:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Social-Engineering-Angriffe auf den Service Desk Bei Anruf Account-Übernahme
Wenn Anrufer beim Service Desk das Zurücksetzen eines Passwortes verlangen, kann Social Engineering dahinter stecken. Der IT-Support verhilft dann ungewollt und ahnungslos dem Angreifer zu einem Zugang zu Systemprivilegien und vertraulichen Daten. Mit Specops Secure Service Desk lassen sich die Identitäten der Anrufer verifizieren und ein Hacking per Telefonanruf verhindern.
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Social Engineering, um Passwörter zurückzusetzen
Wenn Nutzer eines ihrer Passwörter vergessen haben, melden sie sich bei dem Service Desk, oder sie können es selbst zurücksetzen. Wenn aber das Verfahren für den Passwort-Reset nicht richtig umgesetzt wird, öffnen sich Angriffsmöglichkeiten für Cyberkriminelle. Um das Zurücksetzen von Passwörtern abzusichern, müssen beide Wege intelligent geschützt werden, der Self-Service für den Passwort-Reset, aber auch die Möglichkeit, den Service Desk zu kontaktieren und um das Zurücksetzen des Passwortes zu bitten.
In vielen Unternehmen sind die Prozesse für den Passwort-Reset am Service Desk noch anfällig für Social-Engineering-Angriffe. Ruft zum Beispiel der angebliche Vorstand bei dem IT-Support an und verlangt dringend das Zurücksetzen eines seiner Passwörter, greifen die gleichen Mechanismen zur Manipulation wie bei einem klassischen CEO-Fraud, bei dem ein vorgetäuschter Vorgesetzter telefonisch die Überweisung eines hohen Geldbetrages verlangt.
Die Mitarbeiterinnen und Mitarbeiter im IT-Support trauen sich häufig nicht, die Identität des vorgespielten Vorstandsmitglieds zu hinterfragen, und führen den Passwort-Reset durch. Inzwischen bauen die Angreifer mittels Social Engineering nicht nur einen psychologischen Druck auf den Service Desk auf, selbst die Stimme des echten Vorstandes kann technisch nachgeahmt werden.
Abhängig von den kompromittierten Zugängen können die Schäden enorm sein, wenn für Anrufer mit gefälschter Identität die Neuvergabe des Passwortes ermöglicht wird. E-Mail-Zugänge können ebenso erbeutet werden wie Zugänge zu Anwendungen und Privilegien, die die komplette Produktion im Unternehmen lahmlegen können.
Man sollte sich klarmachen: Social-Engineering-Angriffe auf den Service Desk missbrauchen die Berechtigungen der IT-Administration zum Zurücksetzen von Passwörtern.
Unsicherheit beim Service Desk hat weitreichende Konsequenzen
Polizeibehörden wie das LKA Hamburg raten dringend dazu, die Identität eines Anrufers zu verifizieren, um CEO-Fraud verhindern zu können. Entsprechendes gilt natürlich auch für Anrufe, die das Zurücksetzen von Passwörtern verlangen. Doch 48 Prozent der Unternehmen besitzen noch keine Richtlinie zur Benutzerverifizierung für Passwort-Reset-Anfragen am IT-Service-Desk, wie eine Specops Software-Umfrage ergab.
„Basierend auf unseren jüngsten Erkenntnissen sind Passwort-Resets am Service Desk ein ernsthaftes Sicherheitsrisiko für Unternehmen jeder Größe”, sagt Marcus Kaber, CEO von Specops Software. „In Ermangelung einer Self-Service-Lösung zum Zurücksetzen von Passwörtern muss der Service-Desk-Agent überprüfen, ob der Anrufer der rechtmäßige Besitzer des Kontos ist, bevor er ein neues Passwort vergibt. Leider können Service-Desk-Agenten ohne eine sichere Verifizierungsrichtlinie unbefugten Nutzern Zugang zu Konten gewähren, ohne es zu wissen – was Unternehmen einem erhöhten Risiko kostspieliger Cybersecurity-Verstöße aussetzt.”
Beispiele für fehlende oder unzureichende Verifizierung am Service Desk gibt es viele. So berichtet zum Beispiel die EU-Agentur für Cybersicherheit ENISA: Ein Social Engineer könnte den Support Desk eines Unternehmens anrufen, unter dem Vorwand, ein leitender Mitarbeiter des Unternehmens zu sein und dringend Hilfe zur Wiederherstellung wichtiger Dienste zu benötigen. Ein ähnlicher Vorwand wurde bei dem vielbeachteten Hack gegen das Telefon von Paris Hilton verwendet, bei denen ein T-Mobile-Mitarbeiter am Service Desk ausgetrickst wurde, um wichtige vertrauliche Informationen bereitzustellen, so ENISA.
