Jakub Jirsák - stock.adobe.com
Digitale Identitäten: Die große Sicherheitslücke schließen
Bei vielen IT-Sicherheitsvorfällen spielt der Missbrauch digitaler Identitäten eine Rolle. Unternehmen müssen ihre Abwehrmaßnahmen dementsprechend ausrichten und optimieren.
IT-Sicherheitsexperten sind sich seit langem darüber im Klaren, dass menschliches Verhalten eine zentrale Schwachstelle in Sachen Sicherheit ist. Der jüngste Verizon Data Breach Investigations Report zeigt, dass bei 74 Prozent der bestätigten Sicherheitsverletzungen das menschliche Element eine Rolle spielt. Dieser Anteil bleibt seit Jahren unverändert.
Was ändert sich also? Die Art und Weise, wie Cyberkriminelle den Menschen als schwächstes Glied in der Angriffskette ausnutzen.
Das zeigen unter anderem die Scattered-Spider-Angriffe und die zunehmende Zahl von Angriffen auf Identitätsdienstleister in den letzten Monaten. Diese Ereignisse belegen, dass Cyberkriminelle bewährte Taktiken wie Phishing sowie den Diebstahl von Zugangsdaten ausweiten und die Lieferkette ins Visier nehmen. Die Kompromittierung der Lieferkette kann potenziell eine sehr hohe Investitionsrendite bieten. Daher setzen böswillige Akteure auf ihre erfolgreichste Taktik: den Angriff auf die digitale Identität.
Der Proofpoint-Report „State of the Phish 2023“ zeigt, dass 84 Prozent der Phishing-Angriffe auf Unternehmen im Jahr 2022 erfolgreich waren. Mehr als ein Drittel dieser erfolgreichen Angriffe führte zum Diebstahl von Zugangsdaten oder zur Kompromittierung von Konten, wodurch die Angreifer sich Zugriff auf Konten oder Identitäten von Unternehmen verschafften. Sobald Cyberkriminelle eine einzige Identität kompromittiert haben, können sie sich mit Leichtigkeit im gesamten Unternehmen ausbreiten.
Zu diesem Zeitpunkt haben sie die Schlacht schon fast gewonnen. Dann ist es für Cyberkriminelle einfach, ihre Privilegien auszuweiten, Informationen zu sammeln, Schadsoftware zu verteilen und andere Ziele zu erreichen. Das können sie tun, ohne dass eine klassische Abwehrmaßnahme am Perimeter Alarm schlägt. Und auch ohne großes technisches Wissen und Aufwand.
Laut einer Studie der unabhängigen Non-Profit-Organisation Identity Defined Security Alliance hatten 90 Prozent der befragten Unternehmen in den letzten 12 Monaten einen Sicherheitsvorfall zu verzeichnen, bei dem der Missbrauch digitaler Identitäten eine Rolle spielte. Unternehmen müssen sich unbedingt an diese neue Realität anpassen und ihre Abwehrmaßnahmen weiterentwickeln.
Die drei größten Identitätsrisiken
Viele Unternehmen haben erheblich in die Verstärkung ihrer Infrastruktur für das Management digitaler Identitäten investiert. Dabei übersehen sie häufig die anfälligsten Komponenten wie gespeicherte und zwischengespeicherte Anmeldedaten, Sitzungscookies, Zugriffsschlüssel, privilegierte Schattenkonten und verschiedene Fehlkonfigurationen im Zusammenhang mit Konten und Identitäten.
Der erste Schritt zur Unterbrechung der Angriffskette besteht darin, zu verstehen, wie Cyberkriminelle digitale Identitäten innerhalb eines Unternehmens angreifen. Zunächst müssen die IT-Sicherheitsverantwortlichen wissen, welche Mitarbeiter am anfälligsten sind und am häufigsten angegriffen werden. Sie können nicht jedes Risiko ausschließen, also müssen Sie Prioritäten setzen.
Bedrohungsakteure adressieren in der Regel drei Identitätsbereiche:
Nicht verwaltete Identitäten: Dazu gehören Identitäten, die von Anwendungen und lokalen Administratoren verwendet werden. Ein Großteil der lokalen Administratoren sind nicht in einer Lösung zur Verwaltung privilegierter Konten registriert. Diese Arten von Identitäten werden während der Bereitstellung oft nicht entdeckt oder geraten in Vergessenheit, nachdem sie ihren Zweck erfüllt haben. Viele dieser Konten verwenden veraltete oder Standardpasswörter, was das Risiko weiter erhöht.
Falsch konfigurierte Identitäten: „Schatten“-Admins, Identitäten, die mit schwacher oder keiner Verschlüsselung konfiguriert sind, und Konten mit schwachen Anmeldedaten sind Beispiele für falsch konfigurierte Identitäten. Solche falsch konfigurierten oder Schatten-Administrator-Identitäten können oft in nur einem Schritt ausgenutzt werden können, zum Beispiel durch das Zurücksetzen eines Domain-Passworts, um die Privilegien zu erweitern. Wenn Schattenadministratoren über Domänenadministratorrechte verfügen, ermöglicht dies böswilligen Akteuren, Anmeldedaten zu sammeln und das Unternehmen zu infiltrieren.
