Berechtigungskontrolle

Insider-Angriffe übers Active Directory verhindern

| Autor / Redakteur: Bert Skorupski* / Stephan Augsten

In vielen IT-Umgebungen ist nicht ganz klar, wer sich eigentlich so alles im Active Directory tummelt.
In vielen IT-Umgebungen ist nicht ganz klar, wer sich eigentlich so alles im Active Directory tummelt. (Bild: Archiv)

IT-Security-Bedrohungen durch eigene Mitarbeiter sind sehr ernst zu nehmen. Egal, ob aus Fahrlässigkeit oder böswilliger Absicht: Mitarbeitern und IT-Dienstleistern stehen unendlich viele Möglichkeiten für einen Datenmissbrauch offen.

Es gibt wohl kaum ein beliebteres Ziel für Insider-Angriffe, als das Microsoft Active Directory (AD). Dieses enthält nicht nur vertrauliche Daten, es steuert auch den Zugriff darauf und ist bei einer Vielzahl von Unternehmen weltweit im Einsatz.

Microsoft selbst schätzt, dass täglich rund ein Fünftel aller Active-Directory-Benutzerkonten von einem Angriff von außen oder Missbrauch von innen betroffen ist – oft auch durch eine Kombination von beidem. Active Directory ist von Haus aus sicher, aber ebenso wie bei einer Schlüsselkarte oder dem Passwort, nutzen alle Sicherheitsvorkehrungen nichts, wenn sie in die falschen Hände geraten.

Die verantwortlichen IT-Mitarbeiter tun sicherlich alles, um angemessene Benutzerrechte festzulegen und zu überwachen. Benutzerrechte entziehen, Whitelists einrichten, ein fein abgestuftes Modell geringer Berechtigungen aufbauen oder Benutzerrechte nach einem Jobwechsel innerhalb des Unternehmens ändern – all das bedeutet einen erheblichen Aufwand.

Bei den Cyber-Angriffen von außen und innen lassen sich eine Reihe von Szenarien unterscheiden:

  • Industriespionage durch fremde Länder;
  • Detailliert geplante Aktionen zum Diebstahl von Geschäftsgeheimnissen;
  • Benutzernamen und Passwörter, die bei einem Lieferanten durch einen Phishing-Angriff gestohlen wurden;
  • Auf dem Schwarzmarkt erworbene Kreditkartendaten, die von berechtigten Benutzern kopiert und dort verkauft wurden;
  • Verärgerte ehemalige Mitarbeiter, die ihre Benutzerrechte einsetzen, um im Nachhinein vertrauliche Daten zu entwenden;
  • Frustrierte Beschäftigte, die vertraulich von Vorgesetzen erhaltene Berechtigungen missbrauchen.

Anatomie eines Insider-Angriffs

Wo der Wille zum Datendiebstahl besteht, finden Anwender auch einen Weg. Sie nutzen dazu ihren Active-Directory-Zugang und verwischen ihre Spuren, ohne dass ein Alarm ausgelöst wird.

Ein IT-Dienstleister mit Administratorenzugang etwa könnte ein neues Administratorenkonto anlegen. Mit diesem verschafft er sich Zugang zu einer autorisierten, verschachtelten Gruppe innerhalb der Domain Admins Group und verfügt damit über Domain-Admin-Privilegien, ohne dass dies jemandem auffällt; denn die nativen Logs zeichnen nur Änderungen direkt in der Domain Admins Group auf.

Als nächstes könnte er ein Group-Policy-Objekt ändern, das normalerweise Admins am Zugang zu SQL-Server-Datenbanken hindert, in denen Kreditkartendaten gespeichert sind. Auch diese Aktion wird in den nativen Logs nicht aufgezeichnet. Ist der gefälschte Account einmal Teil der Local Admin Group, ist es nicht mehr weit bis zu den Kreditkartendaten, die dann völlig geräuschlos entwendet werden können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43756214 / Hacker und Insider)