Identitätsdiebstahl verhindern, Ransomware ausbremsen

Hacker- und Malware-Angriffe sind trotz vielfältiger Sicherheitsmaßnahmen weiterhin äußerst erfolgreich. Die meisten Ransomware- oder Cyberattacken basieren auf dem Diebstahl von Identitäten und Anmeldeinformationen. [...]

Anmeldedaten sind die begehrteste Datenkategorie bei Sicherheitsverletzungen. (c) Pixabay

In nahezu allen Unternehmen existieren Endgeräte, auf denen Anmeldeinformationen nicht ausreichend geschützt sind, zum Beispiel zwischengespeicherte Anmeldeinformationen von privilegierten Accounts oder Zugangsdaten zu kritischen Systemen. Genau diese Schwachstellen dienen als Einfallstor und gehören mittlerweile in jedem Unternehmen zum Alltag. Eine Tatsache, die Cyberkriminelle weidlich ausnutzen. Diverse Ransomware ist zum Beispiel bekannt dafür, Sitzungen zu kapern, und Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen. Sie brauchen einen Remotezugang zu einem Unternehmen? Einfach mal shoppen gehen…

Laut Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen, und nach Angaben der Identity Defined Security Alliance verzeichneten 79 Prozent der Unternehmen in den letzten beiden Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten. Zwei Beispiele, die deutlich machen, dass Handlungsbedarf besteht und aktuelle Schutzmaßnahmen ganz offensichtlich nicht ausreichen.

Schutz von Identitäten: Trotz spezialisierter Lösungen lückenhaft

Den Verantwortlichen im Unternehmen ist häufig nicht klar, wie leicht Angreifer noch immer an Anmeldedaten kommen. Kriminelle können sich damit ungestört am Netzwerk anmelden und aus dieser sicheren Umgebung heraus die meisten Verteidigungsmaßnahem umgehen. Mit den bekannten Folgen wie Datenklau oder Erpressung.

Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Identity und Access Management-Lösungen (IAM) bieten einen gewissen Schutz. Aber sie hinterlassen haufenweise blinde Flecken, die Angreifer mit schöner Regelmäßigkeit ausnutzen. Im Wesentlichen gibt es zwei Gründe, warum Cyberkriminelle diese blinden Flecke immer noch erfolgreich nutzen können. Zum einen ist die Abstimmung zwischen IT und Sicherheitsteams längst nicht immer ideal, zum anderen gibt es innerhalb bestehender Identitätslösungen reichlich Lücken. Identitätsmanagement-Lösungen sind schlicht nicht konzipiert, um Unbekanntes aufzudecken oder komplexe Active Directory-Strukturen zu entwirren. Das sehen auch die Analysten von Gartner so: “Viele Datenschutzverletzungen werden durch Sicherheits- und Identity-Tools verursacht, die fehlerhaft oder unvollständig konfiguriert wurden oder deren Konfiguration veraltet ist.”

Gestohlene Anmeldedaten – das unterschätzte Risiko

Mit gestohlenen Anmeldedaten melden sich Hacker problemlos im Netzwerk an, oft auch noch über das Internet, und können dann mit den Rechten des Benutzers im Netzwerk agieren.

Gerade die jüngste Erfahrung hat gezeigt, dass die Angriffe oft unentdeckt bleiben, bis größerer Schaden entsteht, oder ein Angreifer im internen Netzwerk noch weitere Identitäten übernehmen kann. Was Anwender und Profis im IT-Umfeld verkennen: Hacker brechen meistens nicht ein, sie melden sich einfach im Netzwerk mit gestohlenen Anmeldedaten an. Unternehmen sollten den Schutz von Anmeldedaten und Identitäten von Benutzern, Diensten und Computern deshalb in den Fokus stellen. Das gilt natürlich insbesondere für privilegierte Konten.
PAM, MFA, SSO, Zero Trust und Co….

Es existieren etliche Technologien zum Schutz von Anmeldedaten, die für sich genommen einzelne Bereiche durchaus schützen können. Allerdings arbeiten diese Technologien nicht zusammen – eher handelt es sich um Insellösungen, die parallel zueinander arbeiten. Dadurch entstehen zahlreiche Lücken. Dazu kommt, dass die Sicherheitstechnologien nicht selten von verschiedenen Abteilungen verwaltet werden. Auch das sorgt nicht unbedingt für mehr Transparenz und weniger Lücken. Zudem sind die Lösungen komplex. Es erfordert viel Zeit, die betreffenden Features einzurichten und die Lösungen zu verwalten und zu überwachen. Genau diese Zeit meistens oder es mangelt an ausreichend qualifiziertem Personal. Das führt zu weiteren Lücken. Und auch hier haben Angreifer die Chance, sich relativ problemlos in den Besitz von Anmeldedaten zu bringen. Zudem ist die Verwaltung von Anmeldediensten wie Microsoft Azure Directory oder Azure AD alles andere als trivial. Schlussendlich bringen diese Herausforderungen bestehende Technologien und Architekturen wie PAM, MFA, SSO, Zero Trust an ihre Grenzen.

