Gestohlene Zugangsdaten: Wie Unternehmen reagieren können

Bei vielen kompromittierten Zugangsdaten handelt es sich um Firmen-Accounts. Mit gezielten Maßnahmen können sich Unternehmen vor Angriffen schützen.

Gehackte Konten, geleakte Zugangsdaten, gestohlene Passwörter – fallen vertrauliche Daten in die Hände von Hackern ist das oft nicht nur ein Problem für die jeweiligen User. Bei großen Daten-Leaks – wie dem spektakulären Hack von mehr als 500 Millionen Yahoo-Konten – schrillen auch bei Unternehmen die Alarmglocken. Denn es gibt mehr als einen Weg, um die gestohlenen Daten für Angriffe zu nutzen. Sind die Zugangsdaten erst einmal öffentlich, können jedoch gezielte Sicherheitsmaßnahmen vor weiteren Attacken schützen.

Soziale Netzwerke und Unterhaltungsseiten zählen zu häufigsten Angriffszielen für Datendiebe. Das bestätigt auch eine aktuelle Analyse der 1000 größten Unternehmen der Forbes Global 2000-Liste auf kompromittierte Authentifizierungsdaten. Das Ergebnis: Zu den größten Quellen der geleakten Login-Daten zählen LinkedIn (30 Prozent), MySpace (21 Prozent) und Tumblr (8 Prozent).

Für Angreifer sind diese Seiten eine wahre Fundgruben. Aber auch groß angelegte Datendiebstähle anderer Unternehmen oder Finanzdienstleister, wie beispielsweise JPMorgan Chase, sollten ernst genommen werden. Denn obwohl es sich dabei meist um private Accounts handelt, können diese kompromittieren Daten auch für Unternehmen riskant werden.

Credential Stuffing

Credential Stuffing ist dabei eine Methode. Nach wie vor nutzen Kontoinhaber ein und dieselbe Kombination aus Username und Passwort, um auf unterschiedliche Accounts, Websites und Apps zuzugreifen. Sind solche wiederkehrende Logins einmal in die Händen von Hackern gelangt, können sie für weitere Angriffe genutzt werden – unter anderem auch auf den Unternehmens-Account.

Erpressung

Weitaus kritischer wird es, wenn Mitarbeiter ihr Firmenkonto für private Zwecken nutzen, zum Beispiel um sich für Spiele-Apps, Glückspielseiten oder Dating-Services zu registrieren. Das kommt häufiger vor als gedacht. Insbesondere Dating-Sites stehen als originäre Quelle von geleakten – und wohl gemerkt unternehmenseigenen – Zugangsdaten weit oben auf der Liste. Ashley Madison, Adult FriendFinder und Mate1 sind nur einige Beispiele. Solche teilweise sehr brisanten Daten können dann genutzt werden, um Mitarbeiter in Führungspositionen unter Druck zu setzen und Geld in Form von Bitcoins zu erpressen.

Spear Phishing

Je persönlicher die Daten, desto einfacher können Hacker ein genaues Profil der jeweiligen Anwender erstellen und maßgeschneiderte Angriffe starten. Durch die Einsicht in persönliche Verbindungsdaten weiß der Hacker, mit welchen Personen und Unternehmen, beispielsweise Arbeitgeber, Bank, Versicherung, der Betroffene kommuniziert. So werden Nutzer dazu gebracht, E-Mails inklusive mitgelieferter Trojaner oder Keylogger zu öffnen.

Abbildung 1: Gestohlene oder geleakte Zugangsdaten bergen eine ganze Reihe von Risiken und unterschiedliche Angriffspunkte.

Multipliziert werden solche Spam- und Phishing-E-Mails in Botnets, einer Gruppe von automatisierten Computerprogrammen, die die geleakten E-Mailadressen und Zugangsdaten immer und immer wieder für Angriffe nutzen.

Abwehr- und Schutzmaßnahmen

Um solche Angriffe abzuwehren und geleakte Login-Daten zu entschärfen, sollten Unternehmen auf unterschiedlichen Ebenen Sicherheitsmaßnahmen einführen. Dazu zählen ein sicheres Passwort-Management, das Monitoring von gemeldeten Daten-Hacks, ein Überblick über die IT-Assets im Unternehmen sowie das Etablieren von Sicherheitsrichtlinien für Mitarbeiter.

Auch wenn es für viele selbstverständlich klingen mag: Das Einhalten fester Regeln in Sachen Passwort ist und bleibt unerlässlich. Dazu gehört ein komplexes, nicht nachvollziehbares Passwort, das idealerweise über eine kryptologische Hashfunktion erstellt wird und regelmäßig geändert wird. Vor allem aber, sollte nie dasselbe Passwort für unterschiedliche Dienste verwendet werden.

