Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung.
In einer Zeit der zunehmenden MFA-Nutzung zielen immer mehr Angriffe auf die Authentifizierungs-Token ab. Zu solchen Token gehören beispielsweise Cookies oder API-Schlüssel. Sie werden häufig im Browser, in Dateien oder in Datenbanken gespeichert und über das Netz übertragen, wenn ein Benutzer oder ein Rechner mit einer Webanwendung oder einer API interagiert.
Der Hauptvorteil von session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden.
Die bekannteste und häufigste Form eines Angriffs nach der Authentifizierung ist der Cookie-Diebstahl, bei dem die von Webbrowsern zur Authentifizierung von Benutzern verwendeten Cookies abgefangen oder manipuliert werden.
Ein solcher Angriff kann auf verschiedene Weise erfolgen. Beispiele sind:
- die Ausnutzung von Schwachstellen in der Webanwendung oder im Browser mit Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder XML External Entity (XXE) Injection.
- das Sniffing oder Abfangen des Netzwerkverkehrs zwischen dem Benutzer und dem Webserver und das Extrahieren der Cookies aus den HTTP-Headern.
- der Zugriff auf den Speicher des Browsers, in dem sich die Cookies befinden.
Cookies sind jedoch nicht die einzige Form von Session-Token, auf die Angriffe abzielen können. Da Webanwendungen und APIs immer komplexer und vielfältiger werden und immer mehr Maschinen und Geräte über das Internet miteinander kommunizieren, werden auch andere Arten von Token immer häufiger verwendet. Dazu gehören vor allem API-Schlüssel, Maschinenzertifikate und OAuth-Token.
Sie können von Angreifern auf ähnliche Weise wie Cookies gestohlen oder gefälscht werden. Beispiele dafür sind:
- API-Schlüssel können durch Schwachstellen in der API oder im Client, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Datenbanken, in denen sie gespeichert sind, offengelegt werden.
- Maschinenzertifikate können durch Schwachstellen im TLS-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Hardwaremodule, in denen sie gespeichert sind, kompromittiert werden.
- OAuth-Token schließlich können ebenfalls durch Schwachstellen im OAuth-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf den Browser oder die Datenbanken, in denen sie gespeichert sind, entwendet werden.
Angriffe nach der Authentifizierung sind eine ernste und wachsende Bedrohung, und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich und ihre Benutzer vor diesen Angriffen zu schützen. Einige Best-Practices und Empfehlungen, die Organisationen befolgen können, sind:
- die Anwendung des Least-Privilege-Prinzips und Begrenzung des Anwendungsbereichs und der Gültigkeit der Session-Token. Sie sollten zum einen nur die minimalen Zugriffsrechte haben, die bei Bedarf (Just-in-Time) für die jeweilige Aufgabe oder Interaktion benötigt werden. Zum anderen sollten sie so schnell wie möglich ablaufen oder widerrufen werden.
- die Nutzung einer starken Verschlüsselung und einer Integritätsprüfung für die Netzwerkkommunikation und die Session-Token. Die Token sollten verschlüsselt und vom Aussteller signiert sein und nur über sichere Kanäle wie HTTPS oder TLS übertragen werden.
- die Überwachung und Prüfung der Nutzung und Aktivität von Session-Token. Der Aussteller sollte die Token nachverfolgen und jedes verdächtige Verhalten wie mehrfache oder gleichzeitige Anmeldungen und ungewöhnliche Standorte oder Geräte erkennen und melden.
- die Schulung und Information der Benutzer und Entwickler hinsichtlich der Risiken und Best-Practices bei der Session-Token-Sicherheit. Die Nutzer sollten sich der Gefahren von Phishing, Malware und Social Engineering bewusst sein, Entwickler müssen mit den neuesten Sicherheitsstandards und -richtlinien vertraut sein sowie sichere Programmier- und Testverfahren anwenden.
»Angriffe nach der Authentifizierung stellen eine komplexe und sich ständig weiterentwickelnde Herausforderung dar. Unternehmen müssen auf solche Bedrohungen vorbereitet sein, indem sie Sicherheitsmaßnahmen wie das Least-Privilege-Prinzip oder das Monitoring ergreifen. Darüber hinaus können auch Lösungen wie der CyberArk Secure Browser, die Cookies vollständig von der Festplatte entfernen, eine zusätzliche Schutzschicht bieten«, erklärt Shay Nahari, Vice President von CyberArk Red Team Services.
1179 Artikel zu „Cyberattacken“
TRENDS 2024 | NEWS | TRENDS 2023 | TRENDS SECURITY | IT-SECURITY
Cyberattacken: Wie reagierten Unternehmen 2023, und was planen sie 2024?

