NordStellar im Test: Präventives Threat-Management für Unternehmen

Praktisch kein Unternehmen darf sich heutzutage Nachlässigkeiten bei der Online-Sicherheit leisten. Zu vielfältig sind mögliche Angriffsszenarien, zu groß das Schadenspotenzial. Potenzielle Bedrohungen reichen von Datenspionage über Identitätsdiebstahl hin zu Missbrauch von Unternehmensressourcen für illegale Aktivitäten. Produkte wie NordStellar* vom litauischen Anbieter Nord Security wollen davor schützen: Das Online-Werkzeug verspricht Firmen, einen großen Teil der nötigen Sicherheitsmaßnahmen automatisiert durchzuführen – und zwar präventiv. Die Idee ist also, dass Unternehmen gar nicht auf erfolgreiche Angriffe reagieren müssen, weil sie diese bereits im Entstehen erkennen und unterbinden.

Taugt das Produkt oder handelt es sich um Schlangenöl? Wir haben NordStellar auf Herz und Nieren geprüft und geben eine Übersicht zu den Funktionen.

Sicherheits-Plattform der NordVPN-Macher

Nord Security ist primär für den VPN-Dienst NordVPN bekannt. Um den Missbrauch der VPN-Netze und der Unternehmensmarken für betrügerische Zwecke zu verhindern, brachte man eine zunächst interne Plattform an den Start, die das Darknet nach gestohlenen Zugangsdaten für NordVPN durchsuchte, automatisiert Domain-Squatting erkannte ("n0rdvpn.com" statt "nordvpn.com") und die NordVPN-eigene Infrastruktur auch im Hinblick auf bekannte Sicherheitslücken abklopfte. Aus diesem internen Werkzeug wurde mit NordStellar bald ein eigenes Produkt, das mittlerweile auch externen Kunden käuflich zur Verfügung steht.

NordStellar: Ersteindruck und Einrichtung

Bei NordStellar handelt es sich nicht um ein Werkzeug zum Download oder ein installierbares Programm, sondern um einen Online-Dienst mit Web-Oberfläche. Diese stellt die vier funktionalen Säulen des Werkzeugs auch optisch ins Zentrum. Im Gespann sollen sie NordStellar-Kunden in die Lage versetzen, Angriffe frühzeitig zu erkennen – idealerweise schon, bevor diese im Gange sind. So soll es frühzeitig möglich sein, entsprechende Gegenmaßnahmen einzuleiten. Damit das funktioniert, benötigt NordStellar allerdings zunächst die Mitarbeit des jeweiligen Kunden. Zwar könnte der Dienst auf gut Glück auch einfach wahllos das Darknet durchforsten oder vor imitierten Domänen warnen. Das aber wäre für den Endkunden kaum hilfreich.

Will man die technischen Möglichkeiten von NordStellar ausreizen, sollte man das Werkzeug daher mit einer Liste der eigenen Assets füttern. Dazu zählen etwa Domainnamen, Hostnamen, betriebene Online-Dienste wie Websites, vorhandene Benutzerzugänge und viele weitere Details. In die Datenbank gelangt dabei im Idealfall jede Art von Ressource, die tatsächlich zum Unternehmen gehört oder mit diesem in einem legitimen Zusammenhang steht. Das Ergebnis dieser zugegebenermaßen etwas langweiligen Fleißarbeit ist idealerweise ein Katalog aller Identitäten und Dienste, mit denen ein Unternehmen online unterwegs ist.

Besonders praktisch: Für Unternehmenskunden bietet NordStellar nicht nur die Möglichkeit, zur Firma gehörende Assets in die Assetliste aufzunehmen. Stattdessen lassen sich hier auf Wunsch auch private Zugangsdaten von Mitarbeitenden hinterlegen, an denen Gauner Interesse haben könnten. Auch hochrangige Politiker oder Manager nutzen das Internet schließlich nicht nur dienstlich. Und aus Sicht eines Angreifers ist letztlich egal, ob etwa Identitätsdiebstahl mit der dienstlichen oder der privaten E-Mail-Adresse erfolgt. Denn Autorität vermittelten beide Adressen gleichermaßen. Indem Unternehmen also auch die privaten Zugänge und Accounts als Asset in NordStellar hinterlegen, schützen sie deren private Netznutzung und sich selbst gleich mit.

