Gestohlene Zugangsdaten – Ursachen und Konsequenzen
In der Sicherheit von Systemen ist das Identity und Access Management (IAM) weiterhin ein Dauerbrenner: Wie wichtig stringente Zugangskontrollen sind, ist fast eine Binsenweisheit, aber die Umsetzung in die Praxis scheitert an vielen kleinen Hürden.
Nach wie vor ein sensibler Punkt ist die Sicherheit von Zugangsdaten: Eine aktuelle Studie von Verizon hat ergeben, dass gestohlene Zugangsdaten in über 44 Prozent der erfolgreichen Datenabflüsse das Einfallstor sind. Im Bereich der erfolgreichen Angriffe auf Webapplikationen ist es mit 86 Prozent der Fälle sogar die überwältigende Mehrheit, in denen mit gestohlenen Zugangsdaten gearbeitet wurde. Wie kann es aber dazu kommen, dass etwas geheimes wie Zugangsdaten so häufig missbraucht werden können und was bedeutet das für Ihre IT-Sicherheit?
Ursachen gestohlener Zugangsdaten
Auch wenn Multifaktorauthentifizierung (MFA) sich immer mehr durchsetzt, ist sie bei weitem nicht in allen Unternehmen und Organisationen Standard. Einfache Benutzername-Passwort-Kombinationen zu erbeuten und diese via Credential Stuffing oder Password-Spraying auszuprobieren, ist also für Angreifer häufig immer noch ein gangbarer Weg, um unberechtigten Zugriff auf Systeme zu erhalten.
Um an die Zugangsdaten zu kommen, gibt es verschiedene Wege, die je nach Ressourcen des Angreifers und Eigenheiten der angegriffenen Organisation ausgewählt, angepasst oder gar kombiniert werden können:
Social Engineering
Unter Social Engineering fallen in diesem Zusammenhang alle Angriffe, die Benutzer auf betrügerische Weise dazu bringen wollen, ihre Zugangsdaten offenzulegen. Beispiele sind etwa Anrufe von vermeintlichen Mitarbeitender am Helpdesk oder das Ausschnüffeln persönlicher Informationen, um aus diesen mögliche Passwörter abzuleiten.
Der Übergang ist hier fließend zu solchen Angriffen, die ebenfalls offline stattfinden, aber nur indirekten Kontakt zwischen Benutzer und Angreifer voraussetzen – etwa das Shoulder Surfing, bei dem ein Nutzer bei der Eingabe von Zugangsdaten unbemerkt beobachtet wird, beispielsweise beim Arbeiten in der Bahn oder an anderen öffentlichen Orten.
Phishing und Spear Phishing
Die populärste Unterform des Social Engineering und ebenfalls ein Standard-Werkzeug im Arsenal der Angreifer sind verschiedene Arten von Phishing. Hierzu zählt das herkömmliche Phishing per E-Mail, also der Versand gefälschter E-Mails, die dazu auffordern, sich auf einer ebenfalls gefälschten Webseite mit den eigenen Benutzerdaten anzumelden. Spezifischer auf den Empfänger zugeschnitten sind Spear-Phishing-Mails – hier sind häufig vermeintlich vertrauliche Informationen aus dem Unternehmen enthalten, die der Angreifer auf anderem Wege erlangt hat und die vorspiegeln sollen, es handle sich um eine wichtige interne E-Mail. Auch hier wird dazu aufgefordert, Zugangsdaten auf einer gefälschten Webseite einzugeben oder die Daten auf anderem Wege preiszugeben. Die Variante, bei der die Aufforderung per SMS kommt, wird als „Smishing“ bezeichnet; ein Angriff per Telefon als „Vishing“ (von „Voice“).
Keylogger, Infostealer und andere Malware
Eine weitere Möglichkeit, wie Angreifer an Zugangsdaten gelangen können, ist das Einschleusen eines sogenannten Keyloggers auf dem Gerät des Nutzers. Bei Keyloggern handelt es sich um kleine Schadprogramme, die die Tastatureingaben von Nutzern aufzeichnen und unbemerkt direkt an den Angreifer übermitteln oder auch in einer Log-Datei ablegen, die von diesem später abgerufen wird.
Infostealer hingegen verwenden verschiedene Techniken, um Zugriff auf sensible Daten wie Benutzernamen, Passwörter, Kreditkarteninformationen, Sitzungsdaten, Cookies und persönliche Daten zu erhalten und an die Angreifer zurückzusenden. Infostealer-Malware kann sich über infizierte E-Mail-Anhänge, bösartige Websites, schädliche Downloads oder durch Ausnutzung von Sicherheitslücken in Software verbreiten. Mithilfe von zuverlässiger Antivirensoftware, regelmäßigen Software-Updates und Schulungen im Umgang mit verdächtigen E-Mails, Links und Websites kann man die Gefahr eindämmen.
Erbeuten und Auswerten von Passwort- oder Hash-Datenbanken
In großem Stil schließlich können Angreifer an Zugangsdaten gelangen, indem sie bei anderen Datenabflüssen erbeutete Datenbanken mit Passwörtern – entweder im Klartext, verschlüsselt oder als Hash – auswerten. Die Speicherung von Passwörtern im Klartext sollte eigentlich längst ausgestorben sein; tatsächlich zeigen die Beispiele aus der Schwachstellendatenbank von MITRE, dass sie in den letzten Jahren seltener geworden ist. Doch vereinzelt kommt sie immer noch vor.
