:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identitäten im Visier Privilegierte Identitäten besser schützen
Bei vielen der größten Datendiebstähle des 21. Jahrhunderts konnten externe Angreifer die Anmeldeinformationen von Usern mit Zugriff auf privilegierte Konten erlangen. Das sind beispielsweise IT-Administrator- und Service-Konten oder Betriebs-Accounts. Und damit hatten die Angreifer die Möglichkeit, in quasi industriellem Maßstab an Daten zu gelangen, diese zu sammeln und heraus zu schleusen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Analysten von Gartner haben erst kürzlich privilegierte Konten als eine der wichtigsten Prioritäten für IT-Sicherheitsabteilungen gelistet. Schon allein deshalb, weil privilegierte Konten eines der populärsten Ziele für Angreifer sind. Obwohl es schwierig ist, die Auswirkungen von Angriffen auf privilegierte Konten vollständig zu messen, liegen die Gesamtschadenszahlen der aufgedeckten Datenschutzverletzungen in Milliardenhöhe. Tendenz weiter steigend. Zu den betroffenen Daten gehören sensible Informationen wie unter anderem Kreditkartendaten, personenbezogene Daten, Patientendaten und so weiter.
Eine wachsende Anzahl von Personen und externen Dritten hat mittlerweile Zugriff auf privilegierte Konten, und genau diese Entwicklung hat den Angriffsvektor zusätzlich vergrößert. Was also sollten IT-Sicherheitsverantwortliche tun, um solche Angriffe zu verhindern oder wenigstens in ihren Auswirkungen zu begrenzen? Wenn privilegierte Identitäten gestohlen werden, steht einiges auf dem Spiel: Neben den verlorenen Dateien und Daten auch der Ruf eines Unternehmens. Von den potenziellen Kosten ganz abgesehen. Im Prinzip sind es drei große Bereiche auf die man sich konzentrieren sollte will man sich besser als bisher vor Identitätsdiebstahl schützen: Erstens: „Denken wie ein Hacker“, zweitens „unzureichende Sicherheitspraktiken beheben“ und drittens „die richtigen Tools für den individuellen Bedarf auswählen“.
:quality(80)/images.vogel.de/vogelonline/bdb/1612000/1612029/original.jpg "IAM-Systeme haben eine Vielzahl an Aufgaben und Rollen im Rahmen der Digitalisierung. (ankabala - stock.adobe.com)")
Neues eBook „Neue Aufgaben des IAM“
Digitale Identitäten im Zentrum vieler Geschäftsprozesse
Denken wie ein Hacker
Wer Angriffe auf privilegierte Konten verhindern will, der muss zunächst einmal verstehen, wie sie ablaufen. Im Prinzip sind es drei wesentliche Phasen. Wenn privilegierte Identitäten missbraucht werden, besteht ein häufiges Problem darin, dass man nicht weiß, wo der Angriff begonnen hat. Oft rücken sofort die Nutzer privilegierter Konten in den Fokus, obwohl die Attacken nicht unbedingt bei diesen Accounts beginnen.
Externe Erkundung/Sondierungsphase: Die meisten Angriffe richten sich zunächst nicht gegen privilegierte Benutzer. Stattdessen werden eher weniger technisch versierte, durchschnittliche Benutzer in Visier genommen. Üblicherweise stoßen Angreifer hier auf deutlich geringeren Widerstand. Und von diesen Konten aus haben sie die Möglichkeit sich in der typischen lateralen Bewegung im Netz weiter durch zu arbeiten. Nicht selten nutzen Angreifer Schwachstellen in den Netzen Dritter aus, wie etwa von Partner, Händlern oder Auftragnehmern mit Netzwerkzugriff. Ist dann das eigentliche Ziel identifiziert führt nicht selten die altbekannte und bewährte Methode des Spear Phishing zum Erfolg. Benutzer werden dazu gebracht Informationen (wie Anmeldedaten) weiterzugeben oder auf einen Link zu klicken und erlauben so einer Malware sich auf dem betreffenden Gerät zu installieren und von dort aus weiter zu verbreiten.
Interne Sondierung: Sobald ein Angreifer in der IT-Umgebung Fuß gefasst hat, durchforscht er die internen Systeme und Dateien. Während dieser Phase versucht ein Hacker so viele Informationen wie möglich über die IT-Umgebung zu sammeln und sich mithilfe verschiedener Netzwerkdiagnose-Tools einen Überblick über Netzwerk und Systeme zu verschaffen.
