Passwort-Missbrauch: Phishing wesentliches Risiko für Datenverlust in Unternehmen

Experiment von Bitglass mit fiktivem Lockvogel beweist Ernst der Bedrohung

[datensicherheit.de, 08.08.2018] Phishing-Angriffe, die darauf abzielen, mittels „Social Engineering“ von Mitarbeitern sensible Daten zu erbeuten, gehören zu den bedeutendsten Risiken für Datenverlust in Unternehmen. Wie ein entsprechendes Worst-Case-Szenario aussehen könnte, hat Bitglass nach eignen Angaben in einem Experiment ermittelt: Hierzu seien Google-Zugangsdaten einer fiktiven Person im sogenannten Darknet veröffentlicht und anschließend die Zugriffe auf die im „Google Drive“-Ordner hinterlegten Dateien erfasst worden. Michael Scheffler, „Regional Director CEEU“ bei Bitglass, berichtet, welche Aktivitäten beobachtet werden konnten und welche Konsequenzen sich daraus für die Security-Strategie von Unternehmen ergeben.

Foto: Bitglass

Michael Scheffler: Unternehmen sollten auf mehreren Ebenen Kontrollmechanismen etablieren, um dem Verlust sensibler Daten vorzubeugen!

Vor allem Phishing bereitet Unternehmen gegenwärtig Kopfschmerzen

Trotz ausgereifter Sicherheitstechnologien blieben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyber-Kriminelle ihre „Social Engineering“-Angriffe immer weiter verfeinerten. Scheffler: „Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten.“ So würden E-Mails im Namen von Payment-Services, Shop-Anbietern oder E-Mail-Servicehosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Login-Daten weitere sensible, persönliche Daten zu erbeuten.
„Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen ,Cumulus‘ den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen“, berichtet Scheffler.

Ein vermeintlicher Bankangestellter als Lockvogel

Um diese Fragen zu beantworten, habe das Bitglass-Forschungsteam einen Lockvogel genutzt: Es habe die digitale Identität eines Bankangestellten einer fiktiven Bank kreiert. Dazu sei ein funktionierendes Banking-Portal eingerichtet sowie ein „Google Drive“-Account angelegt worden, in dem sowohl persönliche Daten wie Kreditkartennummern als auch Dokumente aus dem Arbeitsalltag deponiert worden seien. Scheffler: „Die Google-Anmeldedaten des Lockvogel-Accounts wurden vom Forschungsteam schließlich im ,Darknet‘ veröffentlicht. Alle Dateien in dem ,Google Drive‘-Ordner wurden zuvor jedoch mit einem digitalen Wasserzeichen versehen, so dass das Forschungsteam sämtliche Aktivitäten der ,Datendiebe‘, vom Login bis zum Dateidownload, verfolgen konnte.“
In den ersten 24 Stunden nach dem Posting im „Darknet“ hätten mehr als 1.400 Besucher aus über 30 Ländern sich die scheinbar gestohlenen Nutzerdaten näher angesehen, die ersten Datei-Downloads aus dem „Google Drive“-Ordner seien binnen 48 Stunden erfolgt.

Selektives Vorgehen der Datendiebe

Unter den Besuchern sei eindeutig eine gezielte Vorgehensweise erkennbar gewesen: So seien Dateien, die augenscheinlich sensible Finanzinformationen enthielten, am schnellsten geöffnet worden. Die Aktivitätsprotokolle, welche das Bitglass-Team aus der API-Integration der Google-Anwendung erhalten habe, hätten zudem gezeigt, dass in vielen Fällen unmittelbar nach Zugriff auf das Drive-Laufwerk auch der Datei-Download vorgenommen worden sei.
Dabei zeigten sich unterschiedliche Vorgehensweisen: Während manche anscheinend wahllos sämtliche Dateien heruntergeladen hätten – darunter beispielsweise auch die Speisepläne der Kantine – habe sich ein Anteil von zwölf Prozent ausschließlich auf die sensibelsten Inhalte konzentriert, insbesondere Dokumente mit Kreditkartendaten und Unternehmensdokumente mit Bankkundeninformationen. Eine Weitergabe oder Nutzung der Kreditkartendaten sei während des Experiments jedoch nicht aufgetreten. Es bestehe dennoch keine Gewissheit, dass Hacker diese Daten in Zukunft nicht weiterverwenden würden.