Um nicht im Passwortchaos zu versinken, gibt es diverse Sicherheits-Tools, die unterschiedliche Passwörter in einem Encrypted Vault speichern und verwalten und den meisten Cyberattacken standhalten. Wenn möglich, sollten Anwender zudem Zwei- und Drei-Faktor-Authentifizierungsverfahren einsetzen, die einen separaten Security Token oder Verifikationstechnik nutzen.

Für Unternehmen empfehlen sich zusätzliche Lösungen für das Passwort-Management. Das erhöht die Sicherheit für interne Storage- und Filesharing-Lösungen. Externe, genehmigte Services, sollten zudem erfasst und genau überprüft werden, beispielsweise, ob sie den internen Passwortrichtlinien und -Formaten entsprechen. Das schafft ein besseres Risikoverständnis und bringt vorhandene Normen und Praktiken auf den kleinsten gemeinsamen Nenner.

Kommt es doch zu einem Leak von Passwörtern, helfen vorab definierte und etablierte Maßnahmenpläne, um die Passwörter zurückzusetzen. Dabei ist es entscheidend, auch wirklich alle Nutzerkonten einzubeziehen und nicht nur Microsoft Active-Directory-Accounts zu fokussieren.

Proaktives Monitoring von Daten-Dumps

Für große Unternehmen lohnt es sich auch, bekannte Daten-Hacks im Auge zu behalten und aktiv daraus entstehenden Sicherheitsrisiken nachzugehen. Eine interne, wie externe Analyse von Credential Dumps hilft dabei festzustellen, ob es sich bei den geleakten Login-Daten um tatsächlich neue beziehungsweise relevante Daten handelt, oder um Duplikate vorausgegangener Datenleaks.

„Sicherheitsrisiken lassen sich nur dann richtig einschätzen, wenn Unternehmen einen genauen Überblick der intern genutzten Services besitzen.“

Michael Marriott, Digital Shadows

Informationen zu kompromittierten Zugangsdaten lassen sich nutzen, um einen Abgleich mit im Unternehmen verwendeten Daten durchzuführen. Verdächtige Aktionen können so aufgedeckt werden, zum Beispiel bei Zugriff auf bisher nicht genutzte Ressourcen. Voraussetzung dafür sind Lösungen, die eine Analyse des Nutzerverhaltens in Unternehmen ermöglichen. Unter Umständen ist auch eine Überprüfung von nicht-firmeninternen Accounts hochrangiger Mitarbeiter (Vorstände, Geschäftsführung, etc.) notwendig, da diese bevorzugt ins Visier von Angreifern geraten.

IT-Assets im Griff

Sicherheitsrisiken lassen sich nur dann richtig einschätzen, wenn Unternehmen einen genauen Überblick der intern genutzten Services besitzen. Daher sollten die Anwendungen identifiziert und dokumentiert werden, die im Falle eines Angriffs nur ungenügend oder zu langsam reagieren. Das Einrichten eines mehrstufigen Authentifizierungsprozesses für alle externen Services ist ebenfalls nötig, wie zum Beispiel Microsoft Outlook Web Access, SSL-VPNs, Google Anwendungen oder auch Office 365 oder Salesforce.

Sicherheitsbewusstsein schärfen

Die größten Unsicherheitsfaktoren für Unternehmen sind und bleiben jedoch die Mitarbeiter. Besteht innerhalb des Unternehmens kein Bewusstsein für Sicherheitsrisiken und den Bedrohungen des Internets, greifen auch automatisierten Security-Tools wenig. Unternehmen müssen sicherstellen, dass Mitarbeiter Unternehmensdaten nicht für private Zwecke verwenden. Es muss nicht nur klare Richtlinien geben, welche externen Services über unternehmenseigene E-Mail-Accounts genutzt werden dürfen. Ihre Einhaltung sollte auch in regelmäßigen Abständen überprüft werden. Social-Media-Plattformen sowie Dating- und Gaming-Websites gehören dabei ganz nach oben auf die rote Liste.

Um die Cyber Situational Awareness ihrer Mitarbeiter zu schärfen, führen mehr und mehr Unternehmen zudem regelmäßig Mitarbeiterschulungen durch. Dabei werden Mitarbeiter dazu angehalten, nicht nur für unternehmenseigene, sondern auch für private Accounts, Passwort-Management-Tools wie 1Password oder LastPass zu nutzen. 

Lassen sich durch diese Maßnahmen Cyberattacken auch nicht gänzlich verhindern, senken sie zumindest das Risikopotenzial geleakter Login-Daten. Und sie ermöglichen es Unternehmen, schneller und effektiver auf potentielle Angriffe zu reagieren.

Über den Autor:
Michael Marriott ist Research Analyst bei Digital Shadows.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gestohlene Zugangsdaten sind häufig Firmen-Accounts.

Passwortregeln auf den Prüfstand stellen.

Risiko Zugangsdaten: IAM für Cloud-Anwendungen.

Zugangsdaten gestohlen: Was können Unternehmen tun?

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Cloud-Sicherheit

ComputerWeekly.de

Close