Attack Surface Management: Sicherheitslücken erkennen

Auf der Asset-Liste fußen die vier Säulen von NordStellar. Die erste Säule ist dabei die offensichtlichste, nämlich das Abklopfen auf bekannte, aber im jeweiligen Setup nicht reparierte Sicherheitslücken. Dazu bedient sich NordStellar einerseits fortgeschrittener Methoden wie eigens vom Anbieter geschriebener Tests für erkannte und bekanntermaßen verwundbare Dienste. Angegebene Assets wie Nginx, DNS- und Mailserver oder aktuelle Container-Abbilder überprüft NordStellar dann auf Wunsch auf Schwachstellen. Erkennt NordStellar in einem Setup eine ungepatchte Sicherheitslücke, schlägt es in Form eines Reports Alarm. Dieser Alarm lässt sich dann unmittelbar an die im Unternehmen zuständige Person weiterleiten, um des Problems Herr zu werden.

Portscans & Co. zum Schutz vor Remote-Angriffen

Zum Einsatz kommen obendrein relativ einfache technische Tests wie Portscans. Die werden zwar letztlich nicht dafür sorgen, dass ein Setup unverwundbar ist. Sie helfen aber dabei, Ordnung im eigenen Setup zu schaffen. Tauchen beim Portscan etwa plötzlich Systeme auf, die über Port 22 öffentlich aus dem Internet erreichbar sind, obwohl sie das nicht sein sollten, bietet das die Gelegenheit zur genaueren Untersuchung und zur Behebung.

Wohlbemerkt: Die Tests von Nordsteller erkennen nur jene Probleme, die von außen sichtbar oder zu erahnen sind. NordStellar will keine Software auf den Zielsystemen installieren, mit der es dann dauerhaft kommuniziert -- ein solches trojanisches Pferd würde für die Lösung zweifelsohne das Aus vielerorts bedeuten.

Stattdessen mimt NordStellar einen beliebigen externen Besucher und klopft ein Setup im Hinblick darauf ab, was an möglichen Einfallstoren zu finden ist. De facto imitiert NordStellar damit -- wenn auch mit einer guten Intention -- das Verhalten tatsächlicher Hacker. Denn ein systematischer Angriff auf eine Umgebung beginnt heute praktisch immer mit umfassender Recherche und Informationsbeschaffung.

Oft beobachten Angreifer eine Firma über Monate hinweg, wenn sie deren IT infiltrieren wollen. Sie tragen akribisch Informationen über mögliche Einfallstore zusammen, bevor der eigentliche Angriff losgeht. NordStellar tut dasselbe, aber in einer für den Kunden transparenten sowie nachvollziehbaren Art und Weise. Entsprechend weist NordStellar darauf hin, dass das eigene Produkt vor allem Chancengleichheit zwischen Angreifern und ihren auserkorenen Opfern herstellen soll. Denn die automatisierten Tests und Recherchen, die NordStellar seinen Kunden abnimmt, würden in vielen Umgebungen ansonsten schlicht nicht stattfinden.

Datenlecks: Automatisierte Scans in geleakten Daten

In dieselbe Kerbe schlägt die zweite Säule von NordStellar, nämlich die automatische Suche nach verzeichneten Assets in publik gewordenen Datensätzen, sogenannten Leaks. In den Nachrichten sind diese mittlerweile regelmäßig Thema: Einbrecher verschaffen sich unerlaubt Zutritt zu internen Daten von Dienstleistern und stellen diese dann ins Internet. Bestenfalls sind Metadaten wie Namen und E-Mail-Adressen betroffen. Läuft es blöd, finden auch schonmal Passwörter oder Kreditkartendaten ihren Weg ins Internet. Freilich als Handelsware: Gestohlene Kreditkartendaten werden insbesondere im Darknet zu hohen Kursen gehandelt.

Dabei ist das Ausmaß durchaus beachtenswert: Selbst wenn betroffene Kunden auf der ersten Abrechnung nach einem Angriff merken, dass sie Opfer sind, ist oft bereits ein beträchtlicher Schaden entstanden. Denn für einige Tage stand die Karte Dieben zur Verfügung. Entsprechend groß ist der Schaden, wenn Datensätze mit hunderttausenden Einträgen von Kreditkarten in die Hände von Angreifern gelangen. Der Vorteil dabei aus Sicht von NordStellar: Datensätze wie solche mit Passwörtern oder Kreditkartendaten lassen sich sowohl im offiziellen Internet als auch im Darknet systematisch suchen.

Das funktioniert im Prinzip wie die Crawler von Suchmaschinen. NordStellar durchkämmt publik gewordene Datensätze also aktiv und gleicht diese mit den eingepflegten Assets ab. Findet sich eine Übereinstimmung, etwa eine E-Mail-Adresse, die sowohl in der Assetliste als auch in einem Datenleck vorkommt, schlägt der Dienst ebenfalls Alarm in Form eines Reports. Die Anzahl der nutzbaren Parameter dabei ist so groß wie beim Anlegen der Assets selbst. Prüfbar sind also auch Namen, Abkürzungen von Namen, E-Mail-Adressen, Wohnadressen und viele weitere Details.

