News | Infrastruktur | IT-Security | Services | Tipps

Service-Accounts – die versteckten Hintertüren, die Cyberkriminelle gerne ausnutzen

Illustration Absmeier foto freepik

Service-Accounts sind ein wesentlicher Bestandteil der modernen IT-Infrastruktur und ermöglichen unbemerkt Automatisierung, Anwendungsintegrationen und Systemprozesse im gesamten Unternehmen. Trotz ihrer entscheidenden Bedeutung wird die Sicherheit von Service-Accounts oft übersehen, was sie zu einem beliebten Ziel für Cyberkriminelle macht.

 

Im Gegensatz zu »menschlichen« Benutzerkonten sind Service-Accounts »nicht interaktive« Identitäten, die von IAM-Lösungen (Identity and Access Management) verwaltet werden. Diese Konten werden manchmal automatisch erstellt und arbeiten oft mit erweiterten Berechtigungen, die ihnen Zugriff auf mehrere, sensible Ressourcen gewähren. Da Service-Accounts unsichtbar sind, werden sie in der Regel in die Kategorie »aus den Augen, aus dem Sinn« eingeordnet, wodurch sie ungeschützt und anfällig für Ausbeutung sind. HYCU erklärt, warum das gefährlich ist.

 

Warum sind Service-Accounts riskant?

Service-Accounts sind spezialisierte nicht-menschliche Identitäten, die in IT-Systemen verwendet werden, um automatisierte Funktionen auszuführen, auf Ressourcen zuzugreifen, Anwendungen zu verwalten und Integrationen zu ermöglichen. Sie arbeiten hinter den Kulissen und führen kritische Arbeitsabläufe aus, ohne dass menschliches Eingreifen erforderlich ist. Ein Service-Account kann beispielsweise Datenbankverbindungen für eine Anwendung verwalten oder API-Interaktionen zwischen Diensten ermöglichen.

Schon die Konzeption von Service-Accounts birgt jedoch eigene besondere Risiken:

  • Überprivilegierter Zugriff:
    Vielen Service-Accounts werden übermäßige Berechtigungen erteilt, die weit über das hinausgehen, was sie zur Erfüllung ihrer Aufgaben benötigen.
  • Mangelnde Sichtbarkeit:
    Da diese Konten keine Menschen repräsentieren und selten manuelle Interaktion erfordern, werden sie bei Sicherheitsüberprüfungen und routinemäßigen Bereinigungen oft ignoriert oder übersehen.
  • Statische Zugangsdaten:
    Service-Accounts verwenden oft fest programmierte Zugangsdaten wie Passwörter oder API-Schlüssel, die über Jahre hinweg unverändert bleiben oder nicht überwacht werden, was das Risiko einer Kompromittierung erhöht.

Ein kompromittiertes Service-Account kann den Zugriff auf sensible Systeme oder eine Privilegienerweiterung ermöglichen und es Angreifern erlauben, sich seitlich in der Umgebung eines Unternehmens zu bewegen.

 

Ausnutzung von Service-Accounts auf dem Vormarsch

Die mit Service-Accounts verbundenen Risiken sind nicht theoretischer Natur, sondern wurden in jüngster Zeit bei mehreren hochkarätigen Cyberangriffen ausgenutzt, wie die folgenden Beispiele zeigen.

Dropbox Sign

Beim Dropbox-Sign-Vorfall nutzten Angreifer einen kompromittierten Service-Account aus, um auf sensible API-Schlüssel und OAuth-Token zuzugreifen. Diese Token ermöglichten den unbefugten Zugriff auf kritische Integrationen und Kundendaten und deckten Schwachstellen bei der Verwaltung und Überwachung von Service-Accounts auf. Der Vorfall unterstreicht die Gefahren ungeschützter nicht-menschlicher Identitäten, insbesondere wenn Zugangsdaten nicht regelmäßig rotiert oder überwacht werden. Dropbox Sign musste sofort Token widerrufen, Passwörter zurücksetzen und zusätzliche Sicherheitsebenen implementieren, um die Folgen abzumildern.

