Home » Fachbeiträge » Cybersecurity » Der stille Diebstahl

Sichere Identitäten: Trends und neue Herausforderungen: Der stille Diebstahl

Benutzeridentitäten gelten im digitalen Zeitalter als erste Verteidigungslinie. Welche Tricks wenden Cyberkriminelle derzeit an, um sich dennoch Zugang zu verschaffen? Und wie lässt sich das verhindern?

·

Redaktion IT-SICHERHEIT (cs)

8 Min. Lesezeit
Silhouette eines Hackers
Foto: ©AdobeStock/AkuAku

Die letzten Monate waren geprägt von zahlreichen Meldungen, die das Thema Cyberkriminalität in den Fokus der breiten Öffentlichkeit gerückt haben. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur IT-Sicherheitslage erneut eine erhöhte Bedrohung für Deutschland festgestellt.

Als größte operative Gefahr gelten Ransomware-Angriffe. Die zunehmende globale Vernetzung und Abhängigkeiten in den Lieferketten vergrößern zudem die Angriffsfläche erheblich. Diese Erkenntnisse stimmen mit den im Microsoft Digital Defense Report analysierten Cybersecurity-Trends überein. Der im Oktober 2024 veröffentlichte Bericht präsentiert eindrucksvolle Zahlen, die IT-Sicherheitsverantwortlichen zu denken geben sollten:

  • Passwortbasierte Angriffe: Laut Digital Defense Report zielen mehr als 99 Prozent der Identitätsangriffe auf Passwörter ab. Diese Angriffe machen sich häufig vorhersehbare menschliche Verhaltensweisen zunutze, etwa leicht zu erratende Kennwörter und deren Wiederverwendung auf mehreren Websites.
  • Phishing und Social Engineering: Diese Methoden werden häufig eingesetzt, um Anmeldeinformationen zu stehlen. Angreifer nutzen dabei gefälschte E-Mails oder Webseiten, um Benutzer dazu zu bringen, ihre Zugangsdaten preiszugeben.
  • Ransomware-Angriffe: Deutschland war im Jahr 2024 eines der am stärksten von Ransomware betroffenen Länder. Besonders im Fokus standen kritische Infrastrukturen, vor allem Unternehmen im Bereich IT-Services, Finanzen und Versicherungen sowie im Gesundheits- und Energiesektor.
  • DDoS-Angriffe: Deutschland verzeichnete eine hohe Anzahl von Distributed-Denialof-Service-(DDoS)-Angriffen und steht damit gleich nach den USA an zweiter Stelle der am häufigsten betroffenen Länder. Diese Angriffe zielen darauf ab, die Verfügbarkeit von Diensten und damit die Business Continuity zu stören, indem sie Netzwerke mit einer Flut von Anfragen überlasten.

Cyberbedrohungen sind real – aber handhabbar

Cyberangriffe zählen im digitalen Zeitalter zu den vielen Herausforderungen, mit denen Unternehmen in der Privatwirtschaft und Einrichtungen des öffentlichen Sektors zu tun haben. Und als genau das sollten wir sie auch begreifen: eine unternehmerische Aufgabe, die wir gezielt angehen.

Tatsache ist: Kreativität und Innovationskraft von kriminellen Akteuren sind hoch. Deshalb müssen Sicherheitsbeauftragte und Verteidigungsteams überlegt und strategisch reagieren. Zudem benötigt jedes Unternehmen eine aktive Monitoring- und Abwehrstrategie, die alle Mitarbeiter, genutzten Geräte, Systeme, Anwendungen und das gesamte Firmennetzwerk einbezieht.

Betrachten wir beispielhaft Ransomware-Angriffe: Die Bedrohung ist real, und solche Angriffe sorgen aufgrund ihrer breiten Auswirkungen für Schlagzeilen – etwa wegen hoher Lösegeldforderungen oder empfindlicher Betriebsunterbrechungen.