Privilegien-/Rechteerweiterung: Ausgestattet mit einem umfassenden Verständnis des Netzwerks ist es einem versierten Angreifer jetzt möglich sich weitere Rechte und Privilegien zu verschaffen. Ziel ist es letztendlich auf den Domain Controller oder ein ähnliches Ziel zuzugreifen. Eine gebräuchliche Methode ist ein "Pass-the-Hash"-Angriff. Mit dieser Technik greift der Angreifer auf zwischengespeicherte Passwort-Hashes zu und lädt diese herunter, um auf weitere Computer und Systeme zuzugreifen. Und zwar ohne, dass er privilegierte Anmeldeinformationen entschlüsseln muss. In anderen Fällen dient eine Malware dazu an einen SSH-Schlüssel zu kommen. Das heißt an Anmeldeinformationen, die den Zugriff auf gängige Linux/Unix-Betriebssysteme ermöglichen. Über diese Hintertür kann der Angreifer auf weitere Systeme zugreifen und in einigen Fällen komplette Netzwerke kompromittieren. Auch bekannte oder unbekannte (Zero-Day-) Schwachstellen auszunutzen ist eine gängige Methode. Hierbei wird über eine nicht gepatchte Sicherheitslücke in der Software beispielsweise ein Virus in das Betriebssystem eines Geräts eingeschleust. Ziel ist es auch hier das System zu übernehmen und sich gegebenenfalls sogar einen Superuser-Zugriff zu verschaffen.
Systeme besser schützen
Wenn man die Vorgehensweise eines Hackers versteht, ist klar, dass Firmen ihre bestehenden Sicherheitsrichtlinien und teilweise veralteten Technologien wie Netzwerkfirewalls oder traditionelle Security Information and Event Management (SIEM)-Lösungen überdenken müssen.
Um die Zugriffe auf privilegierte Konten besser zu kontrollieren sollten Unternehmen mindestens Methoden und Tools für das Privileged Password Management nutzen. Über solche Systeme werden sichere Passwörter generiert, randomisiert und in einem gehärteten, zentralen Passwort-Vault sicher gespeichert. Passwort Management allein kommt allerdings schnell an seine natürlichen Grenzen. Sobald ein Angreifer Anmeldeinformationen für privilegierte Konten kompromittiert hat, bewegt er sich frei im Netzwerk. Das Passwort-Management-Tool erlaubt keinerlei Einblick darin was ein Angreifer tut, wenn er mithilfe scheinbar legitimer Anmeldeinformationen im Netzwerk agiert.
An dieser Stelle kommt das Privileged Session Management ins Spiel. Es greift sehr viel weiter. Eine effektive Session- Management-Lösung überwacht privilegierte Sessions in Echtzeit und zeichnet sie auf. Die Logins erfolgen automatisch über privilegierte Anmeldeinformationen und Richtlinien lassen sich zentral durchsetzen. Bei Verstößen gegen diese Richtlinien wird automatisch eine Benachrichtigung versendet und die betreffende Session abgebrochen. Die Kombination aus Passwort-Vault und Session Recording sorgt dafür, dass Anmeldeinformationen verwendet werden, die dem Benutzer unbekannt sind, und dessen Aktivitäten aufgezeichnet werden.
Das dritte Puzzleteil um sich besser vor Privileged Identity Theft zu schützen, ist, frühzeitig zu erkennen, dass Anmeldeinformationen zu solchen Konten überhaupt abgegriffen wurden. Das war früher in vielen Fällen schwierig zu erkennen. Ein vergleichsweise neuer Ansatz ist das auf maschinellem Lernen basierende User Behavior Analytics. UBA-Tools schließen eine Lücke. Sie nutzen Daten um das Verhalten eines privilegierten Benutzers innerhalb des Netzwerks zu analysieren. Zwei zentrale Faktoren sind die Analyse von benutzertypischen Tastaturanschlägen bis in den Bereich von Millisekunden hinein und die Analyse typischer Mausbewegungen. Die zugrunde liegenden Algorithmen sollen dabei ein möglichst detailliertes Verständnis des „digitalen Fußabdrucks“ eines Users erlauben. Maschinelles Lernen dient dann zusätzlich dazu, dass sich die Algorithmen anhand der gewonnenen und korrelierten Informationen anpassen und weiterentwickeln. So erkennen Behavior-Analytics-Lösungen relativ schnell, ob eine Aktivität tatsächlich verdächtig oder ungewöhnlich ist und schützen proaktiv mit Hilfe einer kontinuierlichen Authentifizierung.