Mangelnde Sicherheit am Service Desk kann auch zu einer Datenschutzverletzung führen und zu Sanktionen und Bußgeldern durch die Aufsichtsbehörden für den Datenschutz führen. So hatte der Bundesdatenschutzbeauftragte (BfDI) den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße belegt. Aufgrund eines unzureichenden Authentifizierungsverfahrens bei der telefonischen Kundenbetreuung der 1&1 Telecom GmbH konnten Anrufer allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten. Hierin sah der BfDI einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).
Die Lösung: Benutzerverifizierung am Service Desk
Der Service Desk verwendet oftmals Daten, die aus einem HR-System oder Kundensystem abgerufen werden können, um Benutzer zu überprüfen. Häufig werden auch Sicherheitsfragen nach persönlichen Informationen verwendet. Dank umfangreicher persönlicher Daten im Internet ermöglicht Social Engineering den Cyberkriminellen, sich als die Zielperson, deren Zugänge missbraucht werden sollen, auszugeben.
„Die IT-Sicherheit am Service Desk stellt nicht immer sicher, dass die Benutzer wirklich die sind, für die sie sich ausgeben. Dies lässt Raum für Angreifer, die es als Hintertür für den Zugriff auf Netzwerkressourcen verwenden können“, sagt Lori Österholm, CTO bei Specops Software. „Mit Secure Service Desk können Unternehmen eine sichere Benutzerverifizierung durchsetzen und Methoden vermeiden, die für Social Engineering anfällig sind.“
Specops Secure Service Desk erzwingt die Benutzerverifizierung am Service Desk und verhindert so den Erfolg der Social Engineers bei ihren Anfragen für ein Zurücksetzen von Passwörtern. Wenn zum Beispiel ein Mitarbeiter sein Passwort vergisst, muss er zuerst seine Identität über einen einmaligen Code verifizieren, der an das mobile Gerät gesendet wird, das mit dem Active Directory-Konto des Benutzers verbunden ist. Sobald der Benutzer den Code erhält und gegenüber dem Service Desk Agenten bestätigt, kann das Passwort des Mitarbeiters zurückgesetzt werden. Zur Benutzerverifizierung können im Unternehmen vorhandene Authentifizierungslösungen wie Duo Security, Okta Verify, PingID und Symantec VIP eingebunden und genutzt werden. Mehr dazu können Sie in der Specops Secure Service Desk Overview erfahren.
Die Service-Desk-Agenten haben erst dann die Möglichkeit, Benutzerkonten sicher zurückzusetzen oder zu entsperren, nachdem der Benutzer erfolgreich verifiziert wurde. Specops Secure Service Desk erzwingt somit die Benutzerauthentifizierung am Service Desk und protokolliert die Vorgänge bei dem Passwort-Reset, um sicherzustellen, dass Informationen und Kennwortzurücksetzungen nicht Benutzern angeboten werden, die nicht verifiziert wurden. Secure Service Desk unterstützt mehrere Sprachen und kann mit dem Self-Service-Tool uReset zum Zurücksetzen des Passworts kombiniert werden, um das Entsperren des Kontos und den Vorgang zum Zurücksetzen des Passworts zu unterstützen.
Vereinbaren Sie eine kostenlose Live-Demo von Specops Secure Service Desk und sehen Sie selbst, wie sich damit die Social-Engineering-Attacken zur Account-Übernahme am Service Desk verhindern lassen.
Nach der Benutzerverifizierung und dem legitimierten Zurücksetzen eines Passwortes geht die Unterstützung durch SpecOps Software weiter. Bei der Neuvergabe eines Passwortes unterstützt zum Beispiel die neue Funktion Dynamic Feedback den Benutzer in intelligenter Weise bei der Wahl eines sicheren Passwortes. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier:
(ID:47570869)
:quality(80)/p7i.vogel.de/wcms/ec/bd/ecbdc129c5aaf6aeebcf06f0a9948183/0109633518.jpeg "Deep-Fake-Attacken werden zunehmend zu einer Gefahr für IT-Administration und Service Desks. Specops Software bietet die passenden Tools an, um derartige Angriffe abzuwehren. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b807ae9bd8f944e35952c4f3727741/0108720947.jpeg "Viele IT-Sicherheitsstandards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde. (Bild: Specops Software)")