Als Cybersecurity Consultant im Compromise Recovery Team von Microsoft kennt Dagmar Heidecker die verheerenden Auswirkungen von Cyberangriffen aus der Praxis. In Ihrem Kommentar erläutert sie wie Cyberangriffe funktionieren und Unternehmen lahmlegen – und wie sich diese schützen können. [...]
Auch dieser Montag fing an, wie jeder in den Wochen davor. Das änderte sich jedoch schlagartig, als Klaus M. die ersten verzweifelten Anrufe seiner Kollegen aus der IT-Abteilung erreichten. Sah es zunächst noch so aus, als wäre nur eine unternehmenskritische Applikation ausgefallen, zeigte sich rasch, dass alle wesentlichen Systeme massive Probleme hatten. Kurze Zeit später konnten sich Mitarbeiter nicht mehr an ihren Computern anmelden und eine Überprüfung ergab, dass zahlreiche Systeme bereits verschlüsselt waren.
Die parallel dazu eingehende Lösegeldforderung bestätigte nur noch was M. und seinen Kollegen zu diesem Zeitpunkt längst klar war: Das Unternehmen wurde erpresst. Und die Erpresser meinten es sehr ernst damit. In den Werkshallen war es nun ungewöhnlich ruhig. Das Produktionssystem stand still und auch das Logistiksystem war nicht mehr zugänglich. Nichts ging mehr. Das Unternehmen stand buchstäblich mit dem Rücken zur Wand.
Obwohl das Thema „Ransomware“ inzwischen beinahe täglich in den Medien auftaucht, ist der Ablauf eines derartigen Angriffs für die meisten Menschen nach wie vor ein Mysterium. Im Internet mangelt es nicht an tieftechnischen Dokumenten und Demos zu dem Thema, sucht man jedoch nach einfach verständlicher Information wird man selten fündig. Ich will daher den Versuch unternehmen, die technischen Hintergründe und die dringend notwendigen Gegenmaßnahmen zu erklären.
Eine Klarstellung: Auch mit geeigneten Sicherheitsmaßnahmen ist es heutzutage kaum möglich die Kompromittierung eines einzelnen Computers im Zuge eines ernst gemeinten Angriffs 100-prozentig zu verhindern. Was sich jedoch sehr wohl vermeiden lässt, ist die Verschlüsselung gesamter Netzwerke beziehungsweise der Diebstahl sämtlicher in einem Unternehmen vorhandener Daten und Betriebsgeheimnisse mit anschließender Lösegeldforderung. Die notwendigen Gegenmaßnahmen sind unbequem, technisch komplex und sind somit personalintensiv, aber keinesfalls neu.
Alle Angriffe haben eine Gemeinsamkeit
Die Angriffe unterscheiden sich im Detail und werden laufend weiterentwickelt, haben aber stets eine Gemeinsamkeit: Diebstahl von Anmeldeinformationen (besser bekannt als „Credential Theft“). Hinter dem sperrigen Begriff verstecken sich zwischengespeicherte Informationen, welche die Anmeldung (Authentifizierung) am Betriebssystem, Applikationen oder Webseiten ermöglichen beziehungsweise erleichtern. Abhängig von der Authentifizierungsmethode sind diese Informationen mehr oder weniger gut vor Diebstahl geschützt. Es ist nicht weiter überraschend, dass moderne Authentifizierungsmethoden einen besseren Schutz bieten als ältere. Gerade in Unternehmensnetzwerken gibt es so gut wie immer betriebsnotwendige Altlasten-Software, die eine Umstellung auf die jeweils sicherste Authentifizierungsmethoden unmöglich macht. Entscheidend für das Schadenspotential eines Angriffs ist jedoch nicht nur der Diebstahl der Anmeldeinformationen, sondern vor allem die Wiederverwendbarkeit dieser. Ein einfaches Beispiel zur Illustration: Entgegen sämtlichen Empfehlungen verwendet Herr A. das gleiche Passwort für diverse Social-Media-Konten, sein Bankkonto und das Webportal des Stromanbieters. Würde dieses Passwort in die Hände eines Angreifers gelangen, hätte dieser nun auf diversen Plattformen wiederverwendbare Anmeldeinformationen („reusable credentials“). Würde Herr A. hingegen – wie empfohlen – verschiedene Passwörter verwenden, hätte der Angreifer lediglich Zugang zu dem einen, zugehörigen Konto.
