Hacker- und Malware-Angriffe sind trotz vielfältiger Sicherheitsmaßnahmen weiterhin äußerst erfolgreich. Die meisten Ransomware- oder Cyberattacken basieren auf dem Diebstahl von Identitäten und Anmeldeinformationen. [...]
In nahezu allen Unternehmen existieren Endgeräte, auf denen Anmeldeinformationen nicht ausreichend geschützt sind, zum Beispiel zwischengespeicherte Anmeldeinformationen von privilegierten Accounts oder Zugangsdaten zu kritischen Systemen. Genau diese Schwachstellen dienen als Einfallstor und gehören mittlerweile in jedem Unternehmen zum Alltag. Eine Tatsache, die Cyberkriminelle weidlich ausnutzen. Diverse Ransomware ist zum Beispiel bekannt dafür, Sitzungen zu kapern, und Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen. Sie brauchen einen Remotezugang zu einem Unternehmen? Einfach mal shoppen gehen…
Laut Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen, und nach Angaben der Identity Defined Security Alliance verzeichneten 79 Prozent der Unternehmen in den letzten beiden Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten. Zwei Beispiele, die deutlich machen, dass Handlungsbedarf besteht und aktuelle Schutzmaßnahmen ganz offensichtlich nicht ausreichen.
Schutz von Identitäten: Trotz spezialisierter Lösungen lückenhaft
Den Verantwortlichen im Unternehmen ist häufig nicht klar, wie leicht Angreifer noch immer an Anmeldedaten kommen. Kriminelle können sich damit ungestört am Netzwerk anmelden und aus dieser sicheren Umgebung heraus die meisten Verteidigungsmaßnahem umgehen. Mit den bekannten Folgen wie Datenklau oder Erpressung.
Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Identity und Access Management-Lösungen (IAM) bieten einen gewissen Schutz. Aber sie hinterlassen haufenweise blinde Flecken, die Angreifer mit schöner Regelmäßigkeit ausnutzen. Im Wesentlichen gibt es zwei Gründe, warum Cyberkriminelle diese blinden Flecke immer noch erfolgreich nutzen können. Zum einen ist die Abstimmung zwischen IT und Sicherheitsteams längst nicht immer ideal, zum anderen gibt es innerhalb bestehender Identitätslösungen reichlich Lücken. Identitätsmanagement-Lösungen sind schlicht nicht konzipiert, um Unbekanntes aufzudecken oder komplexe Active Directory-Strukturen zu entwirren. Das sehen auch die Analysten von Gartner so: “Viele Datenschutzverletzungen werden durch Sicherheits- und Identity-Tools verursacht, die fehlerhaft oder unvollständig konfiguriert wurden oder deren Konfiguration veraltet ist.”
Gestohlene Anmeldedaten – das unterschätzte Risiko
Mit gestohlenen Anmeldedaten melden sich Hacker problemlos im Netzwerk an, oft auch noch über das Internet, und können dann mit den Rechten des Benutzers im Netzwerk agieren.
Gerade die jüngste Erfahrung hat gezeigt, dass die Angriffe oft unentdeckt bleiben, bis größerer Schaden entsteht, oder ein Angreifer im internen Netzwerk noch weitere Identitäten übernehmen kann. Was Anwender und Profis im IT-Umfeld verkennen: Hacker brechen meistens nicht ein, sie melden sich einfach im Netzwerk mit gestohlenen Anmeldedaten an. Unternehmen sollten den Schutz von Anmeldedaten und Identitäten von Benutzern, Diensten und Computern deshalb in den Fokus stellen. Das gilt natürlich insbesondere für privilegierte Konten.
PAM, MFA, SSO, Zero Trust und Co….
Es existieren etliche Technologien zum Schutz von Anmeldedaten, die für sich genommen einzelne Bereiche durchaus schützen können. Allerdings arbeiten diese Technologien nicht zusammen – eher handelt es sich um Insellösungen, die parallel zueinander arbeiten. Dadurch entstehen zahlreiche Lücken. Dazu kommt, dass die Sicherheitstechnologien nicht selten von verschiedenen Abteilungen verwaltet werden. Auch das sorgt nicht unbedingt für mehr Transparenz und weniger Lücken. Zudem sind die Lösungen komplex. Es erfordert viel Zeit, die betreffenden Features einzurichten und die Lösungen zu verwalten und zu überwachen. Genau diese Zeit meistens oder es mangelt an ausreichend qualifiziertem Personal. Das führt zu weiteren Lücken. Und auch hier haben Angreifer die Chance, sich relativ problemlos in den Besitz von Anmeldedaten zu bringen. Zudem ist die Verwaltung von Anmeldediensten wie Microsoft Azure Directory oder Azure AD alles andere als trivial. Schlussendlich bringen diese Herausforderungen bestehende Technologien und Architekturen wie PAM, MFA, SSO, Zero Trust an ihre Grenzen.
