attack Surface Management), Sweepatic, durchgeführt. EASM von Outpost24 findet und analysiert auschließlich öffentlich verfügbare IT-Assets, die frei über das Internet zugänglich sind, indem normaler Internetverkehr simuliert wird und passive Erkennungs- und Testverfahren eingesetzt werden. Outpost24 ist nicht mit der Infrastruktur oder den Geschäftsprozessen des Komitees der Olympischen Spiele in Paris verbunden.