Email Security

    7 Wege zum Schutz vor Diebstahl von Zugangsdaten

    Die meisten Datenschutzverletzungen stehen im Zusammenhang mit gestohlenen Zugangsdaten, die Unternehmen Millionen kosten.

    by Stephanie Overby
    38BLOG_1.jpg

    Wichtige Punkte

    • Der Diebstahl von Zugangsdaten ist eine kostspielige, häufige und schwer zu entdeckende Ursache für Datenschutzverletzungen.
    • Der Diebstahl von Zugangsdaten hat im Zeitalter der Fernarbeit zugenommen.
    • Cyberkriminelle nutzen eine Vielzahl von Sicherheitslücken, um Anmeldedaten zu stehlen, so dass Unternehmen eine Kombination von Schutzmaßnahmen einsetzen müssen.

    Die meisten Datenschutzverletzungen erfordern keinen ausgeklügelten Hack oder Exploit, sondern lediglich einen gültigen Benutzernamen und ein Passwort in den falschen Händen. Laut einem Bericht aus dem Jahr 2022 kosten Datenschutzverletzungen, die auf den Diebstahl von Zugangsdaten (die häufigste Art) zurückzuführen sind, Unternehmen durchschnittlich 4,5 Millionen Dollar.[1]  

    Und sie gehörten zu den am schwersten zu neutralisierenden, da die Unternehmen durchschnittlich acht Monate brauchten, um sie zu identifizieren und 12 Wochen, um sie einzudämmen.

    Kein Wunder, dass Cyberkriminelle darauf aus sind, so viele Zugangsdaten wie möglich in die Finger zu bekommen. Das hat den Diebstahl von Anmeldeinformationen und das Harvesting begünstigt. Bei einigen Angriffen werden einzelne Anmeldeinformationen gestohlen, bei anderen werden ganze Datenbanken mit Authentifizierungsdaten entwendet.

    Das massenhafte Sammeln von Anmeldeinformationen ist eine Form der Datenexfiltration , bei der Cyberkriminelle E-Mail-Phishing und andere Exploits nutzen, um massenhaft Benutzernamen und Passwörter zu sammeln . Ein "Credential Harvester" kann dann die entwendeten Anmeldedaten dazu verwenden, Kundendaten zu stehlen, sensible Geschäftskommunikation abzuhören oder Ransomware einzuschleusen. Oder der Angreifer kann die Zugangsdaten im Dark Web verkaufen. Oder beides.

    Eine Investition in den Diebstahl oder das Sammeln von Anmeldeinformationen kann überproportional hohe Gewinne abwerfen, da viele Menschen ihre Passwörter plattform-, standort- und systemübergreifend wiederverwenden und damit Bösewichten den Schlüssel zu den Netzwerken mehrerer Unternehmen geben. Kriminelle können dann mit Hilfe automatischer Anmeldetools zahlreiche Netzwerke mit denselben gestohlenen Kennwörtern bombardieren, wobei die Wahrscheinlichkeit besteht, dass zumindest einige davon erfolgreich sind.

    Ein weiterer bewährter Ansatz, der sich in der Ära der Fernarbeit ausgeweitet hat, ist der Diebstahl von Zugangsdaten, der auf Einzelpersonen abzielt. Da immer mehr Unternehmen Dateifreigabedienste und Videokonferenzanwendungen nutzen, um aus der Ferne zusammenzuarbeiten, verweisen Angreifer in bösartigen E-Mails zunehmend auf diese Websites, um sich der Entdeckung durch Menschen zu entziehen, und locken ihre Opfer auf URLs, auf denen sie unwissentlich ihre Geschäftslogins freigeben können. Eine Phishing-E-Mail könnte den Empfänger beispielsweise auffordern, auf einen bösartigen Link zu klicken, um an einem Meeting teilzunehmen, doch die URL führt in Wirklichkeit zu einer Website, die Anmeldedaten sammelt.
    Diebe von Anmeldedaten nutzen sowohl menschliche als auch systembedingte Schwachstellen aus. Um den Diebstahl von Anmeldedaten abzuwehren, ist daher ein mehrstufiger Ansatz erforderlich, der Schwachstellen an beiden Fronten beseitigt. Mimecast kann Unternehmen dabei helfen, das Risiko des Diebstahls von Anmeldedaten auf verschiedene Weise zu minimieren, z. B. durch die Sicherung von E-Mails (ein wichtiger Modus Operandi für Anmeldedaten-Banditen), durch die Aufklärung der Mitarbeiter über die Bedrohung und ihre Rolle bei der Eindämmung dieser Bedrohung sowie durch den Einsatz von maschinellem Lernen und fortschrittlichen Computer-Vision-Algorithmen zur Identifizierung und Blockierung bösartiger URLs , die zum Sammeln von Anmeldedaten verwendet werden. 

    Eine vielschichtige Bedrohung...

    Cyberkriminelle können eine beliebige Anzahl von Cyberangriffsvektoren verwenden, um an wertvolle Benutzernamen und Kennwörter zu gelangen. Wenn man weiß, wie der Diebstahl von Zugangsdaten abläuft, kann man die verschiedenen Methoden zur Bekämpfung des Diebstahls besser verstehen. 