Marriott Starwood

Die Datenpanne bei Marriott Starwood, eine der größten jemals verzeichneten, legte die persönlichen Daten von über 383 Millionen Gästen offen. Ein kompromittierter Service-Account spielte bei diesem Angriff eine entscheidende Rolle. Nachdem Marriott Starwood übernommen hatte, blieb eine Schwachstelle in einem Service-Account innerhalb der Starwood-Infrastruktur unbemerkt, über die Angreifer auf sensible Datenbanken zugriffen. Diese mangelnde Sichtbarkeit und unzureichende Überwachung von Service-Accounts ermöglichte es den Angreifern, über mehrere Monate hinweg Passnummern, Zahlungsdaten und persönliche Informationen zu extrahieren. Der Vorfall kostete Marriott nicht nur Millionen an Bußgeldern und Gerichtsverfahren, sondern zeigte auch die weitreichenden Folgen auf, die entstehen, wenn Service-Accounts bei Fusionen und Übernahmen nicht geschützt werden.

 

Wichtige Angriffstechniken, die auf Service-Accounts abzielen

Angreifer nutzen eine Vielzahl ausgefeilter Techniken, um Service-Accounts auszunutzen, sich unbefugten Zugang zu verschaffen und kritische Systeme zu kompromittieren. Einige der häufigsten sind:

  • Diebstahl von Zugangsdaten:
    Angreifer verwenden häufig Phishing-E-Mails, Brute-Force-Angriffe oder Malware, um die Zugangsdaten von Service-Accounts zu stehlen. Da diese Zugangsdaten in der Regel statisch sind und selten geändert werden, kann der Angriff über längere Zeiträume unbemerkt bleiben, sodass Angreifer über einen längeren Zeitraum Zugriff auf kritische Systeme haben.
  • Kerberoasting:
    Diese Technik zielt auf Service-Accounts in Active-Directory-Umgebungen ab. Angreifer fordern Service-Tickets für Konten mit Service Principal Names (SPNs) an und extrahieren die verschlüsselten Ticket-Hashes. Diese Hashes werden dann offline geknackt, um unbefugten Zugriff auf den Service-Account zu erhalten.
  • Pass-the-Ticket-Angriffe:
    Angreifer verwenden gestohlene Kerberos-Tickets, um sich als Service-Account auszugeben und Zugriff auf die damit verbundenen Berechtigungen zu erhalten, ohne das eigentliche Passwort zu benötigen. Dadurch können sie ihren Zugriff erweitern und sich seitlich im Netzwerk bewegen.
  • Token-Diebstahl:
    Angreifer stehlen Authentifizierungstoken, die von Service-Accounts verwendet werden, wie z. B. OAuth-Token oder API-Schlüssel. Mit diesen Token können sie herkömmliche Authentifizierungsmechanismen umgehen und direkt auf Anwendungen oder Dienste zugreifen, die mit dem Konto verknüpft sind.
  • Ausnutzung von Fehlkonfigurationen:
    Schlecht konfigurierte Service-Accounts, z. B. solche mit zu weit gefassten Berechtigungen, ohne Richtlinien für den Ablauf von Kennwörtern oder mit minimalen oder schwachen Sicherheitsrichtlinien, werden ausgenutzt, um die Berechtigungen zu erweitern. Angreifer suchen nach diesen Fehlkonfigurationen, um Service-Accounts als Einstiegspunkte zu nutzen.

 

Kompromittierte Service-Accounts haben erhebliche Auswirkungen auf das Geschäft

Wenn Service-Accounts kompromittiert werden, reichen die Auswirkungen weit über technische Systeme hinaus und betreffen das gesamte Unternehmen. Von Betriebsunterbrechungen bis hin zur Erosion des Kundenvertrauens verursachen diese Vorfälle erhebliche geschäftliche, finanzielle und rufschädigende Schäden.

  • Betriebsausfallzeiten:
    Service-Accounts können dazu verwendet werden, kritische Anwendungen zu deaktivieren, Arbeitsabläufe zu unterbrechen und den Geschäftsbetrieb zum Erliegen zu bringen.
  • Compliance-Vorfälle:
    Kompromittierte Service-Accounts können zu Vorfällen gegen Vorschriften wie die DSGVO, HIPAA oder SOX führen, was hohe Bußgelder und Klagen nach sich ziehen kann.
  • Kundenvertrauen:
    Ein Vorfall, bei dem über Service-Accounts auf sensible Daten zugegriffen wird, kann das Vertrauen der Kunden untergraben und den Ruf des Unternehmens schädigen, indem es die Sicherheitsbereitschaft des Unternehmens in Frage stellt.

Folglich können Ausfallzeiten, Kundenabwanderung, behördliche Geldbußen und Rufschädigung zu erheblichen finanziellen Verlusten führen, die sich möglicherweise auf Millionen belaufen. Unternehmen müssen erkennen, dass die Sicherung von Service-Accounts nicht nur eine technische Notwendigkeit, sondern eine geschäftskritische Priorität ist.