Dabei ist wichtig zu wissen: In den meisten Fällen sind Angriffe mit Ransomware bereits die zweite Phase, die sich aus einer Kompromittierung von digitalen Identitäten ergibt. Wenn man also den gemeinsamen Nenner der vielen aufmerksamkeitsstarken Schlagzeilen sucht, wird man feststellen, dass Identitäten bei den meisten Cyberangriffstechniken das Einfallstor Nummer eins sind. Das zeigt, wie wichtig es ist, im Hinblick auf Nutzeridentitäten mit ausgefeilten technischen Sicherheitsmaßnahmen am Ball zu bleiben.

Ein sinnbildliches Wellenmodell

Identitätsangriffe lassen sich gut anhand von Wellen visualisieren. Stellen Sie sich die verschiedenen Angriffsarten als einzelne Ozeanwellen vor, die in der Brandung immer stärker werden und sich zu einer „Monsterwelle“ auftürmen können. Im Folgenden skizzieren wir für jede Welle die entsprechenden Komponenten und deren Eigenschaften.

Passwortangriffe

Einfache Passwortangriffe sind allgegenwärtig. Die drei dominierenden Angriffsarten sind:

  • Phishing: Die Phishing-Methoden und -Tricks werden immer raffinierter, sodass sich selbst aufgeklärte User dazu verleiten lassen, ihre Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail zu übermitteln.
  • Breach Replay: Hierbei nutzen Angreifer gestohlene Anmeldeinformationen (Benutzername und Passwort) aus früheren Datenlecks, um sich bei anderen Diensten anzumelden. Das ist möglich, weil viele User dieselben Anmeldeinformationen auf mehreren Websites verwenden.
  • Passwort Spray: Mit dieser Vorgehensweise – dem Erraten gängiger Passwörter – ist es für böswillige Akteure leicht möglich, viele Konten zu kapern.

Diese Angriffe sind hochskalierbar. Allein in den Microsoft-Cloud-Diensten werden weltweit pro Sekunde mehr als 7.000 Passwortangriffe abgewehrt. Auffällig dabei: Bei über 99,9 Prozent der kompromittierten Konten war keine Multi-Faktor-Authentifizierung (MFA) aktiviert.

MFA gilt heute als eine der grundlegendsten Abwehrmaßnahmen für Identitätsangriffe. Doch in vielen Organisationen fehlt es an dem Bewusstsein, wie groß und unverzichtbar der Beitrag von MFA zu einer effektiven Sicherheitsstrategie tatsächlich ist. Die entsprechend niedrige Abdeckung öffnet so Angreifern Tür und Tor.

Diese verbesserungswürdige Akzeptanzrate ist zugleich ein Beispiel für ein zentrales Problem: In den meisten Unternehmen sind die Budgets und Ressourcen knapp bemessen und die Sicherheitsteams überfordert, sodass Basismaßnahmen für bessere Cyberhygiene immer wieder unkoordiniert versanden. Dabei ist die moderne Multi-Faktor-Authentifizierung mittels Apps oder Token so einfach wie nie zuvor – und für die User reibungsarm oder sogar „unsichtbar“.

MFA-Angriffe

Cyberkriminelle sind findig – und sie schießen sich auch auf Ziele ein, die hinter der MFA-Barriere liegen. Und dazu greifen sie die Multi-Faktor-Authentifizierung selbst an. Einige Beispiele:

  • SIM Jacking und andere telefoniebasierte Angriffe. Hier ist unser Tipp, bei einem Anruf mit einer angeblichen MFA-Verifizierung gleich aufzulegen.
  • MFA-Fatique-Angriffe durch ein ständiges Senden von Authentifizierungsanfragen, um den Benutzer zu frustrieren oder zu verwirren, weshalb Unternehmen keine einfachen Genehmigungsverfahren anwenden sollten.
  • Adversary-in-the-Middle-Angriffe, bei denen Benutzer dazu verleitet werden, eine Interaktion mit der Multi-Faktor-Authentifizierung durchzuführen. Darum ist eine Phishing-resistente Authentifizierung von entscheidender Bedeutung, besonders für wichtige Ressourcen der Organisation.

