[datensicherheit.de, 14.10.2020] Cyber-Angriffe können offensichtlich unterschiedlich motiviert sein – vom finanziellen Profit bis zur Spionage. Das Angriffsmuster sei aber in aller Regel relativ ähnlich: Angreifer nutzten privilegierte Benutzerkonten für ihre Aktivitäten. Deshalb müssten Unternehmen verstärkt präventive Maßnahmen zum Schutz der privilegierten Accounts ergreifen, rät CyberArk.

Cyber-Angreifer kaum noch mit Sicherheitsmaßnahmen am Perimeter wirksam zu stoppen

Viele Unternehmen – gerade auch im Mittelstand – seien immer noch der Meinung, dass sie Cyber-Angriffe mit Sicherheitsmaßnahmen am Perimeter wirksam stoppen könnten. Die Realität sehe aber anders aus:„Datenverluste, Integritätsprobleme oder Unterbrechungen von Services bei geschäftskritischen Anwendungen sind trotz elementarer Sicherheitsmaßnahmen wie eines Perimeter-Schutzes mit Firewalls und Antiviren (AV)-Lösungen an der Tagesordnung.“
Das Problem sei, dass ein Unternehmen mit solchen Maßnahmen Sicherheitsrisiken infolge von zielgerichteten Phishing-Attacken, Insider-Bedrohungen, verstärkter Nutzung von Cloud-Services oder Ransomware nicht restlos beseitigen könne.

Am Beispiel des Spear-Phishings hat CyberArk das Vorgehen der Angreifer analysiert

Um Gefahren sicher abwehren zu können, sollte ein Unternehmen zunächst das typische Muster von Cyber-Angriffen kennen. Am Beispiel des sogenannten Spear-Phishings hat CyberArk nach eigenen Angaben die zeitliche Abfolge eines Angriffs analysiert:

• Versand von Spear-Phishing-E-Mails aus vermeintlich vertrauenswürdiger Quelle an ausgewählte Mitarbeiter eines Unternehmens
• Öffnung von Spear-Phishing-E-Mails und präparierter Anhänge durch die Mitarbeiter
• Starten eines bösartigen Makros im Hintergrund und Installation von Malware auf dem Rechner des Mitarbeiters
• Diebstahl von Zugangsdaten und Passwörtern des lokalen, kompromittierten Rechners
• Nutzung der Zugangsdaten für den Zugriff auf verbundene Systeme in der Domain
• „Seitwärtsbewegung“ der Angreifer im Netz, bis sie Zugang zu einem administrativen Account erhalten
• Verwendung des administrativen Accounts, um sich Zugriff auf zusätzliche privilegierte Accounts zu verschaffen
• Nutzung der privilegierten Accounts und Zugangsdaten für den Zugang zu unternehmenskritischen Systemen, Applikationen und Daten.

Angreifer missbrauchen zumeist privilegierte Zugänge

„Bei nahezu allen Sicherheitsvorfällen ist die missbräuchliche Nutzung von privilegierten Zugängen integraler Bestandteil von Angriffen auf IT-Systeme und -Umgebungen“, berichtet Christian Götz, „Director of Presales – DACH“ bei CyberArk.
Ein hoher Schutz könne nur gewährleistet werden, „wenn die privilegierten Zugänge adäquat verwaltet, gesichert und überwacht werden“. Das heißt laut Götz, dass an der Einführung einer Privileged-Access-Management-Lösung kein Weg vorbeiführe: „Damit bleiben auch Angriffe, die den Perimeter überwinden, für Unternehmenssysteme, -applikationen und -daten folgenlos.“

Dynamischer Bedrohung begegnen: Denkweise der Angreifer verstehen!

Unternehmen dürften auch nicht außer Acht lassen, dass die Bedrohungslage durch die höhere Komplexität von IT-Systemlandschaften steige. Im Zuge der zunehmenden Digitalisierung fänden sich privilegierte Accounts und Zugangsdaten nicht mehr nur in der Infrastruktur vor Ort, sondern auch über Cloud- oder Hybrid-Umgebungen hinweg – umso größer seien auch die Sicherheitsgefahren.
„Wenn Unternehmen mit der dynamischen Bedrohungslandschaft Schritt halten wollen“, so Götz, „müssen sie zum einen die Denkweise eines Angreifers verstehen. Und zum anderen ist es unumgänglich, auch alle potenziellen Angriffspunkte zu kennen.“ Nur so könnten Unternehmen dann auch die geeigneten Gegenmaßnahmen einleiten.