    Angreifer können einen Phishing-Angriff verwenden, bei dem sie ihren Opfern eine E-Mail mit Links zu gefälschten Websites schicken, auf denen die Benutzer dazu verleitet werden, ihren Benutzernamen oder ihr Kennwort zu einem scheinbar legitimen Zweck einzugeben. Alternativ können sie den Nutzern per E-Mail einen bösartigen Anhang schicken, um eine Malware zu starten, die Anmeldedaten stiehlt und auf dem Schwarzmarkt weit verbreitet ist. Berichten zufolge gibt es Milliarden von gestohlenen Zugangsdaten im Dark Web, und die Diebe haben eine solche Malware verwendet, um an viele von ihnen zu gelangen.[2] Andere Techniken, die von Datendieben eingesetzt werden können, sind Man-in-the-Middle-Angriffe, Zero-Day-Angriffe und andere Ausnutzung von Software-Schwachstellen, RDP-Angriffe (Remote Desktop Protocol), Social Engineering, DNS-Spoofing oder die Hilfe eines böswilligen Insiders.

    Sobald sie in ein Netzwerk eingedrungen sind, können Bedrohungsakteure ihren heimlichen Zugang nutzen, um nach zu jagen, und zwar mit noch mehr Zugangsdaten. Sie können private Schlüsseldateien, Registrierungen, Notizen und Dateien von Systemadministratoren durchsuchen oder nach Anmeldeinformationen suchen, die in Skripten oder Anwendungen fest einkodiert sind.[3]

    ...erfordert einen vielseitigen Schutz

    Cyberkriminelle greifen Unternehmen von allen Seiten an, um an Zugangsdaten zu gelangen. Unternehmen sind also am besten mit einem mehrschichtigen Ansatz bedient. Zu den sieben wirksamsten Methoden zur Verhinderung des Diebstahls von Zugangsdaten gehören:

    1. Implementierung von KI-gestütztem Schutz vor Ausweisdiebstahl. Maschinen sind schwerer zu täuschen als Menschen. Mimecasts E-Mail-Sicherheit und Ausfallsicherheit kann dazu beitragen, den Diebstahl von Zugangsdaten an der Quelle zu stoppen. Das hochentwickelte Scanning nutzt maschinelles Lernen und fortschrittliche Computer-Vision-Algorithmen, um Anomalien in Branding-, Login- oder Zahlungsformular-Informationen zu erkennen, die in Phishing-E-Mails und auf Webseiten erscheinen. Die Analyse ist viel präziser als die des menschlichen Auges und kann sogar den Unterschied zwischen einem einzigen Pixel und einer sicheren Website erkennen. Je nach berechneter Risikostufe warnt das System die Nutzer vor dem potenziellen Problem oder sperrt den Zugriff auf die Seite. Da es auf maschinellem Lernen basiert, wird das System mit der Zeit immer besser in der Erkennung.
    2. Investitionen in Sensibilisierungsinitiativen und Schulungen zum Nutzerverhalten . Credential Harvester sind auf menschliche Schwächen ebenso angewiesen wie auf Schwachstellen im System. Mitarbeiter könnten dazu verleitet werden, auf einen bösartigen Link zu klicken und ihre Anmeldedaten auf einer dubiosen Website einzugeben, oder vertrauenswürdige Auftragnehmer könnten versehentlich Malware zum Diebstahl von Anmeldedaten in Ihrem Netzwerk installieren. Führende Programme ermöglichen es Unternehmen, die Bereitschaft ihrer Mitarbeiter anhand von entschärften Versionen realer Angriffe zu testen. Sensibilisierung und Schulung in Bezug auf eine gute Passworthygiene sind ebenfalls wichtig, um Mitarbeiter davon abzuhalten, Passwörter wiederzuverwenden oder Anmeldedaten ungeschützt zu lassen.
    3. Durchsetzung der Identitäts- und Zugangsverwaltung. Ein viel beachteter Angriff auf ein Ride-Sharing-Unternehmen im September 2022 hat gezeigt, wie wichtig es ist, ein angemessenes Privileged Access Management (PAM) einzurichten. Im vorliegenden Fall soll der Hacker zunächst auf die Systeme des Unternehmens zugegriffen haben, indem er sich über Social Engineering Zugangsdaten verschaffte.[4] Nach dem Eindringen in das Intranet des Unternehmens fand der Eindringling Zugangsdaten, die in PowerShell-Skripten fest codiert waren und den Zugriff auf die Anwendungen des Unternehmens in der Cloud ermöglichten. Der Schutz aller privilegierten Konten ist von entscheidender Bedeutung, um diese Art des "Credential Harvesting" zu verhindern. Anstatt die Festcodierung von Administratorkennwörtern zuzulassen, können Unternehmen Kennworttresore einsetzen, die es den Benutzern ermöglichen, beispielsweise für jede Verwendung ein anderes Kennwort zu erstellen und die Kennwörter sicher zu speichern und zu verwenden. Ein weiterer Eckpfeiler von PAM ist die Gewährung der geringstmöglichen Berechtigungen für den Zugriff auf Netzwerk- und Datenbestände. Sicherheitstools können auch Signale wie den physischen Standort, das verwendete Gerät oder die Anwendung, auf die zugegriffen wird, identifizieren und dann voreingestellte, bedingte Zugriffsrichtlinien basierend auf diesen Parametern anwenden.
    4. Berücksichtigung der Multi-Faktor-Authentifizierung (MFA). Die Multi-Faktor-Authentifizierung verhindert zwar nicht direkt das Sammeln von Netzwerk- oder Anwendungsdaten, aber sie kann deren Verwendung vereiteln. Anstatt nur einen Benutzernamen oder ein Passwort zu verlangen, zwingt MFA einen Benutzer dazu, einen oder mehrere zusätzliche Verifizierungsfaktoren anzugeben (z. B. einen Code, der per SMS an ein Mobiltelefon gesendet wird, Antworten auf persönliche Sicherheitsfragen), um auf eine Anwendung, ein Online-Konto oder ein VPN zuzugreifen. Es gibt jedoch eine neue Taktik der Cyberkriminalität, die als "MFA-Müdigkeit/MFA-Spam" bezeichnet wird und bei der Einführung von MFA berücksichtigt werden muss. Bei dieser neuen Variante des Sammelns von Anmeldeinformationen überschwemmen Angreifer einen Benutzer mit falschen MFA-Überprüfungsanfragen per E-Mail, Textnachricht oder über Messaging-Plattformen, in der Hoffnung, dass der Benutzer überwältigt oder verärgert genug ist, um schließlich (oder versehentlich) die Authentifizierungsinformationen bereitzustellen.[5]
    5. Einführung und Durchsetzung einer BYOD-Richtlinie (Bring Your Own Device). Die Verwendung privater Geräte für die Arbeit birgt ein zusätzliches Risiko für den Diebstahl von Anmeldedaten, insbesondere wenn die Mitarbeiter ihre Anmeldedaten auf ihren Handys oder Laptops gespeichert haben. Jedes Unternehmen sollte über eine Richtlinie verfügen, in der die Sicherheitskontrollen festgelegt sind und in der festgelegt ist, worauf Benutzer von persönlichen Geräten aus zugreifen können und worauf nicht.
    6. Analyse des Nutzerverhaltens. Durch die Überwachung der Aktivitäten der Mitarbeiter kann sichergestellt werden, dass sie mit ihren Anmeldedaten und ihrem Zugang richtig umgehen. Es gibt Tools zur Analyse von Verhaltensmustern und zur Erkennung abnormaler oder unerwarteter Aktionen, die auf eine böswillige oder unbeabsichtigte Offenlegung von Anmeldedaten hindeuten können.
    7. Überwachung auf Insider-Bedrohungen. Mitarbeiter, Auftragnehmer und Partner sind allesamt Hauptziele für Bedrohungsakteure, die Zugang zu ganzen Datenbanken mit Anmeldeinformationen suchen. Die meisten Angriffe (z. B. das Abgreifen von Anmeldeinformationen) erfolgen von außen. Wenn die Angreifer erst einmal drin sind, versuchen sie oft, ihren Zugang über ein kompromittiertes E-Mail-Konto oder Malware für den Fernzugriff zu erweitern. Eine Taktik besteht darin, eine interne E-Mail als Mitarbeiter zu versenden, um den Angriff innerhalb des Unternehmens oder sogar an externe Kontakte weiterzuleiten. Mehr als ein Viertel (27 %) der Sicherheitsexperten, die für den Bericht State of Email Security 2022 von Mimecast befragt wurden, gaben an, dass sie von einem Angriff betroffen waren, der sich von einem infizierten Benutzer über gestohlene Anmeldedaten auf andere Mitarbeiter ausbreitete. Ein Insider-Bedrohungsprogramm kann den Schutz vor böswilligen, kompromittierten oder sogar unvorsichtigen Insidern automatisieren.

    Die Quintessenz

    Da es einfacher ist, durch die Vordertür zu kommen als durch die Hintertür, wird sich der Markt für gestohlene Ausweise in nächster Zeit wohl kaum abkühlen. Unternehmen, die das gesamte Spektrum an fortschrittlichen Schutzmaßnahmen und Schulungen nutzen, sind am besten für den Kampf gegen diese anhaltende Bedrohung gerüstet. Lesen Sie mehr darüber, wie Mimecasts KI-gestützte Erkennung, Sicherheitsbewusstseinstraining und Programm für Insider-Bedrohungen helfen können.


     

    [1] "Cost of a Data Breach Report 2022," IBM

    [2] "RedLine Stealer als Hauptquelle für gestohlene Zugangsdaten auf zwei Dark Web Markets identifiziert," The Record

    [3] "Credential Harvesting und Erstzugang: Was sind sie und wie kann ich zurückschlagen?", Infosecurity Magazin

    [4] "Uber offenbar von Teenager gehackt, Mitarbeiter hielten es für einen Scherz," The Verge

    [5] "MFA-Müdigkeit: Die neue Lieblingstaktik der Hacker bei aufsehenerregenden Sicherheitsverletzungen," BleepingComputer

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang