Illustration: Absmeier Geralt

Wie oft haben Sie sich schon an Ihrem Computer angemeldet oder eine Website aufgerufen und wurden direkt zur Start- anstatt zur Anmeldeseite geleitet? Wenn Sie am Montagmorgen den Laptop aufklappen, werden dann Ihre E-Mails abgerufen, ohne dass Sie sich erst neu bei Outlook anmelden müssen? Und wie oft haben Sie schon darüber nachgedacht, was das eigentlich heißt? Der Durchschnittsnutzer jedenfalls macht sich in den wenigsten Fällen darüber Gedanken.

Bei den meisten alltäglichen Arbeitsanforderungen oder der Nutzung von Anwendungen, soll es vor allem schnell gehen. Wenn Effizienz das Credo ist, dann sind manchem selbst die 10 Sekunden für die Passworteingabe zu viel. Diese Effizienz hat allerdings einen riskanten Nebeneffekt, denn sie führt zwangsläufig zu zwischengespeicherten Anmeldeinformationen. Die sind ein wichtiger Bestandteil des digitalen Lebens, denn Computer speichern diese Anmeldeinformationen automatisch für eine spätere Verwendung. Gelingt es einem Angreifer aber, ein System zu kompromittieren, kann er ebenfalls auf diese zwischengespeicherten Informationen zugreifen und Daten abziehen.

Warum sind zwischengespeicherte Anmeldeinformationen so riskant?

Eine Untersuchung der Enterprise Strategy Group (ESG) hat ergeben, dass Malware, die zwischengespeicherte Anmeldeinformationen stiehlt, zu den wichtigsten Angriffsvektoren überhaupt zählt. Nicht zuletzt der spektakuläre Angriff der Lapsus$-Ransomware-Gang geht auf zwischengespeicherte Anmeldeinformationen zurück. Anfang 2022 machten die Conti-Leaks Schlagzeilen. Auch hier hatten die Cyberkriminellen es nach eigenen Angaben auf Anmeldeinformationen abgesehen, um sich einen ersten Zugang zu verschaffen. Das sind nur einige Beispiele, die deutlich machen, welchen Wert Identitäten für einen erfolgreichen Angriff haben.

Ransomware-Gangs nutzen immer häufiger Identitäten mit Schwachstellen aus, um ans Ziel zu gelangen. Zwischengespeicherte Anmeldeinformationen spielen dabei eine zentrale Rolle, gerade weil viele sich des Risikos nicht bewusst sind. Auch wenn sie nicht in einer Datei oder an einem bestimmten Ort auf dem Computer gespeichert sind, sind diese Anmeldeinformationen potenziell ein enormes Risiko. Denn Benutzer schließen fälschlich, dass »etwas, das nicht gespeichert ist, auch nicht gestohlen werden kann«. Leider ist das sehr wohl möglich. Im Falle eines Diebstahls müssten gespeicherte Anmeldeinformationen trotzdem eingegeben werden, was eine Multi-Faktor-Authentifizierung nach sich ziehen würde. Wenn die Anmeldeinformationen aber auf dem System eines legitimen Benutzers zwischengespeichert sind, werden sie standardmäßig als gültig betrachtet. Diese Eigenschaft macht sie für Cyberkriminelle besonders attraktiv. Computer sind so programmiert, dass sie sich diese Details, für den Fall merken, dass der Benutzer sie braucht. Das hebelt die aktuell von vielen Unternehmen geplanten und durchgeführten Zero-Trust-Projekte aus.

Missbrauch von zwischengespeicherten Anmeldeinformationen

Erschwerend kommt hinzu, dass Angreifer sich weit verbreitete kostenlose Tools zunutze machen, mit denen sich zwischengespeicherte Anmeldeinformationen einfach und effizient missbrauchen lassen – und zwar, ohne dass irgendein Alarm ausgelöst wird. Mimikatz ist ein prominentes Beispiel für ein solches Tool, das im Übrigen auch die Lapsus$-Gang bei einem ihrer Angriffe verwendet hat. Solche Tools kann man problemlos von Websites wie GitHub herunterladen, und sie ermöglichen es praktisch jedem, einen Angriff zu starten. Hätte die Lapsus$-Gang nicht online nach »Tools zur Privilegienerweiterung« gesucht, wäre der Angriff möglicherweise unentdeckt geblieben.

Das zeigt, wie effektiv sich zwischengespeicherte Anmeldeinformationen ausnutzen lassen und wie wichtig es andererseits ist, privilegierte Identitäten im Netzwerk kontinuierlich zu identifizieren und deren Risiken zu priorisieren sowie sie rechtzeitig zu entfernen. Ausnutzbare Identitäten sind für Unternehmen ein kaum zu kalkulierendes Risiko. Wenn ein Benutzer die automatische Anmeldung bei seinen privaten Konten zulässt, ist es ziemlich wahrscheinlich, dass es bei seinen Geschäftskonten nicht anders ist. Schon allein, weil Browser und Betriebssysteme immer wieder dazu auffordern, Benutzerpasswörter zu speichern.

