Identitätsdiebstahl: Privilegierte Identitäten – ein beliebtes Ziel von Cyberkriminellen

Foto: tsingha25 – shutterstock.com

Sobald Angreifern die Zugangsdaten auch nur eines einzigen Mitarbeiters in die Hände gefallen sind, machen sie sich ans Werk und versuchen, sich in der Organisation auszubreiten. Hierzu stehlen sie noch mehr Zugangsdaten, versuchen sich weiterreichende Berechtigungen zu verschaffen, kompromittieren Server und Endgeräte und erbeuten sensible Unternehmensdaten. Anschließend ist es für die Cyberkriminellen ein Leichtes, auf Basis einer einzigen kompromittierten Identität eine breit angelegte Ransomware-Attacke zu starten oder ein Datenleck zu verursachen, das das gesamte Unternehmen in Mitleidenschaft ziehen kann.

Insbesondere privilegierte Identitäten sind daher für Angreifer wie ein Schlüssel zum Paradies. Mit ihrer Hilfe können sie die wertvollsten Daten von Unternehmen stehlen. Leider sind sich viele Unternehmen dieses Risikos nach wie vor nicht bewusst, da derlei Attacken schwer zu erkennen sind.

IT-Sicherheitsteams müssen sich also Gedanken darüber machen, welche Erkennungs-Tools sie einsetzen, um gefährdete Benutzer und Bewegungen von Angreifern in den eigenen IT-Umgebungen zu erkennen, bevor allzu große Schäden verursacht werden.

E-Mail bleibt Haupteinfallstor

Cyberangreifer wissen, dass Menschen Zugang zu den kritischsten Daten eines Unternehmens haben und viele von ihnen relativ leicht zu einer unbedachten Handlung zu verleiten sind, die die Sicherheit einer Organisation gefährdet. Die meisten dieser Angriffe beginnen mit einer simplen E-Mail.

E-Mail-basierte Angriffe sind noch immer das Mittel der Wahl für Cyberkriminelle. Daten von Proofpoint zeigen, dass 85 Prozent der deutschen Unternehmen im vergangenen Jahr einen Angriffsversuch mit Ransomware per E-Mail erlebten. Bei 63 Prozent davon folgte tatsächlich eine Ransomware-Infektion. Darüber hinaus haben 81 Prozent der deutschen Unternehmen 2022 einen Datenverlust aufgrund einer Insider-Attacke erlitten.

Es liegt daher auf der Hand, dass E-Mail-Sicherheit ein entscheidender Faktor in der Sicherheitsarchitektur einer Organisation ist. Durch eine technische Kombination aus E-Mail-Gateway-Regeln, moderner Bedrohungsanalyse, E-Mail-Authentifizierung und Transparenz in Bezug auf Cloud-Anwendungen können Unternehmen die meisten gezielten Angriffe abwehren, bevor sie die Mitarbeiter überhaupt erreichen.

Im Rahmen einer effektiven Strategie zum Schutz vor Bedrohungen muss jedoch die gesamte Angriffskette betrachtet werden, die Mitarbeiter und deren digitale Identitäten ständig gefährden.

Aus einem einfachen Grund werden Angreifer weiterhin versuchen, mit einer E-Mail mit Mitarbeitern in Kontakt zu kommen, um in einem Unternehmen Fuß zu fassen und sich auszubreiten: Die Methode funktioniert! Damit sich das ändert, müssen Unternehmen die Glieder der Angriffskette durchtrennen.

Beim Blick auf die Angriffskette zeigt sich, dass der erste Schritt für eine Unterbrechung darin besteht, die initiale Kompromittierung zu verhindern. Hier ist eine umfassende E-Mail-Sicherheitsstrategie unabdingbar.

Viele Angriffe bleiben unentdeckt

Besorgniserregend ist, dass kompromittierte Konten oft unentdeckt bleiben und die Sicherheitsverantwortlichen keine Anzeichen für eine Kompromittierung oder Nachweise von Malware vorfinden. Und trotz des Einsatzes von Privileged Account Management (PAM) und Multifaktor-Authentifizierung (MFA) sind diese Angriffe immer noch auf dem Vormarsch. Bleiben sie unentdeckt, sehen sich Unternehmen mit einem noch größeren Problem konfrontiert – der Ausweitung von Privilegien und der Ausbreitung der Angreifer innerhalb des Netzwerks.

Um dies zu verhindern, müssen Unternehmen Technologien einsetzen, mit deren Hilfe gefährdete Benutzer identifiziert werden können und Security-Teams auf Angriffe reagieren können. Nur so kann den Cyberkriminellen das genommen werden, was sie für ihre Attacke benötigen: der Zugriff auf privilegierte Konten. Ein umfassender Ansatz zur Erkennung von Identitätsbedrohungen und zur Reaktion darauf (Identity Threat Detection and Response, ITDR) hilft Unternehmen, Risiken im Zusammenhang mit privilegierten Identitäten zu beseitigen und die potenziellen Auswirkungen einer Kompromittierung zu verstehen.

Durch den Einsatz derartiger technischer Kontrollen sind Unternehmen in der Lage, Identitätsdiebstahl und die eigene Kompromittierung zu verhindern. Wie bei allen Bedrohungen ist jedoch eine Kombination aus menschlichem Handeln, Verfahren und Technologie entscheidend.

Lesetipp: Die Mehrheit der Unternehmen hat Probleme bei der Nutzung von Identitäts-Tools

Schulen – aber richtig

IT-Sicherheit bedarf gemeinsamer Verantwortung. Mitarbeiter auf allen Ebenen eines Unternehmens müssen befähigt werden, die Cybersicherheit im Allgemeinen und riskante Verhaltensweisen im Speziellen zu verstehen. Schulungs- und Sensibilisierungsprogramme sind dabei von entscheidender Bedeutung, aber es gibt keinen Ansatz, der für alle gleichermaßen passen würde. Daher gilt es darauf zu achten, dass ein Programm individuell aus der Perspektive des Anwenders erstellt wird.

Deutsche Organisationen haben in dieser Hinsicht noch Luft nach oben. Nur 62 Prozent schulen ihre Mitarbeiter zu Security-Themen, die explizit die eigene Organisation betreffen. Zumindest trainieren 56 Prozent der deutschen Unternehmen alle ihre Mitarbeiter, unabhängig von der jeweiligen Position.

Nach Erkenntnissen von Proofpoint erfordern über 99 Prozent aller Cyberbedrohungen eine menschliche Interaktion, um erfolgreich zu sein. Weil Mitarbeiter so eine große Rolle bei einem Angriff spielen, müssen sie auch ein wichtiger Teil der Cyberverteidigung sein. Cyberkriminelle versuchen Tag und Nacht, in Netzwerke und Systeme einzudringen und Daten zu stehlen. Das Mindeste, was Security-Verantwortliche tun können, ist, ihnen die Arbeit ein wenig schwerer zu machen. (jm)