Hochpriviligierte Konten – ein Jackpot für Angreifer
In Unternehmensnetzwerken stellt sich die Situation typischerweise etwas komplexer dar. Zum einen gibt es die bereits erwähnten Altlasten, zum anderen gibt es Benutzer, die mit Recht eine möglichst einfache Methode zur Anmeldung und unkomplizierten Zugriff auf IT-Ressourcen fordern. Gleichzeitgig ist das Durchsetzen eines zeitgemäßen IT-Sicherheitsniveaus teuer und die Notwendigkeit noch nicht in allen Chefetagen angekommen.
Die Anmeldung (Authentifizierung) der Benutzer in Unternehmensnetzwerken erfolgt mehrheitlich über das Kerberos-Protokoll, welches in den späten 1970er Jahren vom MIT (Massachusetts Institute of Technology) entwickelt wurde. Natürlich wird es laufend verbessert, die Grundprinzipien blieben aber unverändert: Authentifizierung durch eine vertrauenswürdige dritte Partei (in Windows-Netzwerken der Domain Controller (DC)), gegenseitige Authentifizierung von Client und Server, symmetrische Verschlüsselung der „Tickets“ und Single-Sign-on (d.h. der Benutzer muss nur einmal sein Passwort eingeben und kann im Anschluss alle verfügbaren Netzwerkdienste nutzen).
Die Single-Sign-On-Funktionalität bedingt, dass wiederverwendbare Anmeldeinformationen übertragen werden. Meldet sich zum Beispiel ein Benutzer mittels RDP (Remote Desktop Protocol, auch bekannt als Terminal Server) an einem Server an, werden wiederverwendbare Anmeldeinformationen übertragen, um die Single-Sign-On Funktionalität auch am Zielsystem zu gewährleisten. In einem Unternehmensnetzwerk gibt es unterschiedlich „mächtige“ Berechtigungsstufen, deren Anmeldeinformationen für Angreifer mehr oder weniger attraktiv sind. Herr B. hat womöglich Zugriff auf sensible Daten, während hingegen Frau C. in der IT-Abteilung arbeitet und administrativen Zugriff auf diverse Systeme (unter anderem auch die Windows Domäne) besitzt. Während der Diebstahl von B.s Anmeldeinformationen den Diebstahl der sensiblen Daten ermöglichen würde, gleicht der Diebstahl der Anmeldeinformationen von C.s Admin-Konto dem Hacker-Jackpot: mit Hilfe dieser Anmeldeinformationen können sich Angreifer Zugriff auf so gut wie alle Daten verschaffen und anschließend große Bereiche des Netzwerks verschlüsseln.
Es ist folglich oberstes Gebot die Anmeldedaten von C.s Admin-Konto vor Diebstahl zu schützen, indem man technisch verhindert, dass diese an nicht-vertrauenswürdige Systeme (d.h. Computer, die eine erhöhte Chance haben kompromittiert zu werden, wie z.B. Clients oder aus dem Internet erreichbare Server) übertragen werden. Nicht nur Benutzer und Administratoren, sondern auch Clients, Server und Dienstkonten melden sich an einer Windows Domäne an und übertragen – je nach Anmeldetyp auch wiederverwendbare Anmeldeinformationen an das Zielsystem. Bedenken Sie auch, dass Keylogger eine beliebte Methode zum Abgreifen von Passwörtern darstellen. Die beliebte Methode sich vom Arbeitsplatz-Computer per RDP zum Domain Controller (oder einem ähnlich sensiblen System zu verbinden), ist höchst riskant und folglich als nicht mehr zeitgemäß einzustufen. –
Hacker brechen nicht ein, sie melden sich (am System) an
Auch auf die Gefahr hin einen Aufschrei zu verursachen: Eine lediglich geringfügige Verbesserung lasst sich durch den Einsatz von Multi-Factor-Authentifizierung erreichen. Führen Sie sich vor Augen: Ihre Tastatureingaben landen am Zielsystem. Ein Angreifer, der Ihren Computer übernommen hat, kann ebenso Tastatureingaben an das Zielsystem schicken, sobald Sie die Multi-Factor-Authentifizierung durchgeführt haben. Microsofts Chief Information Security Officer Bret Arsenault brachte es auf den Punkt: „Hackers don’t break in, they log in“.