Die Software-Bewertungsplattform Capterra veröffentlicht eine Studie zur IT-Sicherheit und zeigt, wie sich die Lage der Cyberbedrohungen im Jahr 2023 entwickelte [1]. Im Rahmen der Studie wurden 1.314 Mitarbeitende dazu befragt, wie Unternehmen auf Cyberbedrohungen reagieren und wie sie ihre Abwehrfähigkeit stärken. KI-gestützte Angriffe und E-Mail-Phishing-Angriffe stehen ganz oben Bedrohungen durch KI-gestützte Angriffe (47 %)…
NEWS | IT-SECURITY
Wie CISOs sich auf die neuen SEC-Regeln zu erfolgreichen Cyberattacken vorbereiten können

Die »Securities and Exchange Commission«, kurz SEC, hat neue Regeln für börsennotierte Firmen erlassen. Sie verlangen von den Unternehmen, erfolgreiche Cyberangriffe innerhalb von vier Werktagen offenzulegen, falls es sich um so genannte wesentliche Vorfälle handelt. Darunter sind Vorfälle zu verstehen, die Aktionäre bei ihrer Investitionsentscheidung als wichtig erachten würden. Ähnliche Vorgaben zur Meldepflicht bei Cyberattacken…
NEWS | IT-SECURITY
Tim Müller von NetPlans Neckarsulm GmbH: »Bei Cyberattacken setzen wir auf das 360° IT-Security-Portfolio«

Der Schutz der IT-Sicherheit ist für kleine und mittelständische Unternehmen ebenso essenziell wie für große Unternehmen. Sensible Daten und schützenswertes Know-how, die die Substanz eines Geschäftsbetriebs ausmachen, wird durch Cyberkriminelle gefährdet. Wie die IT-Sicherheit in KMUs optimiert werden kann, erläutert Tim Müller, Abteilungsleiter Infrastructure & Security bei NetPlans Neckarsulm GmbH, im Gespräch. Wie kann…
NEWS | TRENDS SECURITY | TRENDS INFRASTRUKTUR | IT-SECURITY
IT-Experten sehen Deutschland schlecht auf Cyberattacken vorbereitet

Umfrage unter 250 IT-Entscheidern: Cyberangriffe auf Lieferketten bedrohen Wirtschaft und Gesellschaft. Jüngste Angriffe auf Nordstream und Montenegro zeigen: Angriffe auf KRITIS werden mit hoher Intensität durchgeführt. Knapp 60 Prozent sehen Deutschlands Cyberresilienz im Ländervergleich hinten. Eine Studie des finnischen Sicherheitsanbieters WithSecure (ehemals F-Secure Business) in Zusammenarbeit mit dem Marktforschungsinstitut OnePoll zeigt: Deutsche IT-Entscheider befürchten…
NEWS | IT-SECURITY | AUSGABE 7-8-2022 | SECURITY SPEZIAL 7-8-2022
Cyberattacken erfolgreich begegnen – Worauf es im modernen Krisenmanagement ankommt

