Nach Snowflake-Attacke: Aufruf zur MFA-Pflicht
Aktuell sorgt eine Cyberattacke auf das cloud-basierte Unternehmen Snowflake für Aufsehen. Angreifer haben Zugangsdaten erbeutet und diese genutzt, um in Unternehmen einzudringen, die keine Multifaktor-Authentifizierung (MFA) aktiviert hatten. Dies unterstreicht erneut die kritische Bedeutung von MFA-Technologien zum Schutz von Unternehmensnetzwerken.
Hackern ist es gelungen, mehrere Kunden der Cloud-Lösungen des Unternehmens Snowflake zu kompromittieren. Die Angreifer brüsteten sich in einem Cybercrime-Forum mit ihren Erfolgen und nannten dabei zwei prominente Opfer: die Santander Bank und Ticketmaster, zwei bedeutende Kunden von Snowflake. Santander bestätigte einen erfolgreichen Angriff auf in der Cloud gehostete Datenbanken, nannte aber keine Namen. Live Nation, das Mutterunternehmen von Ticketmaster, gab offen zu, dass die gestohlenen Datenbanken auf einem Snowflake-Server gehostet wurden.
Snowflake bestätigte einen „potenziell nicht autorisierten Zugriff“ auf „eine begrenzte Anzahl“ von Nutzerkonten, nannte aber keine Details zu den betroffenen Kunden. Es gibt keine Hinweise auf direkte Angriffe auf die Snowflake-Systeme; vielmehr war es eine gezielte Kampagne gegen Accounts ohne Zwei-Faktor-Authentifizierung, bei der Zugangsdaten entweder erworben oder über Infostealer Malware erlangt wurden.
Dies verdeutlicht die Entscheidung von Snowflake, Kunden die Sicherheitseinstellungen ihrer Accounts selbst verwalten zu lassen, einschließlich der optionalen Zwei-Faktor-Authentifizierung, die im aktuellen Fall zum Problem wurde. Selbst ein hauseigener Demo-Account von Snowflake wurde kompromittiert, der nur mit Nutzername und Passwort geschützt war.
Laut Berichten stehen hunderte vermeintliche Nutzerdaten von Snowflake-Accounts im Darknet zum Verkauf, die mutmaßlich über Infostealer Malware von den Kunden der Snowflake-Kunden erbeutet wurden. Kunden von Snowflake sollten daher schnell handeln und zusätzliche Sicherheitsmaßnahmen ergreifen, da das Risiko eines zukünftigen Angriffs höher ist als bisher angenommen.
Chester Wisniewski, Direktor und globaler Field CTO bei Sophos, betont die unverzichtbare Rolle von Multi-Faktor-Authentifizierung (MFA) im Schutz vor Angriffen. Er vergleicht den Einsatz von MFA mit dem Sicherheitsgurt in Autos: Er kann nicht länger optional sein. Kompromittierte Zugangsdaten bleiben eine der häufigsten Eintrittsmethoden für Angreifer, wie auch der jüngste Active-Adversary-Bericht von Sophos zeigt. Dieser identifizierte kompromittierte Zugangsdaten als Hauptursache für Angriffe im Jahr 2023 und für ein Drittel aller Angriffe seit 2020.
Um sicherzustellen, dass MFA auf allen Konten mit sensiblen Daten aktiviert ist, fordert Wisniewski eine gemeinsame Anstrengung von Unternehmen und Dienstanbietern. Unternehmen sollten strikte Cybersicherheits-Hygieneprogramme einführen, während Dienstanbieter Richtlinien durchsetzen müssen, die Kunden zur Implementierung von MFA drängen. Die Förderung der MFA-Nutzung war einer der sechs Hauptschwerpunkte für Softwareanbieter, die das Secure-by-Design-Versprechen von CISA unterzeichnet haben, dem sich Sophos verpflichtet fühlt. Wisniewski ermutigt andere Softwareanbieter, diesem Beispiel zu folgen.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