:quality(80)/images.vogel.de/vogelonline/bdb/1585900/1585976/original.jpg "Schon heute kann die Blockchain-Technologie jenseits von Kryptowährungen in vielen Bereichen einen deutlichen Mehrwert für Unternehmen und Verbraucher bieten. (denisismagilov - stock.adobe.com)")
Neues eBook „Blockchain und digitale Identitäten“
Chancen und Risiken von Blockchain-Lösungen
Das Vorgehen macht den Meister
Für das Privileged Access Management ist der richtige Ansatz entscheidend. Wer die Risiken von Privileged Identity Theft möglichst schnell senken will, der sollte sich darauf konzentrieren unzureichende Sicherheitspraktiken, -prozesse und -richtlinien zu beseitigen:
- Stellen Sie sicher, dass Ihre Liste privilegierter Konten aktuell ist: Große Unternehmen, die Netzwerke mit Tausenden von Servern und Netzwerkgeräten betreiben, verfügen häufig nicht über eine präzise Aufstellung aller Systeme.
- Beschränken Sie die Rechte und den Zugriff für jedes einzelne Konto: Erzwingen Sie das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege). Jedes Konto sollte nur die Rechte besitzen, die zur Ausführung der daran gekoppelten Aufgaben erforderlich sind.
- Löschen Sie nicht mehr genutzte Konten und die zugehörigen Rechte: Wenn Mitarbeiter ein Unternehmen verlassen oder sie Position oder Abteilung wechseln, müssen die Zugriffsberechtigungen entsprechend entzogen werden. Ansonsten entstehen schwerwiegende Sicherheitslücken. Bei externen Auftragnehmern sollte man die Zugriffsberechtigungen sofort entziehen, wenn das Projekt abgeschlossen ist.
- Implementieren Sie eine formale Passwortrichtlinie: Eine Richtlinie für sichere Passwörter sollte das routinemäßige Ändern von Standardpasswörtern und das Implementieren sicherer Passwörter umfassen. Die Weitergabe von Passwörtern bei privilegierten Konten (eine durchaus gängige Praxis) sollte niemals gestattet sein. Das klingt selbstverständlich, ist es aber nicht. Selbst in großen Unternehmen ist der laxe Umgang mit solchen Passwörtern nicht selten. Eine vermeidbare Praxis, die Hackern das Leben unnötig erleichtert.
- Verhindern Sie, dass Benutzer in Sachen Sicherheit „Abkürzungen“ nehmen: Privilegierte Benutzer wollen so effizient wie möglich arbeiten. In vielen Fällen ist die Versuchung deshalb groß hinsichtlich der Sicherheit eine Abkürzung zu nehmen. Mitarbeiter zu schulen und angemessenes Sicherheitsverhalten zu trainieren reduziert die Gefahr.
Eines ist sicher: Privilegierte Anmeldeinformationen bleiben eines der wichtigsten Ziele für Hacker. Wenn man den gängigen Ablauf eines privilegierten Angriffs kennt, kann man die richtigen, präventiven Schritte unternehmen: Strenge Richtlinien für die privilegierten Zugriffe durchsetzen, Benutzer schulen und ein Privileged Account Management System (bestehend aus Password Management, Session Management und Behavior Analytics) einsetzen. Damit sind IT-Abteilungen auf einem guten Weg, die Risiken eines Privileged Identity Theft zu minimieren oder ihn ganz zu verhindern.
Über den Autor: Zoltan Bakos ist Senior Privileged Specialist Architect bei One Identity. Mit mehr als 10 Jahren Erfahrung in der IT, mehrheitlich mit Fokus auf IT-Sicherheit, verfügt Zoltan Bakos über ein solides Wissen zu Angriffsmöglichkeiten und potentiellen Sicherheitsrisiken in einer Unternehmens-Infrastruktur. Als Senior Architect setzt er dieses Wissen Tag für Tag ein, um unter der Flagge von One Identity Risiken innerhalb der Kundenumgebungen zu minimieren.
(ID:46212439)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913848/original.jpg "B2B-Unternehmen wie auch KRITIS-Unternehmen können mit Wallix Bastion 9 digitale Identitäten schützen. (adam121 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934930/original.jpg "Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 geben wir in diesem Artikel und seiner Bildergalerie. (Rawf8 - stock.adobe.com)")