Angreifbare, lokale Administrator-Konten und das Risiko von Schatten-Administratoren
Personal- und Zeitmangel führen dazu, dass annähernd 90 Prozent der lokalen Administratoren nicht in PAM-Lösungen erfasst werden. Dazu kommt, dass die Hälfte aller privilegierten Konten fehlerhafte Benutzerberechtigungen aufweisen und viel zu viele Rechte im Netzwerk haben. Das macht sie für Angreifer zu einer leichten Beute. Solche „Schatten-Administratoren“ bergen in Netzwerken ein großes Risiko. Sie sind noch weniger gut geschützt: Angriffe auf diese Konten bleiben meist unbemerkt, während sich Eindringlinge ungestört mit Administrator-Rechten im Netzwerk bewegen. Ähnliches gilt für Service-Konten.
Aber nicht nur Schatten-Administratoren, sondern auch die Schatten-IT ist für Unternehmen ein Sicherheitsrisiko. Hier betreiben Fachabteilungen in Unternehmen eigene IT-Systeme mit eigenen Anmeldeinformationen. Diese Systeme sind nicht in die Organisation der IT eingebunden und in den meisten Fällen nahezu ungeschützt. Angreifer konzentrieren sich gerne auf solche Schattensysteme und versuchen nach der (meist nicht allzu schwierigen) Übernahme sich von dort aus einen Weg in die offizielle IT-Infrastruktur zu bahnen.
Wie können sich Unternehmen besser vor Diebstahl und Missbrauch von Anmeldeinformationen schützen?
Wie aber konnte es dazu kommen, dass Identitätsmanagement-Lösungen solche Schwachstellen aufweisen? Die Lösungen wurden entwickelt, um neue Benutzer, Anwendungen und Systeme zentralisiert zu verwalten. Primär dienen sie der Bereitstellung, nicht der Sicherheit. Privileged-Account-Management-Lösungen (PAM) sind entwickelt worden, um die Ausbreitung und den Wildwuchs von privilegierten Accounts in den Griff zu bekommen. Tatsächlich beseitigen sie überflüssige privilegierte Accounts jedoch nicht. Viele Dienste und Anwendungen sind zudem nicht kompatibel mit PAM. Besonders besorgniserregend ist, dass diese Lösungen keinerlei Einblick in unbekannte Identitätsrisiken bieten und trotzdem ein trügerisches Gefühl von Sicherheit vermitteln. Eine zentrale Aufgabe besteht darin, die Lücken im Kontext des Risikomanagements zu identifizieren und proaktiv anfällige Anmeldeinformationen und Verbindungen zu beseitigen. Dies verhindert, dass Angreifer sich einen privilegierten Zugriff überhaupt verschaffen können. Diese Funktionen lassen sich beispielsweise über eine Identity Risk Management-Plattform zentral verwalten. Die erlaubt es, die unterschiedlichen Technologien zum Schutz vor Diebstahl und Missbrauch von Anmeldeinformationen zu automatisieren und das Risiko kontinuierlich zu senken.
Fazit
Angreifer konnten über Jahre ungeschützte privilegierte Identitäten erfolgreich ausnutzen und werden dies auch weiterhin tun. Cyberangriffe nehmen weiter zu und werden immer raffinierter. Durch die erfolgreiche Übernahme eines privilegierten Kontos werden in den meisten Fällen die bisherigen Investitionen in die Sicherheitsinfrastruktur nahezu wertlos. Denn die Angreifer haben sich bereits erfolgreich im Netzwerk authentifiziert und viele Sicherheitslösungen konzentrieren sich auf Angriffe von außen. Sicherheitsfachleute sollten deshalb unbedingt dafür sorgen, dass in den von ihnen betreuten Netzwerken ungeschützte Identitäten nicht zum ungewollten Einfallstor werden. Der bessere Schutz aller anfälligen Identitäten ist eines der zentralen Themen für die nächsten Jahre.
*Der Autor Wolfgang Halbartschlager ist Senior Sales Engineer bei llusive Networks.
Be the first to comment