Der zeitliche Vorsprung eines Angreifers wird so mitunter erheblich reduziert. Betroffene Zugänge lassen sich mitunter reparieren oder temporär sperren, bevor ein großer Schaden entsteht. Das beugt Missbrauch effektiv vor.

Darknet-Monitoring: Überwachung von Foren & Co.

Die dritte Säule hat auch mit dem Darknet zu tun. Denn die NordStellar-Crawler durchforsten das Darknet nicht nur nach Datenlecks, sondern auch nach laufenden Angriffen, neuen Exploits und Diskussionen, in denen sich Angriffe auf Unternehmen oder deren Online-Dienste ankündigen. Dabei entfaltet das Werkzeug große Effektivität. Zwar wissen viele IT-affine Menschen noch, dass sie mit dem Tor-Browser (Download) ins Darknet kommen. Wer sich mit der Materie aber nicht eingehend befasst, kennt weder die dort einschlägigen Foren noch geheime Sites und Dienste.

NordStellar indes sieht sich fortwährend Angriffen auf die eigene Infrastruktur ausgesetzt. Man hat in den vergangenen Jahren deshalb viel Aufwand betrieben, so weit wie möglich auf Augenhöhe mit den entsprechenden Sites und Diensten im Darknet zu sein. Weil das als stiller Leser passiert, fliegt NordStellar dabei vielerorts unter dem Radar und bleibt unbemerkt. Dadurch bezieht der Dienst wertvolle Informationen zu aktuellen und künftigen Bedrohungen und Angriffen -- von Stellen, um deren Existenz der durchschnittliche Internet-Benutzer nicht im Ansatz Bescheid weiß. Die Daten fließen dann aufbereitet in die verschiedenen NordStellar-Werkzeuge ein. Gefundene Exploits beispielsweise führen zu neuen Tests in der direkten Asset-Überwachung. Stellt NordStellar eine Korrelation zwischen einem hinterlegten Asset und einer Angriffsliste im Internet her, informiert es den Kunden darüber per Report, sodass dieser Gegenmaßnahmen einleiten kann.

Domain-Squatting: Phishing verhindern

Die vierte Säule von NordStellar kommt deutlich handfester daher. Im Kern geht es hier darum, Assets proaktiv zu beschützen, indem Unternehmen so genanntes Domain-Squatting unterbinden oder zumindest vor diesem warnen. Unter dem Begriff Domain-Squatting versteht man das Erstellen von Domänen- oder Hostnamen, die große Ähnlichkeit mit legitimen Hostnamen haben, aber eben direkt ins Netz von Betrügern führen. Ein einfaches Beispiel sind Domänennamen, die anstelle eines kleinen L ein großes I oder eine 1 nutzen. So kann aus "volkswagen.de" ganz schnell "vo1kswagen.de" oder "voIkswagen.de" werden. Das Tückische daran: Je nach genutzter Schriftart sehen die Einträge beispielsweise in der Adresszeile des Browsers beinahe identisch aus. Während es also noch leicht ist, eine Phishing-E-Mail nach Bankdaten daran zu erkennen, dass sie nicht auf "postbank.de" verlinkt, sondern auf "postbank.free.ru", ist es je nach gewählter Schriftart schon deutlich schwieriger, "p0stbank.de" als Betrugsversuch zu erkennen. Die genannten Beispiele sind freilich zufällig gewählt. Wer das Problem für vernachlässigbar hält, irrt sich gewaltig: Jeden Tag entsteht echter, erheblicher finanzieller Schaden dadurch, dass Online-Nutzer auf Betrugsversuche dieser Art reinfallen.

NordStellar führt für die hinterlegten Assets und dort insbesondere für Domain- und Hostnamen regelmäßig Tests auf ähnlich lautende Einträge durch. Der Kunde können auf diese Weise, so NordStellar, proaktiv tätig werden und gegen etwaige Betrüger vorgehen.

Allerdings ist diese Funktion ein vergleichsweise stumpfes Schwert. Zwar kann der Dienst Squatting-Domains und Hostnamen erkennen und den Eigentümer des echten Assets vor diesen Warnen. Dessen Möglichkeiten, gegen die Ganoven vorzugehen, sind oft allerdings übersichtlich, da man auf die Kooperation des jeweiligen Hosters angewiesen ist. Inwiefern aber ein Hoster auf den Seychellen beispielsweise ein Interesse daran hat, auf Zuruf eines NordStellar-Kunden den Server eines eigenen Kunden vom Äther zu nehmen, ist unklar.