Die Digitalisierung hat die Angriffsfläche für Cyberattacken erheblich vergrößert. Eine vorausschauende Planung und proaktives Krisenmanagement sind nötig, um im Notfall die Kontrolle wieder zu erlangen. Vorrausetzung ist eine Kommunikations- und Krisenmanagementplattform, die unabhängig von der eigenen IT zuverlässig und ausfallsicher funktioniert.
NEWS | IT-SECURITY | TIPPS
Phishing als Einfallstor für Cyberattacken – So können Unternehmen ihre Teams sensibilisieren

Immer häufiger sehen sich Unternehmen, Behörden und Einrichtungen mit Cyberattacken konfrontiert. Ein Einfallstor sind Phishing-Mails, die ein Vertrauensverhältnis mit dem Empfänger vortäuschen. Schnell wird auf einen Link geklickt, Ransomware, oder andere Malware unwissend heruntergeladen – der Schaden kann immens sein. Ransomware geht dabei wie ein »Verschlüsselungstrojaner« vor, indem es Daten für den Nutzer unauflöslich codiert…
TRENDS 2021 | NEWS | TRENDS SECURITY | IT-SECURITY
Wie Endanwender zum Opfer von Cyberattacken werden

Hacker richten ihre Angriffe zunehmend auf neue Zielgruppen in Unternehmen. Sicherheitsexperte CyberArk zeigt anhand von drei Beispielen, welche Gefahren Entwicklern, dem mittleren Management und Forschern drohen. Eine Sache, die sich nicht geändert hat, ist die Art und Weise, wie Angreifer vielfach vorgehen: Der Diebstahl von Zugangsdaten mittels Spear-Phishing ist so beliebt wie eh und je.…
NEWS | IT-SECURITY | TIPPS
Menschen sind der wichtigste Faktor zur Prävention und Abwehr von Cyberattacken

Kommissar Threat Hunter Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen viele Organisationen auf immer ausgefeiltere Abwehrtechnologien. Doch wie so häufig sind die Angreifer der IT-Sicherheit einen Schritt voraus – denn sie kennen die Abwehrtools selbst in- und auswendig und kennen somit jedes auch noch so kleine Schlupfloch. Technologie allein genügt…
NEWS | IT-SECURITY | WHITEPAPER
Internetsicherheit und Cyberattacken: Ein Jahresrückblick

Die Corona-Pandemie hat die digitale Transformation weltweit beschleunigt. Die Internetsicherheit ist daher wichtiger denn je. Im »State of the Internet – A Year in Review« Sicherheitsbericht blickt Akamai auf die Entwicklungen in diesem außergewöhnlichen Jahr 2020 zurück – und auf Bedrohungen für Finanzdienstleister, für die Branchen Medien und Gaming sowie für den Einzelhandel und das…
NEWS | IT-SECURITY | TIPPS
Cyberattacken: Es kann jeden treffen

Wie die DNS-Ebene Ihr Unternehmensnetzwerk noch besser schützt. Der Security-Anbieter FireEye ist selbst Opfer eines Hackerangriffs geworden. Ein erhobener Zeigefinger oder gar Häme sind aber nicht angebracht, denn dieser Zwischenfall zeigt eines: Jeder kann Opfer eines Cyberangriffs werden. Trotzdem sollten wir jetzt nicht den Kopf in den Sand stecken – mit den richtigen Maßnahmen können…
NEWS | IT-SECURITY
Projekt Heimdall setzt auf KI: Anti-Spam-Cloud gegen Cyberattacken

Mit dem Projekt Heimdall hat das Paderborner Unternehmen Net at Work eine recht neue Form intelligenter Spam-Abwehr vorgestellt, die zur Verteidigung gegen Spam und Schadsoftware auf Schwarmintelligenz setzt. Heimdall ist eine Anti-Spam-Cloud, die Anwendern der Secure-E-Mail-Gateway-Lösung NoSpamProxy proaktiven Schutz vor Phishing, Spam und weiteren Bedrohungen bieten kann. Noch befindet sich das Projekt in der…
NEWS | IT-SECURITY | STRATEGIEN
Gewappnet gegen Cyberattacken und Datenverlust: Best Practices für eine effektive Cyber-Resilienz

Ziel einer effektiven Cyber-Resilienz-Strategie ist es, dass bei einem Cyberangriff oder Datenverlust der Geschäftsbetrieb eines Unternehmens gesichert bleibt. Das Konzept bezieht dabei die Security, IT-Infrastruktur, Geschäftsprozesse und Geschäftskontinuität mit ein. Cyber-Resilienz ist daher eine präventive Maßnahme, um den Auswirkungen von Malware, Insider-Bedrohungen, menschlichem Versagen sowie Software- und Hardware-Fehlern umfassend entgegenzuwirken. Wie Cyber-Resilienz funktioniert: Die vier…
NEWS | IT-SECURITY | TIPPS | WHITEPAPER
Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei. Kennen Sie Jeremy aus dem…
NEWS | TRENDS SECURITY | TRENDS 2020 | IT-SECURITY
Automatisierte und ständig neue Angriffsmethoden lassen die Zahl der Cyberattacken in die Höhe schnellen

Der Technologiesektor löst zum ersten Mal den Finanzbereich an der Spitze der am stärksten angegriffenen Branchen ab, gleichzeitig nutzen Cyberkriminelle die Covid-19-Pandemie für ihre Aktivitäten aus. NTT Ltd., ein Technologie-Dienstleister, hat seinen 2020 Global Threat Intelligence Report (GTIR) veröffentlicht. Der neue GTIR zeigt, dass die Angreifer trotz aller Anstrengungen von Unternehmen und Organisationen, ihre…
NEWS | TRENDS SECURITY | TRENDS 2020 | IT-SECURITY
Corona-Krise: Zahl der Cyberattacken steigt um 30 Prozent

Im März 2020 fast ein Drittel mehr Angriffe als im Februar abgewehrt. Cyberkriminelle nutzen die allgemeine Verunsicherung in der Corona-Krise aus und versuchen, daraus Profit zu schlagen. So ist die Zahl der verhinderten Angriffe im März 2020 deutlich gestiegen, wie eine aktuelle Bedrohungsanalyse von G DATA CyberDefense zeigt – im Vergleich zum Februar um etwa…
NEWS | IT-SECURITY | TIPPS
Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyberattacken

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied. Die Schulung der eigenen Mitarbeiter und die Schaffung eines entsprechenden Bewusstseins für die Gefahren durch Cyberkriminelle stehen deshalb bei vielen Unternehmen ganz oben auf der Liste der Abwehrmaßnahmen. Dieser Ansatz ist allerdings zu kurz gegriffen, erklärt der Sicherheitsspezialist Bromium. Nicht immer sind es komplexe Algorithmen…
NEWS | IT-SECURITY | TIPPS
Kriminelle nutzen Corona-Virus für großangelegte Cyberattacken

Als ob der Schaden für die Allgemeinheit, für Unternehmen und für viele Menschen auch im privaten Umfeld nicht schon groß genug wäre: Kriminelle nutzen die aktuelle Unsicherheit rund um das Corona-Virus SARS-CoV-2 und die Pandemie COVID-19 für umfangreiche Cyberangriffe. Das berichten die Cybersicherheitsforscher des US-amerikanischen Cybersecurity-Unternehmens Proofpoint. Es handelt sich um eine der größten, wenn…
NEWS | INTERNET DER DINGE | IT-SECURITY | AUSGABE 11-12-2019 | SECURITY SPEZIAL 11-12-2019
Welche Cyberattacken Unternehmen besonders fürchten müssen – Bedrohte IoT-Systeme

Cyberkriminelle und politisch movierte »Hacktivisten« haben dazugelernt. Mittlerweile sind sie in der Lage, innerhalb von fünf Tagen Angriffe auf neu entdeckte IT-Sicherheitslücken zu starten. IoT-Systeme (Internet of Things) werden bereits sogar innerhalb von fünf Minuten nach ihrer Inbetriebnahme attackiert. Dies sind zwei Erkenntnisse des Threat Intelligence Report des IT-Security-Spezialisten Netscout.