Identitäten sind mittlerweile die wichtigste Komponente, die Angreifer sich zunutze machen. Hier haben etliche Unternehmen Nachholbedarf, wenn es darum geht, das von Identitäten ausgehende Risiko einzuschätzen, zu bewerten und nach Gegenmaßnahmen zu suchen. Eine Umfrage von Illusive und ESG hat beispielsweise ergeben, dass lediglich 41 Prozent aller Zugriffsrechte regelmäßig neu bewertet werden. Und selbst wenn das der Fall ist, scheuen sich Administratoren oftmals, Privilegien zu widerrufen, weil sie das damit verbundene Sicherheitsrisiko falsch einschätzen. Dieses Problem verschärft sich zusätzlich, weil lediglich 20 Prozent der Unternehmen ihre Endgeräte auf zwischengespeicherte Anmeldeinformationen hin überwachen, obwohl sie auf jedem sechsten Endgerät vorhanden sind. Dazu kommt, dass den meisten Tools, die sich um die Verwaltung von Zugriffsberechtigungen und Privilegien kümmern, ausgeklügelte Erkennungsfunktionen schlicht fehlen.

Zwischengespeicherte Identitäten und wie sie miteinander verbunden sind

Zwischengespeicherte Anmeldeinformationen sind weit verbreitet, und das von ihnen ausgehende Risiko ist entsprechend hoch. Noch gefährlicher wird es bei komplett zwischengespeicherten Identitäten. Sie sind das Ergebnis, wenn beim Hochfahren eines Computers und von Anwendungen wie etwa Teams und Slack keine weitere Aktion nötig ist, um sich direkt anzumelden. Ein Phänomen, das Angreifern einige Türen öffnet, auch die Multi-Faktor-Authentifizierung zu umgehen.

Multi-Faktor-Authentifizierung und Zero Trust sind taugliche Ansätze, die üblichen schlechten Angewohnheiten in Bezug auf Passwörter zu vermeiden und Benutzerkonten besser zu schützen. Sobald ein Rechner aber Identitäten für eine mögliche spätere Verwendung speichert, liefert das Cyberkriminellen die perfekte Gelegenheit, Session-Daten von einem Browser oder einer Anwendung zu übernehmen und an anderer Stelle zu verwenden. Auf diesem Weg verschaffen sich Eindringlinge Zugang zu den meisten Konten, denn die MFA wurde bereits durchlaufen und der Benutzer validiert. Der Lapsus$-Angriff ist ein Paradebeispiel. Hier wurden zwischengespeicherte Anmeldeinformationen benutzt, um in der typischen lateralen Bewegung das Netzwerk zu sondieren. Dank der bereits validierten Identitäten konnten die Angreifer anschließend auf weitere Konten und Anwendungen zugreifen.

Was man tun kann 

Man kann nichts schützen, von dem man nichts weiß. Die meisten IAM- und PAM-Lösungen überwachen weder zwischengespeicherte Anmeldeinformationen noch Schattenadministratoren oder Legacy-Anwendungen. Es muss also zunächst darum gehen, die Risiken zu erkennen, die mit zwischengespeicherten Anmeldeinformationen einhergehen. Dann gilt es, die mit Identitäten verbundenen Risiken zu identifizieren, entsprechende Schwachstellen zu priorisieren und die Probleme zu beheben. Dazu gehört es, zwischengespeicherte Anmeldeinformationen von Unternehmensendpunkten zu entfernen.

Natürlich reicht es nicht aus, Identitätsbedrohungen zu erkennen. Unternehmen sollten Tools an die Hand bekommen, die es ihnen erleichtern, darauf zu reagieren. Lösungen, die sich genau darauf spezialisiert haben, hinterlassen beispielsweise Fake-Anmeldeinformationen auf Endpunkten und Servern, die als Köder für einen Angreifer fungieren und nur mit ihm interagieren. Identitätsschwachstellen, einschließlich zwischengespeicherter Anmeldeinformationen, ändern sich ständig – bei jeder Anmeldung und vielen alltäglichen Aufgaben.

Technologien wie PAM, SSO und MFA mit Zero Trust Policies sind unerlässlich und leisten einen wesentlichen Beitrag für die Sicherheit. Will man Angriffe verhindern und Mitarbeiterkonten und -anwendungen wirklich schützen, kommt man aber nicht umhin, Identitätsschwachstellen kontinuierlich und im Idealfall automatisiert zu identifizieren und zu beseitigen.

Wolfgang Halbartschlager, Illusive