Zugriff auf Anmeldeinformationen ist das größte Risiko für einen Ransomware-Angriff

Illustration: Absmeier Geralt

So ziemlich jede umfassende IT-Initiative führt zu mehr digitalen Interaktionen zwischen Menschen, Anwendungen und Prozessen – ob es nun darum geht, hybrides Arbeiten zu ermöglichen oder neue, digitale Service-Angebote für Kunden und Bürger einzuführen. Ein neuer Report von CyberArk illustriert, wie die wachsende Zahl menschlicher und maschineller Identitäten zu einem nicht unerheblichen identitätsbezogenen Berg an sogenannten »technischen Schulden« im Bereich Cybersicherheit geführt hat [1]. Und das wiederum zu einem deutlich höheren Risiko.

Gerade jüngste digitale Initiativen haben den diesbezüglichen Preis in die Höhe getrieben. Unternehmen versuchen mittels Investitionen in die Sicherheit irgendwie Schritt zu halten. Meist gelingt es ihnen aber nicht, die Optimierung von Geschäftsprozessen und Wachstumsambitionen mit den aktuellen Cybersicherheits-Anforderungen in Einklang zu bringen.

79 % der Befragten räumen denn auch ein, dass in den letzten 12 Monaten die Aufrechterhaltung des Geschäftsbetriebs Vorrang vor der Gewährleistung einer robusten Cybersicherheit hatte. Die beschleunigte Digitalisierung und der damit verbundene Wildwuchs von Identitäten haben die Angriffsfläche deutlich vergrößert. Über 70 % der Unternehmen wurden allein im vergangenen Jahr Opfer von Ransomware-Angriffen. Dabei sehen die Befragtem im Zugriff auf Anmeldeinformationen das höchste Risiko (40 %), gefolgt von der Umgehung von Verteidigungsmaßnahmen (31 %), der eigentlichen Ausführung (31 %), dem initialen Zugriff (29 %) und der Rechteausweitung (27 %).

Die jüngsten geopolitischen Spannungen haben die Lage zusätzlich verschärft. Das Bewusstsein für die physischen Folgen von Cyberangriffen, insbesondere für kritische Infrastrukturen, ist gewachsen. Dem Bericht zufolge vermelden 88 % der Energie- und Versorgungsunternehmen bereits einen erfolgreichen Angriff auf die Softwarelieferkette.

Um die technischen Schulden zu senken, haben die Befragten weitere Maßnahmen entweder bereits eingeführt oder wollen dies in der nahen Zukunft tun. Die Top 3, die jeweils von 54 % der Befragten genannt wurden:

  • Überwachung und Analyse in Echtzeit, insbesondere von privilegierten Sessions
  • Durchsetzung von Least Privilege- und Zero-Trust-Prinzipien für geschäftskritische Anwendungen
  • Prozesse, um geschäftskritische Anwendungen von mit dem Internet verbundenen Geräten zu isolieren; dies dient dem Ziel, die typische laterale Fortbewegung eines Angreifers im Netz möglichst zu unterbinden.

 

Im Rahmen der von Vanson Bourne durchgeführten Studie wurden weltweit 1.750 IT-Sicherheitsentscheider hinsichtlich ihrer Erfahrungen mit der wachsenden Digitalisierung in den letzten 12 Monaten befragt.

[1] Report: 78% increase in ransomware attacks in last year | VentureBeat

 

Dazu ein Kommentar von Jochen Rummel, Illusive:

»Die meisten Ransomware- oder Cyberattacken basieren auf dem Diebstahl von Identitäten und Anmeldeinformationen. In nahezu allen Unternehmen existieren Endgeräte, auf denen sie nicht ausreichend geschützt sind, zum Beispiel zwischengespeicherte Anmeldeinformationen von privilegierten Accounts oder Zugangsdaten zu kritischen Systemen. Diverse Ransomware ist zum Beispiel bekannt dafür, Sitzungen zu kapern, und Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen.

Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Identity und Access Management-Lösungen (IAM) bieten natürlich einen gewissen Schutz. Aber sie hinterlassen blinde Flecken, die Angreifer mit schöner Regelmäßigkeit ausnutzen. Im Wesentlichen gibt es zwei Gründe, warum Cyberkriminelle diese blinden Flecke immer noch erfolgreich nutzen können. Zum einen ist die Abstimmung zwischen IT und Sicherheitsteams längst nicht immer ideal, zum anderen sind bestehende Identitätslösungen schlicht nicht konzipiert, um Unbekanntes aufzudecken oder komplexe Active Directory-Strukturen zu entwirren.

Was Anwender und Profis im IT-Umfeld immer noch verkennen: Hacker brechen meistens nicht ein, sie melden sich einfach im Netzwerk mit gestohlenen Anmeldedaten an.

Es existieren etliche Technologien zum Schutz von Anmeldedaten, die für sich genommen einzelne Bereiche durchaus schützen. Allerdings arbeiten diese Technologien nicht zusammen – eher handelt es sich um Insellösungen, die parallel zueinander arbeiten. Dadurch entstehen Lücken. Dazu kommt, dass die Sicherheitstechnologien nicht selten von verschiedenen Abteilungen verwaltet werden. Auch das sorgt nicht unbedingt für mehr Transparenz. Es erfordert zudem viel Zeit, in den komplexen Lösungen die betreffenden Features einzurichten, die Lösungen zu verwalten und zu überwachen. Genau diese Zeit fehlt meistens oder es mangelt an ausreichend qualifiziertem Personal. Das führt zu weiteren Lücken. Und die Verwaltung von Anmeldediensten wie Microsoft Azure Directory oder Azure AD ist alles andere als trivial. Diese Herausforderungen bringen bestehende Technologien und Architekturen manches Mal an ihre Grenzen.

Neben Schatten-Administratoren, also solchen, die nicht an PAM-Lösungen erfasst oder fehlerhaft konfiguriert sind, birgt auch die Schatten-IT eines Unternehmens ihre ganz eigenen Risiken. Hier betreiben Fachabteilungen in Unternehmen eigene IT-Systeme mit eigenen Anmeldeinformationen. Diese Systeme sind nicht in die Organisation der IT eingebunden und in den meisten Fällen nahezu ungeschützt. Angreifer konzentrieren sich gerne auf solche Schattensysteme und versuchen sich von dort aus einen Weg in die offizielle IT-Infrastruktur zu bahnen.

Wie aber kommt es zu diesen Lücken? Nun, Identitätsmanagement-Lösungen wurden entwickelt, um neue Benutzer, Anwendungen und Systeme zentralisiert zu verwalten. Primär dienen sie der Bereitstellung, nicht der Sicherheit. Privileged-Account-Management-Lösungen wurden entwickelt, um die Ausbreitung und den Wildwuchs von privilegierten Accounts in den Griff zu bekommen – und nicht, um Einblick in unbekannte Identitätsrisiken zu schaffen. Eine zentrale Aufgabe sollte also sein, Lücken im Kontext des Risikomanagements zu identifizieren und proaktiv anfällige Anmeldeinformationen und Verbindungen zu beseitigen. Dies verhindert, dass Angreifer sich einen privilegierten Zugriff überhaupt erst verschaffen. Und durch eine erfolgreiche Übernahme eines privilegierten Kontos werden in den meisten Fällen die bisherigen Investitionen in die Sicherheitsinfrastruktur nahezu wertlos. Sicherheitsfachleute sollten deshalb unbedingt dafür sorgen, dass in den von ihnen betreuten Netzwerken ungeschützte Identitäten nicht zum ungewollten Einfallstor werden. Der bessere Schutz aller anfälligen Identitäten ist eines der zentralen Themen der nächsten Jahre.«