Allerdings gilt hier auch die Devise, dass es besser ist, von aktiven Squatting-Versuchen zu wissen, als diesbezüglich ahnungslos zu sein. Denn so lassen sich über offizielle Wege und Kanäle zumindest entsprechende Warnungen ausbringen. Diese verhindern in wenigstens dem ein oder anderen Fall, das arglose Internet-Anwender zum Opfer werden.

Bedienung & GUI von NordStellar

Die schönste Lösung für den Schutz vor Bedrohungen ist nicht viel wert, wenn sie nicht gut nutzbar oder zu kompliziert zu bedienen ist. Diesen Vorwurf muss NordStellar sich nicht grundsätzlich gefallen lassen, auch wenn es an einigen Ecken Verbesserungspotenzial gibt. Das zentrale Werkzeug zur Arbeit mit NordStellar ist aus Sicht des Anwenders dessen Web-GUI. Das kommt ziemlich klandestin daher: Schwarze Farben, graue Schriften und in tiefem Dunkel gehaltene Farben legen fast schon den Verdacht nahe, NordStellar sei selbst ein Werkzeug aus einschlägigen Kreisen. Das stimmt natürlich nicht. Wer allerdings helle Benutzerschnittstellen bevorzugt, findet bei NordStellar keinen entsprechenden Modus. Man sitzt also sprichwörtlich im Dunklen.

Das Bedienkonzept ist dafür denkbar eingängig. Auf der linken Seite des Portals findet sich eine Leiste mit den zentralen Punkten, etwa für Zugang zum Asset-Management, einem aktuellen Stream der letzten Ereignisse oder einer Übersicht über den Schutz der hinterlegten Dienste und Geräte. Mehr braucht der Nutzer im Grunde kaum aufzurufen, denn alle Aspekte, um die er sich kümmern muss, sind hier aufgelistet. Bei tieferem Interesse gibt es dann noch Menüpünkte für Domain Squatting, die Suche im Darknet und eine Übersicht über alle größeren Datenlecks der jüngeren Vergangenheit. Auch externe Verwundbarkeiten, die NordStellar in den gelisteten Assets erkannt hat, haben einen eigenen Menüpunkt. Und das war’s: Viel komplizierter wird das GUI nicht.

Alarmierungsoptionen

Ohnehin werden nur die wenigsten Nutzer durchgehend gebannt auf das NordStellar-GUI schauen. Stattdessen ist es sinnvoll, frühzeitig eine umfassende Alarmierung einzurichten. Dafür bietet der Dienst mehrere Optionen. Der Klassiker ist die Alarmierung über eine klassische Mail. An diesen Mails hängen dann auch die im Artikel bereits mehrfach erwähnten Berichte an. Sie sind also so umfassend, dass der Administrator sich beim Empfang einer Mail nicht erst im GUI einloggen muss, um zu wissen, was Sache ist. Voraussetzung dafür ist eine entsprechende, vom Administrator angelegte Alarmregel. Darf es auch etwas moderner zugehen, bietet NordStellar zudem Webhooks für die Anbindung an Slack, an Microsoft Teams so wie an beliebige andere, per ReST erreichbare Dienste. Die Integration für letztere baut der Nutzer sich allerdings selbst. Auf Wunsch ist es zudem möglich, alle in NordStellar hinterlegten Daten zu den eigenen Assets per Export-Funktion herunterzuladen.

Fazit

NordStellar* ist nicht der erste Dienst im Netz, der aktiven Schutz gegen Bedrohungen aus dem Netz verspricht -- und auch nicht der innovativste. Aber er steht mit der Konkurrenz auf Augenhöhe. Technisch ist das Produkt grundsolide. Es erleichtert dem Administrator das Leben erheblich, weil es viele Informationen zusammenträgt, die dieser sich andernfalls mühsam selbst zusammenklauben müsste. Lediglich das Anlegen der Asset-Liste ist eingangs etwas mühsam und klassische Fleißarbeit. Ist dieser Schritt aber geschafft, funktionieren die vier Säulen von NordStellar hervorragend. Ergänzt um den Umstand, dass NordStellar keine Fantasiepreise für die eigene Dienstleistung aufruft, ist die Plattform einen genaueren Blick wert.

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise Download-Team

Weiterlesen: NordVPN im Test: Schnell, stabil - aber auch sicher?