Verschlüsselte oder gehashte Passwörter können, wenn die Angreifer die entsprechende Datenbank lokal vorliegen haben, mit verschiedenen Werkzeugen entschlüsselt bzw. rekonstruiert werden. Dies gelingt nicht in allen Fällen, ist aber doch häufig erfolgreich und gibt den Angreifern dann gleich eine große Anzahl gestohlener Zugangsdaten an die Hand.
Selbst, wenn die Organisation bemerkt, dass eine solche Datenbank gestohlen wurde, und ihre Nutzer benachrichtigt, bleiben die Daten oft wertvoll für Cyberkriminelle, weil viele Nutzer – entgegen allen Empfehlungen – Passwörter mehrfach oder nur leicht variiert verwenden, sowohl im privaten als auch beruflichen Kontext. Erschreckenderweise sind solche Praktiken sogar unter IT-Administratoren verbreitet, wie eigene Daten von Outpost24 zeigen.
Konsequenzen gestohlener Zugangsdaten
Gelegentlich werden gestohlene Zugangsdaten von Angreifern genutzt, um ein Unternehmen offensichtlich (und öffentlichkeitswirksam) zu sabotieren, etwa durch das Defacing der Webseite. Wesentlich häufiger – mit einer wahrscheinlich hohen Dunkelziffer – ist es aber, dass unbefugter Zugriff mittels gestohlener Zugangsdaten erst verzögert bemerkt wird.
Laut Verizon-Bericht sind nahezu alle erfolgreichen Angriffe auf Daten (knapp 95 Prozent) finanziell motiviert. Solche Angreifer haben kein Interesse daran, dass ihr Angriff sofort (oder überhaupt) bemerkt wird. Je länger sie unbemerkt agieren können – und ihre Zugriffsrechte durch Privilege Escalation weiter steigern – desto mehr Möglichkeiten haben sie, durch den illegal erlangten Zugriff noch weitere Daten zu erbeuten, die sie finanziell verwerten können.
Eine der wichtigsten Monetarisierungsstrategien ist Erpressung. Denn hier können Kriminelle unmittelbar von einem erfolgreichen Angriff profitieren. Besonders hoher Druck wird bei der sogenannten Double Extortion aufgebaut: Hier wird zum einen damit gedroht, die Daten durch Verschlüsselung unbrauchbar zu machen (Stichwort Ransomware) und zum anderen, sensible Informationen offenzulegen oder auf dem Schwarzmarkt zu verkaufen.
Weitere Verwertungsmöglichkeiten eröffnen sich durch Identitätsdiebstahl nach dem Erbeuten personenbezogener Daten, etwa von Kunden, Patienten oder Mitarbeitenden. Das Spektrum reicht von Kreditkartenbetrug über Geldwäsche (Eröffnung von Bankkonten unter falschem Namen) bis hin zur Verwendung fremder Personas, um weitere illegale Angriffe durchzuführen, beispielsweise im Social Engineering.
Doch nicht nur personenbezogene Daten sind wertvoll: Auch Geschäftsgeheimnisse reizen Angreifer. Solche Formen der Industriespionage erfolgen häufig auch über Landesgrenzen hinweg. Die Abgrenzung zwischen illegalen Gruppen und der Tätigkeit von Geheimdiensten ist oft schwer zu ziehen.
Die Zukunft der kommerziellen Verwertung gestohlener Zugangsdaten
Und schließlich müssen Angreifer nicht einmal mehr selbst die technischen Fähigkeiten zum Eindringen in Systeme entwickeln: Mehr und mehr drängen sogenannte Traffers an den (illegalen) Markt. Dies sind Gruppen, die den Einbruch in fremde Systeme und Diebstahl oder Manipulation von Daten als richtiggehende Dienstleistung anbieten. Diese Gruppen haben sich so weit professionalisiert, dass sie mittlerweile neues Personal systematisch anwerben und trainieren und ihren Kunden sogar Subscription-Modelle anbieten. Mehr dazu lesen Sie in unserem Whitepaper zum Thema Traffers.
Wie können sich Organisationen vor dem Missbrauch gestohlener Zugangsdaten schützen?
Wie können Sie herausfinden, ob Ihre Organisation durch gestohlene Zugangsdaten gefährdet ist? Outpost24 bietet eine Reihe von Lösungen und Services, um festzustellen, ob in Ihrer Infrastruktur möglicherweise kompromittierte Credentials schlummern:
- Eine kostenlose Analyse Ihrer extern erreichbaren Services und Webseiten mit Sweepatic External Attack Surface Management.
-> Jetzt anfordern! - Die Überwachung von Open, Deep und Dark-Web auf gestohlene Zugangsdaten aus Ihrer Organisation, die in einschlägigen Telegram-Kanälen, Foren oder Marktplätzen gehandelt werden.
-> Wir beraten Sie gerne! - Eine kostenlose Analyse Ihrer Active Directory Kennwörter mit dem Specops Password Auditor.
-> Jetzt herunterladen!
Um sich wirkungsvoll vor den Folgen von gestohlenen Zugansdaten zu schützen, ist es wichtig, das Risiko zu bewerten und mögliche Quellen oder Datenlecks zu identifizieren. Gerne beraten unsere Experten Sie zu den passenden Lösungen für Ihre Sicherheitslage.