 

Wie sich Service-Accounts effektiv schützen lassen

Service-Accounts stellen einzigartige Sicherheitsherausforderungen dar, die einen umfassenden, proaktiven und strukturierten Ansatz erfordern. Durch die Umsetzung wichtiger bewährter Verfahren können Unternehmen die mit diesen nicht-menschlichen Identitäten verbundenen Risiken erheblich reduzieren und kritische Systeme vor potenziellen Sicherheitsverletzungen schützen:

  • Anwendung des Prinzips der geringsten Privilegien:
    Administratoren sollten die Berechtigungen von Service-Accounts auf das für ihre Funktionen unbedingt erforderliche Maß beschränken. Die Berechtigungen gilt es regelmäßig zu prüfen, um sicherzustellen, dass keine unnötigen Zugriffsrechte gewährt werden, und so die Angriffsfläche reduziert wird.
  • Durchsetzung der Anmeldeinformationen:
    Passwörter und API-Schlüssel sollten regelmäßig rotiert werden, um das Risiko eines Diebstahls von Anmeldeinformationen zu verringern. Es ist wichtig, sichere, eindeutige Passwörter zu verwenden und es zu vermeiden, Anmeldeinformationen in Code oder Konfigurationsdateien einzubetten.
  • Kontinuierliche Überwachung von Service-Accounts:
    Fortschrittliche Überwachungstools helfen, Anomalien in der Aktivität von Service-Accounts zu erkennen und darauf zu reagieren. Warnmeldungen lassen sich für ungewöhnliches Verhalten konfigurieren, wie z. B. Anmeldeversuche von unerwarteten Standorten und Netzwerkzonen oder zu ungewöhnlichen Zeiten.
  • Erkennung veralteter Konten automatisieren:
    Automatisierte Lösungen ermöglichen es, ungenutzte oder überprivilegierte Service-Accounts zu identifizieren und außer Betrieb zu nehmen. Dadurch wird verhindert, dass Angreifer ruhende Konten ausnutzen, die nicht mehr aktiv verwaltet werden.

Diese Maßnahmen können die Sicherheit von Service-Accounts erheblich verbessern und das Risiko, dass sie als Angriffsvektoren genutzt werden, verringern.

 

Die Rolle von IAM-Backups beim Schutz von Service-Accounts

Service-Accounts sind für den Betrieb von Unternehmen von entscheidender Bedeutung, und der Verlust ihrer Konfigurationen kann zu schwerwiegenden Störungen und Schwachstellen führen. IAM-Backups fungieren als letzte Verteidigungslinie und gewährleisten im Falle eines Vorfalls Kontinuität:

  • Wiederherstellung nach Sicherheitsverletzungen:
    Im Falle einer Sicherheitsverletzung ermöglichen Backups Unternehmen die Wiederherstellung von Service-Accounts zusammen mit anderen IAM-Daten in einen sicheren Zustand, wodurch die Ausfallzeit und die Auswirkungen des Angriffs minimiert werden.
  • Minderung von Fehlkonfigurationen:
    IAM-Backups ermöglichen es Unternehmen, die Konfigurationen von Service-Accounts schnell wiederherzustellen, wenn versehentliche Änderungen zu Störungen und Schwachstellen führen.
  • Sicherstellung der Compliance:
    Regelmäßige Backups von IAM-Daten, einschließlich Service-Accounts, helfen Unternehmen, die Compliance aufrechtzuerhalten, indem sie Prüfpfade und Zugriffsprotokolle aufbewahren.

 

 

 

Häufig gestellte Fragen

 

Wie häufig sollten Service-Accounts gesichert werden?

Da Service-Accounts von IAM-Lösungen wie Microsoft Entra ID, Okta Workforce Identity Cloud (WIC) und AWS Identity and Access Management (IAM) verwaltet werden, werden sie bei jeder Sicherung der IAM-Daten und -Konfigurationen gesichert. Die Häufigkeit wird durch die Sicherheitsrichtlinien der Unternehmen und die Kritikalität der beteiligten Systeme bestimmt.

 

Wie können Backups helfen, wenn ein Service-Account kompromittiert wurde?

Falls ein Service-Account kompromittiert wurde, können Administratoren mit einer IAM-Datenschutzlösung wie HYCU das spezifische Service-Account mit seinen vorherigen Konfigurationen und Zugangsdaten schnell wiederherstellen. Nach der Wiederherstellung können sie die Zugangsdaten sofort zurücksetzen, um den Zugriff auf den Service-Account zu blockieren.