Solche Attacken erfordern natürlich mehr Aufwand und Investitionen seitens der Angreifer, sodass ihre Anzahl derzeit noch deutlich geringer ist als klassische Passwortangriffe. Jedoch sollte man sich bewusst sein, dass die genannten Angriffsarten zunehmen, je weiter die MFA-Durchdringung voranschreitet. Um sie abzuwehren, ist es entscheidend, nicht bloß eine Multi-Faktor-Authentifizierung zu verwenden, sondern die richtige.

Angriffe nach erfolgter Authentifizierung

Entschlossene Angreifer verwenden Malware auch, um Token von Geräten zu stehlen. So kann ein an sich validierter Benutzer eine korrekte Multi-Faktor-Authentifizierung auf einem genehmigten
Gerät durchführen, doch dann werden mithilfe von Credential-Stealern Cookies und Token entwendet und an anderer Stelle genutzt.

Diese Methode ist seit etwa drei Jahren immer häufiger zu beobachten und kam in der jüngeren Vergangenheit primär bei Angriffen auf hochkarätige Ziele zum Einsatz. Token können auch gestohlen werden, wenn sie falsch protokolliert oder von einer kompromittierten Routing-Infrastruktur abgefangen werden; doch der bei weitem häufigste Mechanismus ist Malware auf einem Gerät.

Wenn sich ein Benutzer als Administrator auf einem Computer anmeldet, ist er nur einen Klick vom Token-Diebstahl entfernt. Zentrale Zero-Trust-Prinzipien wie effektiver Endpunktschutz, Device-Management und vor allem die Verwendung des Zugriffs mit den geringstmöglichen Berechtigungen sind sehr funktionale Verteidigungsmaßnahmen. Verantwortliche sollten auf Signale achten, die auf Token-Diebstahl hinweisen, und gegebenenfalls eine erneute Authentifizierung für kritische Szenarien anfordern – etwa beim Enrollment neuer Devices in einem Netzwerk.

Ein weiterer Angriff, der ähnlich indirekt erfolgt, ist OAuth-Consent-Phishing. Bei dieser Methode bringen Kriminelle einen bestehenden Benutzer dazu, einer Anwendung in seinem Namen die Berechtigung für den Zugriff zu erteilen.

Angreifer senden einen Link, in dem sie um Zustimmung bitten („Consent Phishing“), und wenn der Benutzer auf den Angriff hereinfällt, kann die Anwendung folglich jederzeit auf die Daten des Benutzers zugreifen. Wie andere Angriffe in dieser Kategorie sind sie selten, nehmen aber zu. Es ist entscheidend, die Anwendungsnutzung der Mitarbeiter zu überprüfen und die Einwilligung auf Anwendungen von verifizierten Herausgebern zu beschränken.

Kompromittierung der Infrastruktur

Je effektiver Verantwortliche die Identitätsverwaltung nutzen, um ihre Organisation zu schützen und eigene Zero-Trust-Richtlinien umzusetzen, desto eher richten Angreifer ihre Energie auf die Identitätsinfrastruktur selbst. Ihre Hebel sind dabei hauptsächlich veraltete, ungepatchte oder anderweitig unsichere Schwachstellen in lokalen Netzwerken. So gelangen sie an Interna und Geschäftsgeheimnisse, können Verbundserver kompromittieren oder die Infrastruktur unterminieren.

Dieser Mechanismus ist heimtückisch, da die Angreifer den Zugang zudem oft nutzen, um ihre Spuren zu verwischen. Verliert man die Kontrolle über seine Identitäts- und Zugriffsverwaltung, wird es unglaublich schwierig, einen Akteur wieder aus dem Netzwerk zu vertreiben.

Die Monsterwelle brechen

Ein zentrales Problem der Cybersicherheit ist das wachsende Volumen und die steigende Intensität von Angriffen – sowohl On-Premises als auch in der Cloud. Technologie kann hier als entscheidender Hebel dienen, um menschliches Fachwissen gezielt zu ergänzen. Eine kluge Investition in Sicherheitslösungen zahlt sich langfristig aus.

Moderne Plattformen zur Identitäts- und Zugriffsverwaltung setzen zunehmend auf eine breite Basis von Sicherheitssignalen und entwickeln kontinuierlich neue Mechanismen zur Bedrohungserkennung und Abwehr. Besonders für hybride und Multi-Cloud-Umgebungen sind skalierbare und anpassungsfähige Lösungen essenziell, um zukünftige Sicherheitsanforderungen zu erfüllen.

