Flexible Security for Your Peace of Mind

Angriffe auf Benutzerkonten und wie man sie abwendet

Bei der Übernahme eines Firmen-Accounts handelt es sich um eine Form des Identitätsdiebstahls, bei der eine unbefugte Person die digitale Identität eines Mitarbeiters stiehlt, um im Namen dieses Nutzers unerkannt Aktionen durchzuführen. Angriffe auf Unternehmenskonten sind deshalb so beliebt, weil sie böswilligen Tätern einen Schutz bieten, unerkannt zu bleiben. Die gestohlene Identität einer vertrauenswürdigen Person macht es extrem schwierig, eine Kompromittierung zu erkennen und verzögert damit die Reaktionszeiten auf einen Angriff. Darüber hinaus übernehmen Angreifer, die eine vertrauenswürdige Identität annehmen, auch die Berechtigungen dieser Identität. Dadurch werden sensible Informationen, auf die der kompromittierte Mitarbeiter Zugriff hat, offengelegt, während die Angreifer gleichzeitig die Möglichkeit haben, ihre Berechtigungen zu erweitern und sich seitlich in der Zielumgebung zu bewegen.

Arten von Angriffen zur Übernahme von Firmen-Accounts

Cyberkriminelle nutzen die Taktik des Identitätsdiebstahls, um in der IT-Umgebung, auf die sie abzielen, zunächst Fuß zu fassen. Durch die Übernahme eines Accounts hat der Angreifer die Möglichkeit, als dieser Benutzer zu agieren, sensible Informationen herunterzuladen, auf andere Systeme, auf die das Konto Zugriff hat überzuwechseln und die Berechtigungen zu erhöhen.

Die in diesem Artikel beschriebenen Angriffe haben einige Gemeinsamkeiten: Sie nutzen normale menschliche Verhaltensweisen und Schwächen aus.

Social engineering 

Haben Sie jemals einen Telefonanruf erhalten, bei dem Sie wussten, dass die Person am anderen Ende nicht authentisch war? Wie wäre es mit einer E-Mail mit einem Anhang oder Link, der nicht echt war? Wenn Sie die Fragen nicht mit “Ja” beantworten können, sind Sie wahrscheinlich Opfer eines Social Engineering-Angriffs geworden. Dieser auf dem Menschen basierende Angriffsvektor nutzt den Entscheidungsprozess aus, indem er eine Person dazu bringt, auf eine bestimmte Weise zu handeln. Oft erfordern diese Angriffe weniger Zeit und Aufwand als die Ausnutzung von Systemschwachstellen.

Tatsächlich konzentrieren sich viele Unternehmen darauf, Angreifer daran zu hindern, Softwarefehler und Fehlkonfigurationen innerhalb ihrer technischen Infrastruktur auszunutzen. Aber was ist mit Schwachstellen, die nicht technischer Art sind? Was ist mit den vertrauenswürdigen Mitarbeitern, die bereits Zugang zu ihrem Netzwerk haben?

Phishing Angriffe

Phishing ist eine Social-Engineering-Technik, die von Cyber-Angreifern eingesetzt wird, um mithilfe von betrügerischen E-Mails, die scheinbar von einer authentischen Quelle stammen, an sensible Informationen (z. B. Benutzerdaten) zu gelangen. Angreifer nutzen Phishing, um ahnungslose Opfer mit kreativen Methoden zur Verschleierung ihrer Kommunikation ins Visier zu nehmen.

Gezielte Phishing-Angriffe haben mit dem Aufkommen der sozialen Medien an Bedeutung gewonnen. Aufgrund der enormen Menge an öffentlichen Informationen, die auf Social-Media-Plattformen verfügbar sind, können Angreifer Phishing-Versuche stark an die Interessen und Emotionen ihres Opfers anpassen, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht. Diese zielgerichteten Versuche werden als Spear-Phishing bezeichnet. Die Mitteilungen sind auf das Opfer zugeschnitten und nutzen seine Interessen und Emotionen, um es zur Weitergabe vertraulicher Informationen oder zur Ausführung von Schadcode zu bewegen.

Passwort-Attacken

Was können Sie im Internet über sich selbst herausfinden? Können Sie Ihr Passwort in Ihrem Social-Media-Konto sehen? Wie sieht es mit dem Abschnitt “Über mich” auf Ihrer Facebook-Seite aus? Menschen neigen dazu, Passwörter zu formulieren, die sie sich leicht merken können. Lieblingsessen, Lieblingssport, Lieblingssaison und Mädchenname sind einige gängige Beispiele, die Menschen für ihr Passwort verwenden. Selbst komplexe Passwörter können unsicher sein, da Menschen oft dasselbe Passwort für mehrere Plattformen verwenden. Wenn eine dieser Plattformen kompromittiert wird und das Passwort der Person in Erfahrung gebracht wird, kann es für die Authentifizierung auf anderen Plattformen verwendet werden. Aus diesen Gründen ist die passwortbasierte Ein-Faktor-Authentifizierung eher schwach und riskant.

Brute-Force-Angriffe

Brute-Force-Angriffe auf Passwörter versuchen, ein Passwort durch Erraten aller möglichen Kombinationen zu entschlüsseln. Die Zeit, die zum Knacken eines Passworts benötigt wird, hängt weitgehend von der Komplexität und Vorhersagbarkeit des Passworts sowie von den Ressourcen (z. B. Rechenleistung) ab, die dem Angreifer zur Verfügung stehen. Böswillige Täter sammeln oft vorab Informationen über ihre Ziele, indem sie öffentliche Quellen (z. B. Konten in sozialen Medien, Unternehmenswebsites usw.) nutzen, um eine Liste von Wörterbuchwörtern zu erstellen. Anschließend verwenden sie Tools zum Knacken von Passwörtern, um auf der Grundlage der Wortliste automatisch alle möglichen Kombinationen auszuprobieren. Bei dieser Variante des Brute-Force-Angriffs, die als Wörterbuchangriff bezeichnet wird, wird davon ausgegangen, dass das Ziel eine Variation des Wörterbuchworts verwendet, und der Zeit- und Arbeitsaufwand für das erfolgreiche Erzwingen des Passworts eines Benutzers kann verringert werden.