Offengelegte Identitäten: Diese Kategorie umfasst zwischengespeicherte Anmeldeinformationen, die auf verschiedenen Systemen gespeichert sind, auf Endgeräten gespeicherte Cloud-Zugangs-Tokens und offene Fernzugriffssitzungen. Auf einem von sechs Endgeräten sind ungeschützte Kennwörter für privilegierte Konten gespeichert, zum Beispiel zwischengespeicherte Anmeldedaten. Diese Praxis ist genauso riskant wie Mitarbeiter, die Haftnotizen mit Benutzernamen und Kennwörtern auf ihren Geräten hinterlassen – auch wenn es häufig unbeachtet bleibt.
Unabhängig von der Art der Identität, die böswillige Akteure kompromittieren, genügt ein einziges anfälliges Konto, um ungehinderten Zugang zum Unternehmen zu erhalten. Und je länger ein erfolgreicher Angriff unentdeckt bleibt, desto verheerender sind die möglichen Folgen.
Identity Threat Detection and Response (ITDR)
Die Bekämpfung jeder Art von Bedrohung erfordert mehrere zentrale Aktivitäten: Erkennung und Identifizierung von Bedrohungen in Echtzeit, Priorisierung der Bedrohungen und sofortige Behebung der Gefahr durch möglichst automatisierte Reaktionen. An dieser Stelle kommen die Best Practices der Bedrohungserkennung und -abwehr ins Spiel. In der Regel implementieren Unternehmen jedoch nur Bedrohungserkennung und -reaktion für ihre Technologie. Und das reicht in der heutigen, auf Menschen ausgerichteten Bedrohungslage nicht mehr aus.
Weil der Mensch zur verwundbarsten Komponente geworden ist, hat sich die Erkennung von und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) als entscheidender Schritt in der Abwehr identitätsbedingter Gefährdungen erwiesen.
„Eine auf den Menschen ausgerichtete Verteidigung funktioniert nicht, wenn Unternehmen ihre Mitarbeiter nicht in die Lage versetzen, die Angriffskette zu unterbrechen, indem sie ihr Verhalten und ihre Gewohnheiten ändern.“
Miro Mitrovic, Proofpoint
ITDR erfordert eine Kombination aus umfassenden Sicherheitsprozessen, Tools und bewährten Verfahren. Digitale Identitäten müssen genauso behandelt werden wie jede andere Art von Aktiva, einschließlich des Netzwerks und der Endgeräte. IT-Sicherheitsverantwortliche sollten mit präventiven Kontrollen beginnen, damit sie Schwachstellen digitaler Identitäten erkennen und beseitigen können, bevor Cyberkriminelle sie ausnutzen. Kontinuierliche Erkennung und automatisierte Abhilfemaßnahmen sind der beste Weg, Kriminelle abzuwehren.
Als Nächstes muss ein Unternehmen in der Lage sein, Bedrohungen schnell zu neutralisieren, wenn sie durch die Verteidigungsmaßnahmen schlüpfen. Weil keine Kontrollen narrensicher sind, müssen IT-Sicherheitsverantwortliche die gesamte Angriffskette berücksichtigen. Eine schnelle Unterbindung der Eskalation von Privilegien ist von größter Bedeutung, weil dies der erste Schritt von Cyberkriminellen ist, sobald sie Zugang erlangt haben. Wenn sie aber nicht weiterkommen, müssen sie aufgeben und weiterziehen.
Fortschrittliche Tools erhöhen die Erfolgsaussichten, etwa durch Einsatz von maschinellem Lernen oder Advanced Analytics zur Erkennung ungewöhnlicher oder verdächtiger Ereignisse und Verhaltensweisen sowie automatischen Reaktionen. Leistungsfähige ITDR-Lösungen bieten einen tiefgreifenden Ansatz zur Minderung der Gefährdung. Cyberkriminelle bewegen sich einfach zu schnell, als dass Sicherheitsteams ohne die richtigen Tools mit den Identitätsbedrohungen Schritt halten könnten.
Schließlich beruht effektives ITDR auf bewährten Praktiken wie der Gewährleistung einer guten Cyberhygiene. Schließlich sind die Menschen die größte Sicherheitslücke. Eine auf den Menschen ausgerichtete Verteidigung funktioniert nicht, wenn Unternehmen ihre Mitarbeiter nicht in die Lage versetzen, die Angriffskette zu unterbrechen, indem sie ihr Verhalten und ihre Gewohnheiten ändern. Und die Verbesserung der Cyberhygiene ist eine einfache Maßnahme, die nicht viele Ressourcen erfordert. Unternehmen sollten identitätsbezogene Risiken zu Ihrer Priorität machen und bereit sein, ihre Strategien anzupassen, wenn sich die Risiken weiterentwickeln.
Über den Autor:
Miro Mitrovic ist Area Vice President DACH bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.