Ein weiterer Tipp ist, sich perspektivisch von älteren On-Premises-Bereitstellungen zu lösen. Diese sind viel schwieriger vor Malware, lateralen Bewegungen und neuen Bedrohungen zu schützen als cloudbasierte Deployments.

Und nicht zuletzt sollten Sicherheitsteams dafür sorgen, dass privilegierte Nutzerkonten wie Administratoren und lokale Server einer besonders engmaschigen Prüfung unterzogen werden. Ebenso sollten man den Fokus auch auf nicht menschliche Identitäten wie Geräte und Sensoren sowie die gesamte Infrastruktur richten, in der digitale Identitäten gespeichert und verwaltet werden, um jegliche potenzielle Lücke in Ihrer Sicherheitskette zu schließen.

Fazit

Ob als Administrator eines großen Unternehmens oder Gründer eines Start-ups – der Schutz von Benutzeridentitäten ist essenziell. Ein klares Verständnis darüber, wer zu welchem Zweck auf Ressourcen zugreift, bildet die Sicherheitsgrundlage für alle weiteren Maßnahmen.

Hier einige bewährte Empfehlungen für eine erfolgreiche Identity-Security-Initiative:

  1. Schutz aller Benutzerinnen und Benutzer durch Multi-Faktor-Authentifizierung – immer. Beispielsweise mit einer Authenticator-App, Windows Hello und Fast IDentity Online (FIDO).
  2. Einsatz von Conditional-Access-Regeln zum Schutz vor anwendungsbasierten Angriffen.
  3. Nutzung von Richtlinien für das Mobile-Device-Management und die Endpoint Protection, besonders um die Ausführung als Administrator auf Geräten zu unterbinden, um so Angriffe durch Token-Diebstahl zu vermeiden.
  4. Stärkung der Zusammenarbeit im Sicherheitsteam, damit alle an einem Strang ziehen, um die Identitätsinfrastruktur zu schützen.
  5. Förderung von Agilität durch einen Cloud-First-Ansatz, einer adaptiven Authentifizierung und von Automatisierungen, um in Krisenzeiten schneller reagieren zu können.

Jede dieser Empfehlungen hat für sich schon einen Wert, aber zusammengenommen ergeben sie das Bild eines echten Defense-in-Depth-Ansatzes. Sichere Identitäts- und Zugriffsverwaltung erfordert ein mehrschichtiges Verteidigungskonzept, um Kompromittierungen von Nutzeridentitäten vorzubeugen. Durch eine optimierte Zugangskontrolle und ergänzende Maßnahmen wie Endpunktschutz, automatisierte Incident-Response und adaptive Sicherheitsstrategien lassen sich Risiken gezielt minimieren

Porträt Olaf Pursche

Olaf Pursche ist Head of Communications der SITS Group AG. marketing@sits-group.ch
Weitere Informationen unter https://sits.com/de/.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

Digitaler Workflow, Mann schreibt auf Tablet mit Pen

Warum AI Gateways zum Schutz nötig sind

KI-Agenten benötigen Zugang zu Ressourcen wie Dienste, Tools und Daten, um ihre Aufgaben zu erfüllen. Aber dieser Zugriff darf nicht unbegrenzt sein. Damit er nur im entsprechenden...

Security Management
Tippende Hände auf virtueller Tastatur

Souveräne IT-Sicherheit in der Praxis

Ohne digitale Souveränität wird es auch mit der europäischen Souveränität nichts“, sagte Claudia Plattner – jetzt Präsidentin des BSI – im Jahr 2022, als sie noch IT-Leiterin der E...

Security Management
Stromausfall, beleuchtetes GEbäude, Mond

Rechenzentren rüsten sich für großflächige Stromausfälle

Die Abhängigkeit von digitaler Infrastruktur nimmt zu, doch Deutschlands Stromnetze sind überlastet, und Stromausfälle werden wahrscheinlicher. Rechenzentren müssen daher heute deu...

KRITIS