Hackers don’t break in, they log in
Bret Arsenault, Chief Information Security Officer, Microsoft
Aus diesem Grund schreibt das „Netz- und Informationssicherheitsgesetz – NISG“ den Betreibern wesentlicher Dienste – wozu Unternehmen der Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur gehören – die Verwendung eines „Administrativen Systems“ vor.
Ein „Administratives System“ im Sinne des NIS ist ein Computer, der ausschließlich für den Zweck der Administrationstätigkeit vorgesehen ist und nicht für andere Tätigkeiten verwendet wird. Das heißt: kein oder sehr eingeschränkter Internetzugang, keine Applikationen und sinnvollerweise mit allen vorhandenen Methoden gehärtet.
So fatal Versäumnisse hinsichtlich des Schutzes (hoch-)privilegierter Identitäten auch sind, einen erfolgreichen Angriff machen Sie allein noch nicht aus. Dazu gehört noch ein Einfallstor wie z.B. ein nicht mit den aktuellen Sicherheitsupdates versorgter Server oder Client beziehungsweise eine darauf laufende Anwendung, überbordende Berechtigungen und das Pech, von Angreifern als lohnendes Ziel eingestuft zu werden.
Knowhow: Administrative Systeme, auch bekannt als „Privileged Access Workstations“ (PAW)
Computer mit Internetzugang, E-Mail-Client und sonstigen Anwendungen müssen leider als potentiell kompromittiert betrachtet werden und bieten keinesfalls das notwendige Sicherheitsniveau, um als Ausgangspunkt für administrative Tätigkeiten zu dienen. Auch die beliebten „Jumpserver“ bringen keinen Sicherheitsvorteil, solange der Ausgangspunkt der administrativen Tätigkeiten ein potenziell kompromittiertes System ist. Der Ausgangspunkt der administrativen Tätigkeit ist der Rechner auf dessen Tatstatur ein Admin sein Passwort oder seinen MFA-Code eingibt, seine Smartcard oder seinen FIDO2-Token eingesteckt hat. Die einzige und gleichzeitig effizienteste Möglichkeit dieses Dilemma zu lösen, ist die Verwendung eines „Administrativen Systems“, auch bekannt als „Privileged Access Workstation“.
Microsoft stellt eine Anleitung zur Implementierung einer PAW inklusive Konfigurationsscripts unter Deploying a privileged access solution auf Englisch zur Verfügung.
Ebenfalls empfehlenswert: Securing Active Directory – Best Practices for Securing Active Directory Microsoft Tech Talks von Dagmar Heidecker und Andreas Luy zum Thema PAW and Tiered Administration (in Englischer Sprache) – https://MTT.eventbuilder.com/event/56607.
Vier Fehler, die Sie unbedingt vermeiden sollten
Quick Check: Wie gut ist Ihr Unternehmen gegen auf „Credential Theft“ basierende Angriffe geschützt? Vier Fehler, welche die Chance kompromittiert zu werden, massiv erhöhen:
- Werden Administrative Systeme/Privileged Access Workstations für administrative Tätigkeiten genutzt?
- In einer Active Directory Domäne: Könnte sich ein Domänen-Administrator-Konto am Arbeitsplatzrechner eines normalen Benutzers anmelden? Achtung: Bei dieser Frage geht es nicht darum, ob es im täglichen Betrieb gemacht wird!
- Werden Konten in deren Kontext Dienste gehärtet (Einschränkung der Anmeldetypen, extralanges Passwort, keine RC4-Kerberos-Tickets etc.)?
- Überwachen Sie die Verwendung hochpriviligierter Konten in Ihrer Umgebung? Falls ja, ist das verantwortliche Team so aufgestellt, dass es zeitnah auf Alarme reagieren kann?
*Dagmar Heidecker ist Cybersecurity Consultant im Compromise Recovery Team (CRSP) von Microsoft.
Be the first to comment