wladimir1804 - stock.adobe.com
MFA: Konten von Administratoren besonders schützen
IT-Admins sind so etwas wie die Türsteher des Unternehmens – und somit ein beliebtes Ziel für Hacker. Ein kleiner Fehler genügt, um Angreifern umfassenden Zugriff zu gewähren.
IT-Administratoren verfügen über die weitreichendsten Zugriffsrechte im gesamten Unternehmensnetzwerk und haben entscheidenden Einfluss auf die Sicherheit ihrer Organisation. Dies macht sie zu einem beliebten Ziel für Cyberkriminelle: Mit Credential Phishing oder Adversary-in-The-Middle-Angriffen (AiTM-Angriffen) auf Admins versuchen Hacker, umfassenden Zugriff auf Systeme zu erlangen.
Eine Phishing-sichere Multifaktor-Authentifizierung (MFA) ist für Admins daher ein Muss. Doch wo ist eine MFA besonders wichtig und worauf ist bei der Auswahl und Implementierung zu achten?
Wenn Unachtsamkeit zum Fallstrick wird
Auch Tech-Größen wie Nvidia, Microsoft oder Vodafone bleiben nicht verschont. Das zeigt unter anderem die Hacker-Gruppe Lapsus$, der bereits alle drei zum Opfer gefallen sind. Ein Name, der seiner lateinischen Bedeutung nach, nämlich Fehltritt, nicht passender sein könnte. Denn gerade diese kleinen Fehler, Versehen oder Unachtsamkeiten nutzen Cyberkriminelle aus, um Zugang zu firmeninternen Netzwerken und Systemen zu erlangen.
Eine Disziplin, die Lapsus$ sehr erfolgreich beherrscht. So teilt die Gruppe regelmäßig Berichte oder Screenshots erfolgreicher Hacks mit den rund 50.000 Abonnenten ihres Telegram-Kanals. Durch Admin-Passwörter erschlichene Zugriffsrechte sind so lukrativ, dass Hacker über Telegram gezielt nach „Mitarbeitenden“ suchen, die ihnen über VPN oder Citrix Zugang zu Unternehmensnetzwerken oder Remote-Desktop-Anwendungen verschaffen. Die Unternehmen können gegen einen solchen vorsätzlichen Missbrauch kaum etwas tun. Darüber hinaus schützt Phishing-sichere Multifaktor-Authentifizierung.
Trotz mehr als 20 Jahren Phishing-Geschichte basieren immer noch über 90 Prozent aller gezielten Cyberangriffe auf dieser Methode. Warum? Weil sie immer noch funktioniert. Die zunehmend verschwimmende Grenze zwischen privater und beruflicher Nutzung macht es Cyberkriminellen zudem inzwischen deutlich einfacher. Das bezieht sich nicht zwingend auf die Nutzung von Privatgeräten für die Arbeit. Das Hauptproblem ist ein anderes: Der durchschnittliche Nutzer registriert sich, laut des Analyse-Hauses Experian, bei rund 40 Services und Apps mit nur einer einzigen E-Mail-Adresse. Dabei kommen durchschnittlich nur fünf spezifische Passwörter zum Einsatz, die meist sowohl für private als auch für berufliche Zwecke verwendet werden. Ein gezielter Credential-Phishing-Angriff auf eine Privatperson kann Hackern daher schlimmstenfalls auch Zugriff zum Netzwerk des Arbeitgebers geben.
MFA als sichere Alternative zu Passwörtern?
Das Passwort hat als alleiniger Sicherheitsfaktor längst ausgedient und ist selbst in komplexer Form keineswegs sicher. Es wurde weitgehend durch die Multifaktor-Authentifizierung (MFA) abgelöst. MFA wurde lange als Allheilmittel gegen Phishing-Angriffe beworben – ein Trugschluss. So verzeichnete die Anti-Phishing Working Group APWG im vierten Quartal 2022 die höchste Anzahl an Phishing-Angriffen seit ihrer Gründung vor fast 20 Jahren.
„Eine Multifaktor-Authentifizierung, die Brute-Force-Angriffe auf Passwörter verhindert, ist zwar ein guter Anfang, reicht für IT-Administratoren jedoch nicht aus.“
Al Lakhani, IDEE
Besonders hervor sticht die zunehmende Penetranz und Dreistigkeit der Hacker. Ein Beispiel dafür ist das sogenannte Prompt Bombing. Hacker verschaffen sich vertrauliche Informationen wie die E-Mail-Adresse oder ein Passwort und „bombardieren“ die Opfer anschließend über permanente Login-Versuche mit Aufforderungen zur Authentifizierung. Ein Verfahren, das so manchen Mitarbeitenden über Zeit „MFA-müde“ gemacht hat. Es ist daher nur naheliegend, dass versehentlich auch mal eine Anfrage bestätigt wird – die entscheidende Unaufmerksamkeit, die Hackern die Tür öffnet. In vielen Fällen bemerken die Nutzer nicht einmal, dass ein Konto kompromittiert wurde und sie unabsichtlich Zugang zum Unternehmensnetzwerk gewährt haben.
Besonderer Schutz für Administratorkonten
Bei „normalen Angestellten“ kann das bereits zu einer mittelschweren Katastrophe für das Unternehmen führen. Dies gilt für Adminkonten jedoch nochmal verstärkt. Neben Credential Phishing und passwortbasierten Angriffen sind Administratoren besonders beliebte Ziele für sogenannte Adversary-in-the-middle-Angriffe. Ziel solcher AiTM-Angriffe ist es, sowohl Authentifizierungsinformationen als auch Session-Cookies abzufangen, um erneute Anmeldungen und die MFA zu umgehen. Dazu wird ein Proxy-Server zwischen dem Benutzer und der Internetseite eingerichtet.
Besonders zu schützen sind privilegierte Benutzer wie IT-Administratoren bei Anwendungen wie Microsoft 365 oder Google Workspace sowie sämtliche Zugangsdaten zu Firewalls oder VPNs. Weitere Systeme, für die Admins auf eine Phishing-sichere MFA setzen sollten, sind Remote-Control-Anwendungen wie TeamViewer oder Ticketing.
Merkmale Phishing-sicherer MFA
Um die Unterschiede Phishing-sicherer MFA zu anderen Lösungen zu verstehen, gilt es, die Schwachstellen und Angriffsflächen herkömmlicher MFA-Methoden genauer zu betrachten. Einige Aspekte, wie beispielsweise das Vorgehen zum Hinzufügen neuer Geräte zur Authentifizierung oder zur Wiederherstellung von Konten bei Geräteverlust, sind dabei nicht sofort ersichtlich.
Dagegen helfen Dienste, die beim Login auf die Authentifizierungsschnittstelle des Endgeräts setzen: eine Kombination aus biometrischem Login und PIN. Dabei ist es entscheidend, dass die PIN ausschließlich auf dem lokalen Gerät funktioniert. Diese Methode, bekannt als „Same Device MFA“, bietet nicht nur einen hohen Sicherheitsstandard, sondern minimiert auch Kosten und Aufwand, falls das Gerät verloren oder beschädigt wird. Zudem lässt sich diese Lösung leicht in die IT-Infrastruktur integrieren und vereinfacht das On- und Offboarding von Mitarbeitenden.
Ein weiteres Merkmal einer Phishing-sicheren MFA ist die Art und Weise, wie private Schlüssel gespeichert werden. Die zentrale Speicherung in Cloud-Lösungen bietet keine ausreichende Sicherheit und eröffnet einen weiteren Angriffsvektor. Die direkte Speicherung der Schlüssel auf dem Endgerät ist weitaus sicherer. Ein derart dezentraler Ansatz kann Angriffe erheblich einschränken.
Darüber hinaus sollten Unternehmen einen konsequenten Zero-Trust-Ansatz für den gesamten Authentifizierungsprozess verfolgen, angefangen bei der Kontoerstellung über das Hinzufügen neuer Geräte bis hin zum On- und Offboarding von Mitarbeitenden. „Null-Vertrauen“ und „transitives Vertrauen“ tragen dazu bei, auch interne Angriffe zu erschweren und die Sicherheit zu erhöhen.
Fazit
Hacker haben deutlich gezeigt, dass sie MFA-Lösungen der ersten Generation austricksen können, die auf Push, OTP (One Time Passwords) und QR-Codes basieren, folgen werden AiTM-Angriffe. Eine Multifaktor-Authentifizierung, die Brute-Force-Angriffe auf Passwörter verhindert, ist zwar ein guter Anfang, reicht für IT-Administratoren jedoch nicht aus. Um die Sicherheit von Adminkonten zu gewährleisten, sollten Entscheider daher auf eine Phishing-sichere MFA setzen, die das Unternehmen vor allen Arten von Phishing-Angriffen auf Anmeldedaten, passwortbasierten Angriffen und AiTM-Angriffen schützen kann.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.