Angreifbare, lokale Administrator-Konten und das Risiko von Schatten-Administratoren

Personal- und Zeitmangel führen dazu, dass annähernd 90 Prozent der lokalen Administratoren nicht in PAM-Lösungen erfasst werden. Dazu kommt, dass die Hälfte aller privilegierten Konten fehlerhafte Benutzerberechtigungen aufweisen und viel zu viele Rechte im Netzwerk haben. Das macht sie für Angreifer zu einer leichten Beute. Solche „Schatten-Administratoren“ bergen in Netzwerken ein großes Risiko. Sie sind noch weniger gut geschützt: Angriffe auf diese Konten bleiben meist unbemerkt, während sich Eindringlinge ungestört mit Administrator-Rechten im Netzwerk bewegen. Ähnliches gilt für Service-Konten.

Aber nicht nur Schatten-Administratoren, sondern auch die Schatten-IT ist für Unternehmen ein Sicherheitsrisiko. Hier betreiben Fachabteilungen in Unternehmen eigene IT-Systeme mit eigenen Anmeldeinformationen. Diese Systeme sind nicht in die Organisation der IT eingebunden und in den meisten Fällen nahezu ungeschützt. Angreifer konzentrieren sich gerne auf solche Schattensysteme und versuchen nach der (meist nicht allzu schwierigen) Übernahme sich von dort aus einen Weg in die offizielle IT-Infrastruktur zu bahnen.

Wie können sich Unternehmen besser vor Diebstahl und Missbrauch von Anmeldeinformationen schützen?

Wie aber konnte es dazu kommen, dass Identitätsmanagement-Lösungen solche Schwachstellen aufweisen? Die Lösungen wurden entwickelt, um neue Benutzer, Anwendungen und Systeme zentralisiert zu verwalten. Primär dienen sie der Bereitstellung, nicht der Sicherheit. Privileged-Account-Management-Lösungen (PAM) sind entwickelt worden, um die Ausbreitung und den Wildwuchs von privilegierten Accounts in den Griff zu bekommen. Tatsächlich beseitigen sie überflüssige privilegierte Accounts jedoch nicht. Viele Dienste und Anwendungen sind zudem nicht kompatibel mit PAM. Besonders besorgniserregend ist, dass diese Lösungen keinerlei Einblick in unbekannte Identitätsrisiken bieten und trotzdem ein trügerisches Gefühl von Sicherheit vermitteln. Eine zentrale Aufgabe besteht darin, die Lücken im Kontext des Risikomanagements zu identifizieren und proaktiv anfällige Anmeldeinformationen und Verbindungen zu beseitigen. Dies verhindert, dass Angreifer sich einen privilegierten Zugriff überhaupt verschaffen können. Diese Funktionen lassen sich beispielsweise über eine Identity Risk Management-Plattform zentral verwalten. Die erlaubt es, die unterschiedlichen Technologien zum Schutz vor Diebstahl und Missbrauch von Anmeldeinformationen zu automatisieren und das Risiko kontinuierlich zu senken.

Fazit

Angreifer konnten über Jahre ungeschützte privilegierte Identitäten erfolgreich ausnutzen und werden dies auch weiterhin tun. Cyberangriffe nehmen weiter zu und werden immer raffinierter. Durch die erfolgreiche Übernahme eines privilegierten Kontos werden in den meisten Fällen die bisherigen Investitionen in die Sicherheitsinfrastruktur nahezu wertlos. Denn die Angreifer haben sich bereits erfolgreich im Netzwerk authentifiziert und viele Sicherheitslösungen konzentrieren sich auf Angriffe von außen. Sicherheitsfachleute sollten deshalb unbedingt dafür sorgen, dass in den von ihnen betreuten Netzwerken ungeschützte Identitäten nicht zum ungewollten Einfallstor werden. Der bessere Schutz aller anfälligen Identitäten ist eines der zentralen Themen für die nächsten Jahre.

*Der Autor Wolfgang Halbartschlager ist Senior Sales Engineer bei llusive Networks.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*