Fataler Nutzerfehler: Bequemlichkeit bei der Passwortvergabe

Wie viele Internetuser habe auch der fiktive Bankangestellte dasselbe Passwort für unterschiedliche Webservices benutzt. Eine Tatsache, der sich Cyber-Kriminelle bewusst seien: Nachdem die Hacker mit den durchgesickerten Anmeldeinformationen erfolgreich auf das „Google Drive“-Laufwerk zugegriffen hätten, habe das Forschungsteam bemerkt, dass die meisten von ihnen anschließend versucht hätten, dieselben Anmeldeinformationen auch auf anderen Websites anzuwenden.
In dieser Hinsicht seien die Hacker äußerst unerbittlich: 36 Prozent der angelockten Cyber-Kriminellen hätten sich auf das private Bankkonto des Opfers gestürzt, auf welches sie mit den Anmeldedaten einfach hätten zugreifen können. „Dabei beobachteten die Bitglass-Forscher auch mehrere wiederkehrende Logins derselben kriminellen User, einige innerhalb von Stunden, andere wiederum noch Wochen nach dem ersten Login. Ebenso wurde es häufig beobachtet, dass die Hacker die Passwörter änderten, um den Nutzer von seinen Accounts auszusperren“, erläutert Scheffler.

Hacker wahren professionell ihre Anonymität

Bei einigen Zugriffen auf das Banking-Portal habe ermittelt werden können, dass die Cyber-Kriminellen aus den US-Bundesstaaten Wisconsin und Kalifornien, sowie aus den Ländern Österreich, den Niederlanden, den Philippinen sowie der Türkei gekommen seien. Die deutliche Mehrheit jedoch – 68 Prozent – hätten sowohl für den Zugriff auf das Banking-Portal als auch das „Google Drive“-Laufwerk den „Tor“-Browser genutzt, um ihre IP-Adressen zu verschleiern.
Scheffler: „Ein Hacker der ,Dark Web‘-Community ermutigte die Mitglieder sogar, einen mit Kryptowährung bezahlten VPN-Dienst in Verbindung mit ,Tor‘ zu benutzen, um das Risiko einer Strafverfolgung nach dem US-Computerbetrugs- und Missbrauchsgesetz zu minimieren. Ein deutliches Indiz für die zunehmende Professionalisierung und Organisation unter den Cyber-Kriminellen.“

Mehrstufiger Ansatz für Sicherheit in der Cloud

„Wie das Experiment zeigte, sind sowohl Unternehmens- als auch persönliche Daten eine durchaus beliebte Ware, für die sich stets interessierte Abnehmer finden“, so Scheffler. Um ihre Daten wirksam zu schützen und sich nicht ausschließlich auf das Sicherheitsbewusstsein ihrer Mitarbeiter verlassen zu müssen, sollten Unternehmen auf mehreren Ebenen Kontrollmechanismen etablieren, die dem Verlust sensibler Daten vorbeugen könnten.
Für öffentliche Cloud-Anwendungen wie „Google Drive“ sei die Möglichkeit, den Zugriff kontextabhängig beschränken oder verhindern zu können, der Schlüssel zum Schutz sensibler Daten. In dem Bankbeispiel hätte die IT-Abteilung eine „Cloud Access Security Broker“-Lösung (CASB) nutzen können, um verdächtige Anmeldeversuche zu identifizieren, das Herunterladen von Kundendaten aus der Cloud zu verhindern oder den Upload sensibler Daten in die Cloud zu blockieren. IT-Administratoren würden außerdem unmittelbar auf ungewöhnliche Aktivitäten – wie die im Google-Laufwerk des Bankmitarbeiters – aufmerksam gemacht, insbesondere wenn mehrere Anmeldungen von entfernten Standorten kommen, und könnten sofort Gegenmaßnahmen einleiten.
Die im Experiment verwendete Wasserzeichentechnologie könne auch einen Einblick in den verdächtigen Umgang mit Daten aus Cloud-Anwendungen geben. Kombiniert mit maschinellen Lerntechniken, um das Nutzerverhalten zu erfassen und Abweichungen zu erkennen, könnten verdächtige Zugriffe umgehend aufgespürt werden – selbst, wenn sie menschlichen IT-Administratoren wie eine „Nadel im Heuhaufen“ erscheinen mögen.
Schließlich hätten die im Experiment erfassten erfolgreichen Zugriffe verhindert werden können, wenn die Wiederverwendung von Passwörtern untersagt und fortschrittliche Authentifizierungsmethoden genutzt worden wären. Eine integrierte Identitätsmanagementlösung mit Unterstützung für „Single Sign-On“, Multi-Faktor-Authentifizierung, sowie Einmal-Passwörtern sei dafür unerlässlich. Bei verdächtigen Anmeldungen und Aktivitäten beispielsweise wende diese stets eine Multi-Faktor-Authentifizierung an. Durch die Anwendung dieses mehrstufigen Ansatzes könnten Unternehmen schließlich nicht nur ihre sensiblen Daten schützen, sondern darüber hinaus ihren Mitarbeitern den Komfort, den die Arbeit mit Cloud-Anwendungen bietet, weiterhin bieten.

Weitere Informatione zum Thema:

datensicherheit.de, 19.07.2018
Phishing: Absurde Spam-E-Mails verheißen Millionengewinne, Provisionen und Erbschaften

datensicherheit.de, 13.07.2018
Wärmespuren auf der Tastatur erlauben Passwortdiebstahl

datensicherheit.de, 01.02.2017
Passwort zur eindeutigen Authentifizierung nicht mehr ausreichend