Weitere Informationen zum Thema:

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden / „Hornetsecurity Advanced Threat Protection“ soll nun das Einfallstor E-Mail für hochkomplexe und ausgeklügelte Angriffe schließen

[datensicherheit.de, 26.09.2017] Balabit, Aussteller auf der „it-sa 2017“ (Halle 10, Stand 401) in Nürnberg, informiert über ein „häufig von Unternehmen unterschätztes Sicherheitsrisiko“ – die Gefahr, welche durch Drittanbieter (Outsourcing) bzw. sogenannte Insider ausgeht, die privilegierte Zugriffsrechte auf Daten und IT-Infrastruktur haben.

Third-Party-Provider als Sicherheitsrisiko

Laut Balabit belegt Verizons diesjähriger „Data Breach Investigations Report“, dass der Missbrauch von Privilegien, über die sogenannte „privilegierte Nutzer“ verfügen, als dritthäufigste Ursache von Datenschutzverletzungen gilt.
„Insider Threats“ entstünden jedoch nicht nur durch Mitarbeiter, die Böses im Schilde führen. Zu „privilegierten Nutzern“ gehörten eben auch externe Drittanbieter – und diese würden als potenzielle Bedrohung für eine Organisation nicht selten übersehen. Dabei hätten auch sie Zugang zu sensiblen Informationen, sei es im Kunden- oder Finanzbereich, und entsprechend groß seien die Schäden, die sie anrichten könnten.

Unternehmen helfen, mit dieser Bedrohung umzugehen!

Outsourcing der Unternehmens-IT an Dritte – seien es einzelne Dienstleistungen oder gar die gesamte IT-Infrastruktur – gälten heute als eine beliebte Strategie, Kosten zu senken. Dass diese Kostenreduktion jedoch zu einem Sicherheitsrisiko werden kann, sei weniger geläufig. Denn die Erfahrung zeige, dass externe Dienstleister schnell zur „Insider-Bedrohung“ werden könnten. Sie seien nämlich „ein lohnendes Ziel für Cyber-Kriminelle“.
In der Tat seien einige der verheerendsten Datenverletzungen in den letzten Jahren über die Accounts von Drittanbietern entstanden, wie etwa bei dem Einbruch bei Unicredit, bei dem 400.000 Nutzer-Accounts gestohlen worden seien, oder dem prekären Sicherheitsvorfall bei einer schwedischen Behörde, bei dem bei in die Cloud an Dritte ausgelagerte Personendaten vermutlich Tausende abgeflossen seien.

Ursachen für Sicherheitsrisiken durch Drittanbieter

Das Sicherheitsrisiko durch Drittanbieter wird laut Balabit durch mehrere Faktoren verursacht:

• Problem 1 – Mehr privilegierte Nutzer:
  Da die externen Dienstleister ähnliche Privilegien und Zugriffsrechte haben wie reguläre Mitarbeiter, steigt die Zahl der „privilegierten Nutzer“ und damit das Risiko für das Unternehmen.
• Problem 2 – Gemeinsam genutzte Accounts:
  Gern richten Firmen sogenannte „Shared Accounts“ ein, dabei werden administrative Konten und Passwörter gemeinsam genutzt – IT-Mitarbeiter von Drittanbietern loggen sich generell über dieses Account ins System ein. Das ist insofern problematisch, da niemand mehr nachvollziehen kann, wer innerhalb des IT-Systems für welche Aktionen verantwortlich war.
• Problem 3 – Passwortsicherheit:
  Es geht auf das Konto der Passwortsicherheit, wenn sich mehrere Nutzer privilegierte Konten und Passwörter teilen. Erhöht wird das Risiko noch, wenn die gemeinsam genutzten Passwörter nicht regelmäßig geändert werden – dann könnte im schlimmsten Fall ein (externer) Mitarbeiter noch Zugriff auf das System haben, selbst wenn er gar nicht mehr für das Unternehmen tätig ist.

Unter Kontrolle halten: Zugriff von privilegierten Accounts

Wenn IT-Aufgaben outgesourct werden, brauche es daher Maßnahmen, welche die Aktivitäten der Drittanbieter kontrollieren und transparent werden lassen. Firewalls und ähnliches nützten wenig, da die Betroffenen bereits „drin“ seien.
Eine Möglichkeit diese Probleme in den Griff zu bekommen, bestehe darin, zuverlässige Daten zu diesen Benutzer-Sessions zu sammeln. Tools wie z.B. die „Privileged-Access-Management-Lösung“ von Balabit kontrollierten den Zugriff von privilegierten Accounts und lieferten wichtige Informationen darüber. Dabei werde die Analyse des Verhaltensmusters eines Benutzers integriert, um den „toten Winkel“, in dem sich Drittanbieter möglicherweise bewegten, im Blick zu behalten. Es werde dabei in Echtzeit analysiert, wie Nutzer mit dem IT-System interagieren. Dadurch entstehe ein Profil der einzelnen Nutzer. Registriert das System eine gravierende Abweichung von diesem Profil, erfolge eine automatische Risikobewertung, das Sicherheitsteam erhalte eine Meldung und könne den Fall prüfen sowie bei Bedarf einschreiten.

