Photographee.eu - Fotolia

F

Zugangsdaten gestohlen: Was können Unternehmen tun?

Mithilfe gestohlener Zugangsdaten infiltrieren Angreifer Unternehmensnetzwerke und stehlen Daten. So können sich Unternehmen schützen.

Ein kürzlich veröffentlichter Report der Dell SecureWorks Counter Threat Unit erklärt, wie Angreifer sich mithilfe gestohlener Zugangsdaten gegen eine Entdeckung schützen, wenn sie ein Netzwerk attackieren. Wenn eigentlich gültige Zugangsdaten zum Einsatz kommen, wie können Unternehmen solche Angriffe stoppen? Und wie stellt man am besten fest, ob Daten gestohlen oder kompromittiert wurden?

Der Unterschied zwischen internen Bedrohungen und kompromittierten Zugangsdaten ist minimal, ebenso wie es schwierig ist, zwischen internen Angriffen und externen Malware-Attacken zu unterscheiden. Die gleichen Überwachungsfunktionen, mit denen sich eine Gefahr durch Insider entdecken lässt, kann man nutzen, um einen Angreifer zu finden, der kompromittierte Zugangsdaten nutzt. Die gleichen Zugriffs-Logs lassen sich überwachen, um verdächtiges Verhalten zu entdecken. Dazu gehören Beispielsweise Login-Versuche zu seltsamen Zeiten oder Logins von unbekannten IP-Adressen.

Ein Unternehmen kann solche Attacken minimieren, indem Kennwörter regelmäßig vom Nutzer geändert werden müssen. Zudem sollten angegriffene IP-Systeme idealerweise isoliert werden. So können Unternehmen herausfinden, welche Systeme und Accounts kompromittiert wurden. Anschließend lassen sich die notwendigen Schritte durchführen, um die Attacken abzuwehren oder Säuberungsmaßnahmen einzuleiten. Dazu kann auch gehören, dass das Betriebssystem von einem sauberen Medium neu installiert werden muss.

Ein Unternehmen kann dann feststellen, ob Informationen entwendet wurden, indem sie eine interne Liste von Zugangsdaten nutzen. Die Sicherheitsteams können anschließend feststellen, welche Informationen auf den jeweiligen Systemen gespeichert waren und welche davon mit den gestohlenen Zugangsdaten aufgerufen werden konnten. Anschließend kann man anhand einer Zugriffsliste, zur Verfügung gestellt vom Betriebssystem oder einer Host-Based IDS, feststellen, welche Informationen abgerufen wurden. Zeitgleich sollten Netzwerk-Logs überprüft werden, um festzustellen, wie viele Daten während des vermeintlichen Dateneinbruchs übertragen wurden.

Normalerweise werden diese Informationen aufgrund von Ressourcenproblemen nicht gespeichert. Dabei kann es sich im Nachgang nach einer Attacke durchaus lohnen, die Informationen, die aus dem oder ins Web fließen, aufzuzeichnen, um bei künftigen Attacken besser reagieren zu können. Diese Daten lassen sich beispielsweise mit NetFlow-Collector oder einem Tool zur Netzwerküberwachung aufzeichnen. Aber selbst dann kann es schwierig sein, genau nachzuvollziehen, welche Daten ein Angreifer tatsächlich abgerufen hat.

Wie im Bericht von Dell SecureWorks erwähnt wird, gehört eine Zwei-Faktor-Authentisierung zu den besten Möglichkeiten, um die Verwendung gestohlener Zugangsdaten zu verhindern. Nicht nur kann damit der eigentliche Einbruch verhindert werden, ohne den zusätzlichen Faktor, etwa einen Generator für ein Einmalpasswort, können Angreifer selbst mit gültigen Kennwörtern nichts anfangen. Gerade wichtige Unternehmensbereiche sollten daher mit dieser Sicherheitstechnik geschützt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close