foto freepik

Bei einem Vorfall aus dem Jahr 2024 büßte ein einzelnes Unternehmen über 25 Millionen Dollar ein. Der Grund: Ein Angestellter war Opfer eines Deep-Fake-Impersonation-Angriffs geworden. Der Videoanruf, ausgelöst durch eine Phishing-E-Mail, hatte dem betreffenden Mitarbeiter vorgegaukelt, er habe es mit vertrauten Kollegen zu tun. ^[1]

Solche Angriffe manipulieren die menschliche Psychologie. Und wie das Beispiel zeigt, tun Unternehmen gut daran, unsere Instinkte mittels wirksamer Cybersicherheitsmaßnahmen in Zaum zu halten. Die gute Nachricht: Die riskante Seite menschlichen Verhaltens in digitalen Umgebungen lässt sich in den Griff bekommen.

Wesentlicher Baustein einer robusten, auf den Menschen ausgerichteten Cybersicherheitsstrategie ist das Principle of Least Privilege (kurz PoLP). Demzufolge werden einem Identity Account lediglich die erforderlichen Mindestprivilegien zugewiesen, die zum Erledigen der anfallenden Aufgaben gebraucht werden. Das PoLP bildet die Grundlage für Zero Trust und lässt sich für jede Art von Identität verwenden, um Firmen vor den riskanten Seiten der menschlichen Natur zu schützen.

Die Conditio Humana und die Cybersicherheit

Die Fähigkeit, empathisch zu sein, erlaubt es Menschen, Bindungen einzugehen. Bindungen, die dazu beitragen eine produktive, sorgende Gesellschaft/Gemeinschaft aufzubauen und aufrechtzuerhalten. Dank der sogenannten Spiegelneuronen (MNs) können wir die Emotionen und Handlungen anderer nachvollziehen. Einerseits, um selbst neue Fähigkeiten zu entwickeln und andererseits tiefe emotionale Bindungen aufzubauen.^[2]

Genau diese Fähigkeit machen sich Cyberkriminelle erfolgreich zunutze. Sie setzen spezielle Techniken ein, um die Fähigkeit zur Empathie und den Wunsch zu vertrauen für ihre Zwecke zu manipulieren. Eine Vorgehensweise, die einen regelrechten Tsunami von ausgeklügelten identitätsbezogenen, menschenzentrierten Cyberattacken ausgelöst hat.

Zwei zentrale Statistiken belegen, dass diese Art der Manipulation inzwischen auf Platz 1 der von Cyberkriminellen bevorzugten Taktiken steht:

Forrester hatte für das Jahr 2024 prognostiziert, dass 90 % aller Datenschutzverletzungen auf ein menschliches Element zurückgehen würden.^[3]
Laut einer Umfrage von Gartner, Inc. werden bis 2027 »50 % der CISOs großer Unternehmen beim Sicherheitsdesign Praktiken einführen, die auf den Menschen zentriert sind. Dies mit dem Ziel, cybersicherheitsbedingte Reibungsverluste zu vermindern und die Akzeptanz von Kontrollen maximal zu erhöhen. »Security behavior and culture programs« (SBCPs) umfassen einen unternehmensweiten Ansatz, Cybersicherheitsvorfälle zu minimieren, die mit dem Mitarbeiterverhalten zusammenhängen.«^[4]

Menschen wie Unternehmen sollten ein grundlegendes Verständnis für diese Gemengelage entwickeln. Nur so können Firmen sich wirksam und nachhaltig davor schützen, dass typisch menschliche Instinkte manipuliert werden.

Social Engineering öffnet Türen

Social Engineering ist eine der typischen Methoden menschliches Verhalten zu manipulieren und kommt bei Cybersicherheitsvorfällen häufig zum Einsatz. In der Regel geht es darum, sich das Vertrauen einer einzelnen Person oder einer Gruppe zu erschleichen, um sich Zugang zu sensiblen Bereichen zu verschaffen.

Phishing ist einer der erfolgreichsten Angriffsvektoren bei Social-Engineering-Kampagnen. Bei Angriffen auf die Lieferkette lassen sich so Hunderte von Unternehmen weltweit infizieren. Die betroffenen kann das Milliarden kosten.

Das Gesamtbild

Die mangelnde Fähigkeit, Sicherheitsschwachstellen zu erkennen, ist ein tief verwurzeltes Problem in der Cybersicherheit. Der Einzelne muss gegen seinen natürlichen Instinkt handeln. Statt zu vertrauen, muss er davon ausgehen, dass jemand versucht, dieses Verhalten zu missbrauchen. Nur so findet man potenzielle Schlupflöcher, über die sich menschliches Verhalten manipulieren lässt.

Glücklicherweise kann die Technik einiges tun, um das Risiko zu senken. Mit Hilfe von Zero Trust und dem Principle of Least Privilege (PoLP) lassen sich die besagten Schlupflöcher identifizieren und schließen.

Wenn das Vertrauen schwindet: Identitätssicherheit und Privileged Access

Etwa 70 % aller Datenschutzverletzungen gehen auf den Missbrauch privilegierter Konten zurück.^[5] Wer sich auf die Verwaltung dieser Privilegien konzentriert, kann Risiken signifikant senken. Auf dem Weg zu einer effektiven Identitätssicherheit, sollte man zunächst betrachten, wie sich menschliches Verhalten und Identität im Mengen-Diagramm der Privilegien bewegen.

Die Schnittmenge von Privilegien, menschlichem Verhalten und Identitätssicherheit

Aktuell definiert das National Institute of Standards and Technology (NIST) das Prinzip der minimalen Rechtevergabe wie folgt:

»NIST will sicherstellen, dass die richtigen Menschen und Dinge zur richtigen Zeit den richtigen Zugang zu den richtigen Ressourcen haben.«^[6]

Wie wichtig es ist, das Prinzip der minimalen Rechtevergabe durchzusetzen, zeigt ein Blick auf die Zahl der zwischen Januar und Mai 2024 kompromittierten Datensätze: 35.900.145.035.^[7]

Die Ursachen liegen in nicht oder nicht ausreichend überwachten privilegierten Konten, Ransomware und anderen Angriffstaktiken, die menschliches Verhalten manipulieren.

Aber an welchem Punkt koexistiert menschliches Verhalten mit dem Prinzip der minimalen Rechtevergabe?

»Mir wird das schon nicht passieren…«

Die Überzeugung, dass es »mir schon nicht passieren wird« ist auch unter dem Begriff »Psychology of Assumption« bekannt. Damit ist gemeint, dass Menschen von der Annahme ausgehen, dass der andere im Allgemeinen positive Absichten habe und guten Willens ist. Diese Annahme bleibt selbst dann bestehen, wenn die Situation unklar ist oder sogar als potenziell schädlich eingestuft werden müsste. Im Bereich der Cybersicherheit führt diese Grundeinstellung dazu, dass Menschen davon ausgehen, nicht selbst Opfer eines Cyberangriffs zu werden. Oder wenn doch, es schon nicht so schlimm kommen werde.

Diese Annahme hat Folgen, wie beispielsweise zu lax gehandhabte Sicherheitsvorkehrungen oder übermäßig und unnötig vergebene Zugriffberechtigungen, die sich problemlos ausnutzen lassen.

Übermäßig vergebene Privilegien erhöhen das Sicherheitsrisiko

Laut einer Studie der IDSA (Identity Defined Security Alliance) sind 33 % aller Sicherheitsverletzungen auf kompromittierte privilegierte Identitäten zurückzuführen, 69 % der Vorfälle werden durch Phishing ausgelöst.^[8]

Beim Identity Management sind privilegierte Konten das Epizentrum von Sicherheitsvorfällen. Die Probleme stehen oftmals mit Privilegien, Zugriffsrechten und -berechtigungen in Verbindung, die statisch sind oder mit einer ausufernden Zahl vergebener Privilegien insgesamt.

Menschliches Verhalten einhegen: Zero Trust Least Privilege

Das Zero Trust Least Privilege-Prinzip geht davon aus, dass mit jedem privilegierten Konto ein potenzielles Risiko verbunden ist. ^[9]

In Bezug auf die Verzeichnisstruktur senkt die Anwendung dieses Prinzips die Anzahl der zu einem bestimmten Zeitpunkt benötigten privilegierten Directory-Konten. Nach dem Prinzip der minimalen Rechtevergabe werden privilegierte Zugriffsberechtigungen nur denjenigen gewährt, die sie benötigen und nur so lange, wie es erforderlich ist. Wird das privilegierte Konto nicht mehr gebraucht, geht es zurück in das betreffende Verzeichnis. Diese Maßnahmen werden auf Grundlage der Just in Time (JiT) Privilege Elevation durchgesetzt^[10] – und damit die Angriffsfläche eines Unternehmens drastisch verkleinert.

Rollen im Zero Trust PoLP

Zero Trust PoLP bildet die Basis für flexible Identity Security-Kontrollen auf der Grundlage von Benutzer- und Gruppenrollen. Insbesondere Role-based Access Control (RBAC) und Attribute Based Access Control (ABAC) Protokolle bieten Möglichkeiten, die Identitätssicherheit zu vereinfachen.

RBAC gewährleistet, dass Zugriffsrichtlinien auf der Need-to-know-Basis autorisiert werden. Zusammen mit einem Zero Trust- und JiT-Ansatz bleiben Administratorkonten über granular vergebene Berechtigungen geschützt. Die spiegeln einerseits die Anforderungen an eine Rolle wieder und setzen andererseits die Aufgabentrennung durch.

ABAC fügt eine zusätzliche Granularitätsebene hinzu. Dabei werden die Prinzipien auf der Grundlage bestimmter Attribute wie Standort, Abteilung usw. durchgesetzt. Da Attribute einen dynamischen Wert haben können, sind die Zugriffsberechtigungen flexibel und perfekt geeignet, Angriffe einzudämmen.

Die Folgen der »Cognitive Load Theory« beheben – mit Automatisierung

Die von John Sweller im Jahr 1988 entwickelte »Cognitive Load Theory« (CLT^[11]) besagt, dass der Mensch aufgrund der Struktur seines Gehirns nur eine begrenzte Menge von Informationen gleichzeitig verarbeiten kann. Glücklicherweise hat nicht zuletzt die CLT dazu geführt, die Durchsetzung von Maßnahmen zur Identitätssicherheit zu automatisieren. ^[12]

Das gilt beispielsweise für Provisionierung und De-Provisionierung. Durch die Synchronisierung mit der jeweiligen Source of Truth (etwa einem HR-System) erhalten die Benutzer Zugriff auf genau die Anwendungen und Daten, die sie brauchen. Das vermeidet jedwede kognitive Überlastung und setzt das PoLP durch.

Fazit

Die Analysten von Gartner Inc. haben erkannt: »Immer mehr Unternehmen gehen zu einem Identity-First Sicherheitsansatz über. Dadurch verlagert sich der Schwerpunkt von der Netzwerksicherheit und anderen traditionellen Methoden auf IAM. Das Identity und Access Management wird dadurch zu einer entscheidenden Komponente für Cybersicherheit und Geschäftsergebnisse.«

Ein Zero-Trust-Ansatz nach dem Prinzip der minimalen Rechtevergabe kompensiert die menschliche Fähigkeit zu vertrauen und die Psychology of Assumption. Dank der Automatisierung auf Basis von JiT profitieren Beschäftigte von einer nahtlosen User Experience, ohne bei der Sicherheit Kompromisse eingehen zu müssen.

Modernes Identity Management sorgt dafür, dass die empathische Natur des Menschen weit weniger riskant ist. Mehr noch können Unternehmen den Spieß umdrehen und verhindern, dass ein privilegierter Zugriff zum trojanischen Pferd von Cyberkriminellen wird.

Sami Alsahhar, Senior Solutions Engineer, One Identity

[1] https://www.scworld.com/news/deepfake-video-conference-convinces-employee-to-send-25m-to-scammers

^[2] Cook, R., Bird, G., Catmur, C., Press, C., & Heyes, C. (2014). Mirror Neurons: From origin to function. The Behavioral and Brain Sciences, 37(2), 177-192.

[3] https://www.forrester.com/report/predictions-2024-cybersecurity-risk-and-privacy/RES179918

[4] https://www.gartner.com/en/newsroom/press-releases/2024-02-22-gartner-identifies-top-cybersecurity-trends-for-2024

^[5] Minimierung der Sicherheitsrisiken im Privileged Access Management – Privileged Access Management – Blogs – One Identity

[6] https://www.nist.gov/identity-access-management

[7] https://www.itgovernance.co.uk/blog/global-data-breaches-and-cyber-attacks-in-2024

[8] https://www.oneidentity.com/community/blogs/b/one-identity/posts/what-the-experts-say-complexity-is-the-greatest-identity-security-challenge

[9] https://www.oneidentity.com/what-is-the-principle-of-least-privilege/

[10] https://www.oneidentity.com/community/blogs/b/one-identity/posts/just-in-time-privilege-elevation-in-active-directory

^[11] Sweller, J. (1988). Kognitive Belastung während des Problemlösens: Effects on Learning. Cognitive Science, 12, S.257-285.

[12] Byung-Jik Kim, Min-Jik Kim, (2024) The influence of work overload on cybersecurity behavior: A moderated mediation model of psychological contract breach, burnout, and self-efficacy in AI learning such as ChatGPT, Technology in Society, Volume 77, 102543, ISSN 0160-791X, https://doi.org/10.1016/j.techsoc.2024.102543.

4 Artikel zu „Principle of Least Privilege“

News | Favoriten der Redaktion | IT-Security | Ausgabe 5-6-2023 | Security Spezial 5-6-2023

Sicherheitsrisiko minimieren durch restriktive Berechtigungsvergabe – Das Least-Privilege-Prinzip

22. Juni 2023

Least-Privilege gilt als Best Practice in der IT-Security. Es senkt das Sicherheitsrisiko und sorgt für die Einhaltung von Compliance-Richtlinien. IAM-Tools automatisieren die Berechtigungsmanagement-Prozesse.

[2] Cook, R., Bird, G., Catmur, C., Press, C., & Heyes, C. (2014). Mirror Neurons: From origin to function. The Behavioral and Brain Sciences, 37(2), 177-192.

[11] Sweller, J. (1988). Kognitive Belastung während des Problemlösens: Effects on Learning. Cognitive Science, 12, S.257-285.

4 Artikel zu „Principle of Least Privilege“

974 Artikel zu „Zero Trust“

^[2] Cook, R., Bird, G., Catmur, C., Press, C., & Heyes, C. (2014). Mirror Neurons: From origin to function. The Behavioral and Brain Sciences, 37(2), 177-192.

^[11] Sweller, J. (1988). Kognitive Belastung während des Problemlösens: Effects on Learning. Cognitive Science, 12, S.257-285.