Experten-Vorträge in den Messeforen am 11. und 12. Oktober 2017

Das Unternehmen lädt Messebesucher, die Lösungen zum Schutz vor dem Verlust vertraulicher Daten, vor internen und externen Bedrohungen durch privilegierte Konten, suchen und Unterstützung wünschen, um die vielfältigen Compliance-Anforderungen wie die neue Europäische Datenschutz-Grundverordnung, PCI-DSS oder ISO 2700x zu erfüllen, an den Stand 401 in Halle 10 der „it-sa 2017“ ein.

Zudem bietet Balabit nach eigenen Angaben zwei Fachvorträge auf den Messe-Foren an:

• Mittwoch, 11.10.2017, 11.30 Uhr – 12.00 Uhr
  Forum M10 – „Forum Management“ in Halle 10
  „Catch me if you can: Wie das Tippverhalten Identitäten schützt?“
  Referent: Thomas Haak, „Sales Director“ bei Balabit
• Donnerstag, 12.10.2017, 11.30 Uhr – 11.45 Uhr
  Forum T10 – „Forum Technik“ in Halle 10
  „Enemy at the gates: Wie geht Privileged Access Management mit raffinierten Cyberkriminellen um?“
  Referent: Zoltan Bakos, „Senior Pre-Sales Engineer“ bei Balabit

Weitere Informationen zum Thema:

datensicherheit.de, 06.12.2011
Finanzinstitute: BaFin fordert strikte Regelung der Zugriffsrechte auf IT-Systeme

[datensicherheit.de, 29.08.2017] Laut einer aktuellen Stellungnahme von CyberArk stehen privilegierte Benutzerkonten im Zentrum moderner Hacker-Angriffe. Diese verwenden demnach mehrere Methoden, um an die Zugangsdaten für diese Konten zu gelangen.

Zugangsdaten für privilegierte Benutzerkonten im Fokus

Privilegierte Benutzerkonten spielten bei Cyber-Attacken eine Schlüsselrolle. Gelingt es Hackern, die Kontrolle über solche Konten zu gewinnen, könnten sie hochsensible Informationen stehlen, Sicherheitsmechanismen aushebeln oder geschäftskritische Prozesse, Systeme und Anwendungen manipulieren, warnt CyberArk. Aus diesem Grund setzten sie alles daran, in den Besitz der Zugangsdaten für privilegierte Benutzerkonten zu gelangen.

Die sechs häufigsten Methoden

CyberArk weist auf die sechs häufigsten Methoden, um in den Besitz der Zugangsdaten für privilegierte Benutzerkonten zu gelangen, hin:

1. „Keystroke Logging“
   Hierbei werden mit Hilfe einer eingeschleusten Schadsoftware die Eingaben eines Benutzers an der Tastatur protokolliert. Ein Keylogger kann entweder sämtliche Daten aufzeichnen oder gezielt auf bestimmte Eingaben warten.
2. „Brute Force“-Attacken
   Bei dieser Methode versuchen Hacker Kennwörter zu erraten, indem sie mit Unterstützung einer speziellen Software einfach sämtliche mögliche Kombinationen durchprobieren. Je kürzer und einfacher die Kennwörter sind und je seltener sie geändert werden, desto höher ist die Erfolgswahrscheinlichkeit.
3. „Memory Scraping“
   Eine Malware zapft den Arbeitsspeicher von PCs an und sucht dort nach Zugangsdaten. Das können Kennwörter sein, die im Klartext gespeichert sind, oder Hashes in „Windows“-Umgebungen, die sich für „Pass the hash“-Attacken nutzen lassen.
4. Passwort-Spreadsheets
   Viele Unternehmen halten ihre Passwörter nach wie vor in zentralen Tabellen vor. Das macht sie zu einem besonders lohnenden Ziel für Cyber-Kriminelle.
5. „Social Engineering“
   Hierbei geben sich Hacker, etwa in E-Mails, täuschend echt als Bekannte oder Kollegen aus. Auf diesem Weg versuchen sie, ihre Opfer zur freiwilligen Preisgabe von Zugangsdaten zu bewegen.
6. Hart-kodierte Zugangsdaten
   Häufig suchen Cyber-Kriminelle auch nach Passwörtern oder SSH-Keys, die sich in den Programmiercodes von Anwendungen, in Scripts oder in Konfigurationsfiles befinden. Sie ermöglichen weitreichende Zugriffe, werden aber häufig jahrelang nicht geändert.