 

Wie kann die Sicherheit von Service-Accounts in die umfassendere Sicherheitsstrategie eines Unternehmens integriert werden?

Die Sicherheit von Service-Accounts sollte Teil eines umfassenden Sicherheitsrahmens sein, der Identitäts- und Zugriffsverwaltung (IAM), Multi-Faktor-Authentifizierung (MFA), fortlaufende Schwachstellenbewertungen und eine robuste Sicherungs- und Wiederherstellungsstrategie umfasst.

 

Schlussfolgerung

Service-Accounts sind für den modernen IT-Betrieb von entscheidender Bedeutung, doch ihre Sicherheit wird oft übersehen. Da Angreifer zunehmend auf diese nicht-menschlichen Identitäten abzielen, müssen Unternehmen proaktive Maßnahmen ergreifen, um sie zu sichern und zu überwachen. Durch die Implementierung robuster Sicherheitspraktiken, den Einsatz fortschrittlicher IAM-Tools und die Integration einer IAM-Backup-Lösung können Unternehmen ihre Service-Accounts davor schützen, zu Hintertüren für Cyberangriffe zu werden.

 

377 Artikel zu „Service Accounts“

News | Infrastruktur | Rechenzentrum

Leader in Kategorie »Colocation Services for Large Accounts« – Top-Platzierung für noris network in ISG-Studie

noris network, Betreiber von hochsicheren Rechenzentren in Nürnberg, München und Hof, wurde von der Information Services Group Germany (ISG) zum Leader im Marktsegment »Colocation Services for Large Accounts« ernannt. Die Marktforscher würdigen in ihrer aktuellen Studie „ISG Provider Lens“ vor allem das hochattraktive Produkt- und Serviceangebot sowie eine ausgeprägt starke Markt- und Wettbewerbsposition.

Weiterlesen →

News | Trends 2024 | Trends Cloud Computing | Cloud Computing | Trends Services | Rechenzentrum | Services

Private und Hybrid-Cloud: Kleinere Managed-Services-Anbieter mischen den Mittelstandsmarkt auf

ISG-Studie: Globale Systemintegratoren zunehmend unter Wettbewerbsdruck. Zahlreiche Merger und Übernahmen mit Hilfe von Private-Equity-Kapital.   Im Geschäft mit hybriden Cloud-Lösungen verlieren die großen globalen Systemintegratoren vermehrt Kunden an mittelständische Anbieter. Diese können wegen der geringeren Gemeinkosten wettbewerbsfähigere Preise anbieten und sind bei der Anpassung an sich ändernde Marktbedingungen agiler. Darüber hinaus haben sie gelernt, schneller…

Weiterlesen →

News | Trends Services | Trends 2023 | Services

Rosige Zeiten für SAP-Serviceanbieter in Deutschland

Neue ISG-Studie: Teilweise sehr hohe Wachstumszahlen in den kommenden Jahren erwartet.   In den S/4HANA-Markt kommt zunehmend Bewegung, die Zeichen stehen für SAP-Serviceanbieter auf Wachstum. Das berichtet die neue Studie »ISG Provider Lens SAP Ecosystem Germany 2023«, die das Marktforschungs- und Beratungsunternehmen Information Services Group veröffentlicht hat. Der Studie zufolge wird Deutschland in den kommenden…

Weiterlesen →

News | Lösungen | Services | Ausgabe 1-2-2023

Managed Service Provider mit Beratungs- und Dienstleistungen – Wesentlich agiler, flexibler und schneller handeln

Kyndryl kann ohne Interessenkonflikte agieren, da sie strategisch als auch finanziell autonom sind. Schnellere Entscheidungsprozesse und flachere Hierarchien helfen bei der Fokussierung auf Innovationen. Durch eine Vendor-agnostische Aufstellung erhalten Kunden genau die Partnerschaften, die sie wünschen. Wir sprachen mit Stephan Hierl, Chief Technology Officer bei Kyndryl Deutschland, was von der IBM-Ausgründung noch zu erwarten ist.