Credential Stuffing

Wie bereits erwähnt, neigen Menschen dazu, dasselbe Passwort für mehrere Plattformen zu verwenden. Warum ist das gefährlich? Nun, Cyberangriffe sind mittlerweile an der Tagesordnung. Credential Stuffing-Angriffe nutzen die aus früheren Angriffen gewonnenen Informationen, um Kombinationen von Benutzernamen und Kennwörtern einzuschleusen, um Zugriff auf das Konto eines Ziels zu erhalten.

Festlegung allgemeiner Schutzmaßnahmen

An dieser Stelle sei darauf hingewiesen, dass es so etwas wie absolute Sicherheit nicht gibt und dass immer ein Restrisiko bestehen wird. Im Folgenden werden einige gängige Schutzmaßnahmen vorgestellt, die die Wahrscheinlichkeit und die Auswirkungen einer Kompromittierung verringern.

Umsetzung des Least-Privilege-Prinzips

In der heutigen Bedrohungslandschaft sollte man davon ausgehen, dass eine Kompromittierung jederzeit möglich ist. Diese Realität erfordert eine verstärkte Konzentration auf die Begrenzung der Auswirkungen von Cybervorfällen. Eine Möglichkeit, diese Auswirkungen zu begrenzen, ist die Anwendung des Prinzips der geringsten Rechte (Least-Privilege-Prinzip), bei dem der Schwerpunkt darauf liegt, Benutzern und Programmen nur den Zugriff zu gewähren, den sie zur Erfüllung der ihnen zugewiesenen Aufgaben benötigen, und nicht mehr. Dies unterstützt die Vision “never trust, always verify” einer Zero-Trust-Architektur.

Im Zusammenhang mit der Übernahme von Unternehmenskonten schränkt eine Organisation, die das Least-Privilege-Prinzip umsetzt, die einem erfolgreichen Angreifer gewährten Berechtigungen ein und reduziert die Möglichkeiten des Angreifers, sich seitlich innerhalb der IT-Umgebung zu bewegen.

Sensibilisierung und Schulung von Mitarbeitern erforderlich

Wie bereits erwähnt, profitieren Angreifer von normalen menschlichen Verhaltensweisen. Im Folgenden sind einige Beispiele für häufige Benutzergewohnheiten zusammengestellt:

  • Verwendung desselben Passworts für mehrere (oder alle) Konten.
  • Speichern von Passwörtern in digitalen Dokumenten im Klartext oder Aufschreiben von Passwörtern.
  • Anklicken von Links in E-Mails, bevor der Absender der E-Mail und die Authentizität des Links überprüft wurden.
  • Die Bereitschaft, anderen zu helfen, die in Not sind.

Sensibilisierungs- und Schulungsprogramme sind daher von entscheidender Bedeutung, wenn es darum geht, den Mitarbeitern die von Cyberkriminellen aktuell verwendeten Techniken näher zu bringen und so gängige Verhaltensmuster zu ändern.

Wenn es um Passwörter geht, kann man mit Schulungen nur bedingt weiterkommen. Ein Dienst zur Erkennung von kompromittierten Passwörtern kann bereits kompromittierte Passwörter finden und blockieren. Mit dem kostenlosen Tool Specops Password Auditor können Sie feststellen, wie viele Active Directory-Konten kompromittierte oder schwache Passwörter verwenden.

Anwendung einer Defense-in-Depth-Strategie

Eine Defense-in-Depth- Strategie wendet Sicherheitsmaßnahmen mit einem mehrstufigen Ansatz an. Der Schwerpunkt liegt dabei auf dem Aufbau von Schutzmaßnahmen, die Angriffe abschwächen, die nicht von einer der vorherigen Verteidigungslinien abgefangen wurden.

Ein Unternehmen, das Multi-Faktor-Authentifizierung einsetzt, verringert das Risiko einer Kompromittierung von Anmeldedaten, indem es den Schutz eines Ein-Faktor-Passworts (das Sie kennen) mit einem zusätzlichen Faktor (z. B. etwas, das Sie besitzen) kombiniert. Wenn die Anmeldedaten eines Mitarbeiters kompromittiert werden, verhindert der zweite Authentifizierungsfaktor, dass der Angreifer die Anmeldedaten verwenden kann, da er keinen Zugriff auf beide Authentifizierungsfaktoren hat.

Fazit

Solide Sicherheitsprozesse und die Sensibilisierung und Schulung der Mitarbeiter können dazu beitragen, die Erfolgswahrscheinlichkeit eines Angreifers zu verringern. Dennoch ist eine Kompromittierung immer nur einen ahnungslosen Benutzer weit entfernt. Deshalb ist es am besten, immer davon auszugehen, dass es zu einer Kompromittierung kommen wird. Der zusätzliche Fokus sollte darauf liegen, die Auswirkungen des Angriffs zu begrenzen, indem eine Kombination aus der Implementierung des Least-Privilege-Prinzips und einer Defense-in-Depth-Strategie angewendet wird.

(Zuletzt aktualisiert am 20/01/2022)

Zurück zum Blog