Komplette eigene Ebene von „Privileged Account Security“!

„Den meisten Unternehmen ist inzwischen bewusst, dass privilegierte Zugangsdaten bei Cyber-Attacken die entscheidende Rolle spielen. Dennoch werden sie häufig nicht ausreichend geschützt“, erläutert Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf.
So halten viele Unternehmen nach Erfahrung des Experten ihre Kennwörter in Spreadsheets vor, änderten jedoch die Zugangsdaten viel zu selten oder räumten den Usern oft unnötigerweise volle Administrations-Rechte auf PCs und Servern ein. Darüber hinaus seien die herkömmlichen IT-Security-Maßnahmen gegen moderne Cyber-Angriffe häufig machtlos. Das Eindringen von Schadsoftware, die dem Ausspionieren von Zugangsdaten dient, könne durch Perimeter-Absicherung oft nicht verhindert werden.
„Moderne Attacken erfordern eine komplette eigene Ebene von Privileged Account Security“, so Kleist – „nur dadurch können Hacker noch rechtzeitig aufgehalten werden, bevor ihre Angriffe eskalieren und irreparabler Schaden angerichtet wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken

[datensicherheit.de, 23.06.2016] Laut einer aktuellen Meldung von CyberArk sehen immer mehr Unternehmen in der missbräuchlichen Nutzung privilegierter und administrativer Konten die größten Sicherheitsgefahren für ihre IT. Zunehmend erkennen sie demnach, dass es dabei nicht nur um die Passwörter von Administratoren geht, sondern auch um privilegierte Zugangsdaten von Standardapplikationen.

Standardapplikationen greifen automatisch auf Backend-Systeme zu

Im Unterschied zu privilegierten Accounts, die von Administratoren und damit von Personen genutzt würden, griffen kommerzielle Standardapplikationen automatisch auf Backend-Systeme zu. Dies erfolge über Application-Accounts oder Software-Accounts, also über die in den Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter.
Diese Zugangsdaten würden für den Zugriff auf Zielsysteme zur Durchführung einer bestimmten Aufgabe benötigt. CyberArk nennt folgende Beispiele:

• der Neustart eines Services,
• die Provisionierung eines SSL-Zertifikats,
• die Durchführung eines Vulnerability-Scans,
• die Initiierung eines Backups,
• die Validierung eines Service-Tickets,
• das Importieren oder Exportieren von Daten und
• DevOps-Prozesse.

Unter Risikogesichtspunkten besonders problematisch sei dabei, dass die Zugangsdaten in der Regel nicht verwaltet, gewartet, gesichert oder überwacht würden. Erschwerend komme hinzu, dass die Passwörter meistens in Klartext vorlägen.

Management eingebetteter Passwörter als Herausforderung

CyberArk erläutert die Frage, warum die Zugangsdaten nicht besser verwaltet werden. Zum einen erfolge kein regelmäßiges Management, da dies ein aufwändiger Prozess sei, sofern nicht automatisiert. Zum anderen wollten IT-Administratoren oft die eingebetteten Passwörter nicht ändern, um potenzielle Auswirkungen auf andere Systeme auszuschließen. Selbst etliche Anbieter von Applikationen würden ihren Kunden empfehlen, auf Änderungen zu verzichten.
„Das ist beängstigend und geradezu eine Einladung für potenzielle Angreifer“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk. Unternehmen würden aber nach ihren Erfahrungswerten zunehmend das mit privilegierten Zugangsdaten in Standardapplikationen verbundene Problem erkennen. Sie suchten Lösungen zur zentralisierten Verwaltung, Sicherung und automatischen Änderung dieser Daten, die keinen großen Kostenaufwand nach sich zögen und vor allem auch unterschiedlichste Business-Applikationen unterstützten.
CyberArk hat nach eigenen Angaben für diese Anforderungen den „Application Identity Manager“ entwickelt, mit dem die in Applikationen, Skripten oder Konfigurationsdateien eingebetteten statischen Passwörter eliminiert werden könnten – sie würden zentral abgelegt, automatisch verwaltet und in Abhängigkeit von den Systemkonten mitgeändert.

Weitere Informationen zum Thema:

CyberArk
White Paper: The Hidden Risks of Commercial Off-the-Shelf (COTS) Applications Using Privileged Credentials