Weiterlesen →

News | IT-Security | Produktmeldung

IT-Security as a Managed Service: Wie können kleine und mittlere Unternehmen ihre IT effizient absichern?

https://www.shutterstock.com/de/image-photo/security-theme-woman-using-her-laptop-1408603136   IT-Systeme werden immer komplexer und das Betreuen dieser Infrastrukturen wird zunehmend anspruchsvoller. Der weltweit und in Deutschland herrschende Fachkräftemangel führt zu vielen nicht besetzten Stellen in der IT. Gleichzeitig steigt das Risiko von Hackerangriffen seit Jahren kontinuierlich an, sodass umfassende IT-Security für Unternehmen jeder Größe von höchster Bedeutung ist.   Vor allem kleine…

Weiterlesen →

News | IT-Security | Services | Tipps

IT-Sicherheit: In 6 Schritten fit für Managed Security Services

Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheitstools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen…

Weiterlesen →

News | IT-Security | Strategien

Malware-as-a-Service: Cybersecurity-Profis gegen APT-Unternehmer

Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR). In den letzten Jahren hat sich die Cyberkriminalität weiter organisiert und orientiert sich dabei…

Weiterlesen →

News | Cloud Computing | IT-Security

Die Cloud verändert alles –Auswirkungen von »as a Service« auf die Cybersicherheit

Auf die eine oder andere Art haben praktisch alle Unternehmen Berührungspunkte mit der Cloud, selbst wenn es vielen nicht unbedingt direkt bewusst sein mag. Je nach Art und Umfang der Cloud-Nutzung entstehen dadurch direkte Folgen für die Cybersicherheit, die Andreas Müller, Director DACH bei Vectra AI erläutert.   Die Migration von Unternehmen in die Cloud…

Weiterlesen →

News | Trends Kommunikation | Trends 2019

Facebook löscht Milliarden Fake Accounts

  2,4 Milliarden monatlich aktive Nutzer hat Facebook im Geschäftsbericht für das erste Quartal 2019 gemeldet. Im selben Zeitraum löschte das Unternehmen 2,2 Milliarden Fake-Accounts. Das geht aus dem Community Standards Enforcement Report hervor. Und dabei erwischt Facebook längst nicht alle gegen die Regeln verstoßenden Profile, wie eine weitere Statista-Grafik zeigt. Die enormen Zahlen gehen…

Weiterlesen →

News | Trends Cloud Computing | Cloud Computing | Digitale Transformation | Trends Geschäftsprozesse | Trends Services | Geschäftsprozesse | Trends 2018 | Infrastruktur | Outsourcing | Rechenzentrum | Services

Cloud- Services-Markt in Deutschland: Die großen Public-Cloud-Anbieter bauen ihre Führung weiter aus

  Im laufenden Jahr werden deutsche Unternehmen rund 1,4 Milliarden Euro in Infrastructure-as-a-Service-Lösungen investieren. Dies entspricht einem Plus von fast 30 Prozent gegenüber dem Vorjahr. Der Markt in Deutschland wächst dabei mittlerweile etwas schneller als das weltweite Geschäft, wie der neue Anbietervergleich »ISG Provider Lens Germany 2019 – Cloud Transformation/ Operation Services & XaaS« meldet…

Weiterlesen →

News | Business | Business Process Management | Trends Geschäftsprozesse | Geschäftsprozesse | Trends 2017 | Infrastruktur | Services

Lokale SAP HANA Service-Anbieter werden bevorzugt

Anbieter im SAP HANA Services-Umfeld benötigen mittlerweile mehr als nur Know-how für die Implementierung der Business-Prozesse oder das Vorhalten entsprechender Ressourcen. Sie müssen vielmehr ausgeprägtes Branchen- und Technologiewissen aufweisen, wobei lokale Anbieter von Technologie und Dienstleistungen bevorzugt werden. Mit der dritten Ausgabe des Anbietervergleichs »ISG Provider Lens Germany – SAP HANA Services« liefert ISG auf…

Weiterlesen →

News | IT-Security

Sicherheit von Drittanbieter-Fernzugriffen in IT- und OT-Umgebungen

Neue Version von BeyondTrust Privileged Remote Access mit Suchfunktion für externe Endpunkte. Der Sicherheitsanbieter BeyondTrust hat Version 22.1 der Fernzugriffslösung Privileged Remote Access veröffentlicht. Die Enterprise-Lösung bietet IT-, OT- und Sicherheits-Teams die erforderlichen Kontroll-, Verwaltungs- und Überwachungsfunktionen, damit autorisierte Mitarbeiter, Dienstleister, Vertragspartner und Lieferanten sicheren Fernzugriff erhalten. Organisationen können Least-Privilege-Vorgaben durchsetzen, granulare Kontroll- und Visibilitätsvorgaben…

Weiterlesen →

Zur Startseite →

← Zurück