Cyber-Attacken werden mittlerweile selten von technisch hochversierten Angreifern durchgeführt. Dabei verstärkt der Einsatz von Homeoffice-Konzepten im Kontext von New Work die Bedrohungslage – Stichwort „Kapern von Benutzerkonten“.

Traditionelle Hacking-Methoden wie das Decodieren von Verschlüsselungen oder das Infiltrieren von Firewalls gehören mehr und mehr zur Vergangenheit. Die Anatomie eines Cyber-Angriffs ändert sich: Kriminelle hacken sich nicht mehr ein; sie loggen sich einfach ein. Denn schwache, gestohlene oder anderweitig kompromittierte Anmeldedaten schaffen ein leichtes Einfallstor für böswillige Akteure, selbst wenn diese nur über geringe technische Fähigkeiten verfügen.

Die jüngste Datenpanne bei Twitter, bei der Dutzende prominente User-Accounts gekapert wurden, ist ein gutes Beispiel, wie Cyber-Angriffe heutzutage durchgeführt werden. Laut Untersuchungen des Social-Media-Riesen nutzte ein 17-Jähriger aus Florida Social-Engineering-Techniken, um an die Zugangsdaten einer kleinen Anzahl von Twitter-Mitarbeitern zu gelangen. Der Angreifer war anschließend in der Lage, diese Logins zu missbrauchen, um Zugriff auf ein wichtiges internes System zu erhalten.

Dabei ist Twitter nicht allein: Die Marktforscher von Forrester schätzen, dass 80 Prozent der Sicherheitsverstöße mittlerweile auf kompromittierte Zugangsdaten zurückzuführen sind. Kapert ein Angreifer einen privilegierten Account, kann er sich damit weitreichend und lange unbemerkt im Netzwerk bewegen, um sensible Daten zu exfiltrieren oder Störungen zu verursachen.
Die Angriffsroute von Cyber-Kriminellen

Jede Cyber-Attacke unterscheidet sich in ihrer Motivation und dem daraus resultierenden Schaden. Alle Angriffe enthalten jedoch drei wichtige Grundkomponenten, die sowohl für externe als auch Insider-Bedrohungen gelten. Nachfolgend ein Überblick, wie moderne Cyber-Angriffe häufig ablaufen:

  • Einen Weg ins Innere finden: Wie erwähnt, missbrauchen Kriminelle heute typischerweise kompromittierte Anmeldedaten für ihre Angriffe. Um die Login-Daten abzugreifen, nutzen sie in der Regel Social-Engineering-Techniken, wie zum Beispiel Phishing-Kampagnen. Auch machen sich Hacker die Millionen von geleakten Zugangsdaten zunutze, die im Dark Web zum Verkauf stehen. Deshalb sind Nutzer gefährdet, die dieselben oder ähnliche Passwörter für mehrere Konten verwenden, wenn ein Angreifer Techniken wie Credential Stuffing oder Passwort-Spraying einsetzt.
  • Navigation durch das System: Ist der Angreifer ins System eingedrungen, wird er versuchen, seine Umgebung auszukundschaften und seine Privilegien zu erhöhen, um sich lateral im Netzwerk zu bewegen und auf kritischere Infrastrukturen mit potenziell wertvollen Daten zuzugreifen. In dieser Phase versuchen Hacker, ein Verständnis für ihre Umgebung zu erlangen, indem sie sich IT-Zeitpläne, Sicherheitsmaßnahmen oder Netzwerkverkehrsströme ansehen. Netzwerkressourcen, privilegierte Konten, Domänencontroller und Active Directory sind bevorzugte Ziele für Angreifer, da sie oft über privilegierte Anmeldeinformationen verfügen.
  • Datendiebstahl und Verwischen von Spuren: Nachdem Angreifer wissen, wo sie Zugriff auf wertvolle Daten erhalten, werden sie nach Möglichkeiten suchen, ihre Zugriffsrechte weiter zu erhöhen, um diese Daten zu extrahieren und ihre Spuren zu verwischen. Sie können auch eine Hintertür schaffen, indem sie zum Beispiel einen SSH-Schlüssel erstellen, um zukünftig weitere Daten zu exfiltrieren.

Best Practices zum Schutz vor heutigen Cyber-Angriffen

Der Aufbau eines soliden Perimeters und die Investition in ein gut aufgestelltes Sicherheitsteam sind immer noch grundlegend. Da sich heutige Angreifer jedoch verstärkt schlechte Passwort-Praktiken und ungesicherte privilegierte Konten zunutze machen, müssen Unternehmen ihre Sicherheitsstrategie an diese Bedrohungen anpassen und sich auf den Schutz von Identitäten und Anmeldedaten konzentrieren.

Gemeinsam genutzte privilegierte Anmeldedaten sollten gesichtet und in einem Passwort-Tresor (Password Vault) verwahrt werden, um sie ordnungsgemäß zu verwalten. Allerdings reicht Vaulting allein nicht aus, um sich gegen die dynamische Bedrohungslandschaft zu verteidigen, die durch die digitale Transformation erheblich erweitert wurde und vermehrt Angriffsflächen wie Cloud oder DevOps aufweist.

Daher sollten Unternehmen einen Least-Privilege-Ansatz durchsetzen, der auf individuellen menschlichen und maschinellen Identitäten basiert. Darüber hinaus benötigt es Systeme, die überprüfen, welcher Mitarbeiter oder welche Applikation einen Zugriff auf Ressourcen anfordert und aus welchem Grund. Dabei müssen das Risiko der jeweiligen Zugriffsumgebung bestimmt und lediglich Berechtigungen für das Zielobjekt für die minimal benötigte Zeit gewährt werden. Im Folgenden drei Punkte, die Unternehmen in ihre Sicherheitsstrategie implementieren sollten:

  • Anwendung eines Zero-Trust-Ansatzes: Das Zero-Trust-Modell geht davon aus, dass Angreifer bereits im Netzwerk sind. Daher sollte keinem Benutzer und keiner Anfrage vertraut werden, solange sie nicht vollständig verifiziert sind. Anschließend sollte lediglich ein Least-Privilege-Zugriff gewährt werden, der gerade so viele Berechtigungen gewährt, wie nötig. Sicherheitsarchitekturen müssen so strukturiert sein, dass sie dies berücksichtigen.
  • Nutzung von Multi-Faktor-Authentifizierung für Privileged Access Management: Die Multi-Faktor-Authentifizierung ist ein einfaches Mittel zur Absicherung und sollte überall dort eingesetzt werden, wo Privilegien erhöht sind, wobei dezidierte Zugriffszonen diese Verteidigung zusätzlich verstärken.
  • Maschinelles Lernen für Echtzeit-Risikobewusstsein: Algorithmen für maschinelles Lernen können das Verhalten privilegierter Benutzer überwachen, anormale und risikoreiche Aktivitäten identifizieren und Alarm schlagen, um verdächtige Vorgänge zu stoppen.

Heutige Cyber-Kriminelle können über ausgefeilte technische Fähigkeiten oder lediglich über das Grundwissen von Script Kiddies verfügen. Mit der Implementierung eines soliden identitätszentrierten Privileged-Access-Management-Plans, der auf Zero-Trust-Prinzipien basiert, können Unternehmen ihre kritischen Assets jedoch gegen die steigende Flut an Angriffen schützen und das Risiko eines Sicherheitsverstoßes erheblich reduzieren.

Özkan Topal ist Sales Director bei ThycoticCentrify.

ThycoticCentrify