Diebstahl von Zugangsdaten
Der Diebstahl von Anmeldeinformationen ist die erste Stufe eines anmeldungsbasierten Angriffs. Mit gestohlenen Zugangsdaten ist es Kriminellen möglich Passwörter zurückzusetzen, das Opfer aus dem Konto auszusperren, private Daten herunterzuladen oder Zugriff auf andere Rechner im Netzwerk zu erhalten. Darüber hinaus können die Cyberkriminellen auch Daten und Backups des Opfers löschen. Mit den Zugangsdaten des Opfers können sich die Angreifer auch Fernzugriff auf Systeme verschaffen, die das Opfer im Arbeitsalltag nutzt. Mit legitimen Passwörtern können sich die Diebe dann bei Diensten wie Microsoft Office 365 beziehungsweise Microsoft 365, DocuSign oder Dropbox anmelden, die von Unternehmen für den Geschäftsbetrieb genutzt werden.
Der Diebstahl von Zugangsdaten, die Wiederverwendung und die anschließende verdächtige Anmeldung sollten sowohl von kleinen wie großen Unternehmen eine hohe Aufmerksamkeit erfahren. Gestohlene Zugangsdaten waren die Ursache für die größten und auch kostspieligsten Datenschutzverletzungen der jüngeren Vergangenheit, wie etwa der Angriff auf Equifax. Industrielle Kontrollsysteme (ICS) und kritische Infrastrukturen sind ebenfalls anfällig für Angriffe mit Zugangsdaten. Kriminelle können gestohlene Zugangsdaten im Dark Web kaufen, dem nicht öffentlich zugänglichen Teil des Internets.
Das Hasso-Plattner-Institut (HPI) in Potsdam bietet einen Dienst an, der es Anwendern und Unternehmen ermöglicht herauszufinden, ob das Passwort einer E-Mail-Adresse kompromittiert worden ist. International ist auch der Dienst Have I Been Pwned (HIBP) sehr bekannt, der nützlich sein kann, wenn man wissen möchte, ob die Online-Anmeldeinformationen gestohlen wurden.
Wie Anmeldeinformationen gestohlen werden
Anmeldedaten können in Form von Hashes oder sogar Klartextpasswörtern extrahiert werden. Um Anwender und Mitarbeiter in Unternehmen zu täuschen, setzen Kriminelle häufig auf Phishing. Dabei handelt es sich für die Angreifer um eine kostengünstige Methode, um sehr effizient an die gewünschten Zugangsdaten zu gelangen. Im Gegensatz zu Schadsoftware oder Exploits, die Schwachstellen in der Sicherheitsabwehr erfordern, können Anmeldedaten auch auf andere Weise offengelegt werden, etwa durch Erraten oder auch Brute-Force-Angriffe oder ganz einfache Lecks von Anmeldedaten.
Um gezielt an Zugangsdaten von bestimmten Personen in Unternehmen zu gelangen, durchforsten Angreifer auch soziale Medien, um an möglichst viele Informationen des Kontaktes zu gelangen. Diese Informationen werden dann für sehr gezielte Angriffe, etwa per Phishing, genutzt, um Anmeldedaten von Nutzern zu erbeuten, die Zugriff auf wichtige Daten und Informationen gewähren. Die Phishing-E-Mails und -Websites, die für den Diebstahl von Unternehmensanmeldedaten verwendet werden, sind ausgefeilter und gezielter als die Massenaussendungen an private Endanwender. Die Angreifer lassen Websites und E-Mails so aussehen, als gehörten sie den ganz normalen Unternehmensanwendungen und der Unternehmenskommunikation.
Wie kann man sich vor dem Diebstahl von Zugangsdaten schützen
Endanwender können sich am besten schützen, in dem sie - wann immer möglich - die Multifaktor-Authentifizierung bei Diensten aktivieren. Die Passwörter sollten eher lang gewählt und nicht mehrfach genutzt werden. Diese beiden Punkte gelten prinzipiell auch für die Anwender in Unternehmen, dort sollten aber weitere Maßnahmen ergriffen werden:
- Mitarbeiter sollten im Hinblick auf Phishing und die Verwendung starker Passwörter sowie allgemeinem Sicherheitsbewusstsein geschult werden.
- In Sachen Privileged Access Management (PAM) sollten bewährte Vorgehensweisen zum Einsatz kommen.
- Die Verwendung der Unternehmensanmeldedaten sollte auf die genehmigten Anwendungen beschränkt sein.
- Die Nutzung von unbekannten Anwendungen sollte gesperrt sein.
- Es sollten regelmäßig Schwachstellenanalysen durchgeführt werden.
- Betriebssysteme, Anwendungen und Geräte sollte immer auf dem aktuellen Stand gehalten werden.
- Tools zur Verschlüsselung, Endpunktsicherheit und dem Erkennen von verdächtigen Aktivitäten sollten zur Standardausstattung des Unternehmens gehören.
