Wie Zero Trust eine Cyberattacke verhindert hätte

Von Gaming, Gangstern und Gutgläubigkeit

Wie man einen der weltgrößten Gaming-Hersteller hackt? Ganz einfach: sich als Mitarbeiter ausgeben, IT-Team per Slack anchatten, vorgeben, sein Smartphone auf einer Party verloren zu haben – und schon erhält man Zugriff auf das Unternehmensnetzwerk.

Keine Nachfrage. Keine Aufforderung, sich zu identifizieren. Und das einfach per Chat, ganz ohne Video. Was hier geschildert wird, ist ein realer Cyberangriff auf ein Gaming-Unternehmen der Weltklasse. Die Beute: 780 GB Daten, darunter Quellcode für Spiele sowie Entwicklungstools.

Anzeige

Das Interessante an dem Fall: Der Angriff gelang mit Hilfe eines Sicherheitstokens für ein Benutzerkonto und nicht über ein Passwort. Die Cyberkriminellen setzten ihn ein, um sich zunächst Zugang zum Chat des Unternehmens zu verschaffen. Nach dieser Hürde gaben sie sich als Mitarbeiter aus und erschlichen sich via Social Engineering einen langlebigen Login-Zugangs-Token für das Unternehmensnetzwerk. Im Netzwerk gelang es den Angreifern sich mit lateralen Bewegungen, Zugriff auf kritische Unternehmensdienste zu verschaffen.

Tatsächlich sind Social Engineering Angriffe aktuell eine der bevorzugten Methoden von Hackern. Laut dem aktuellen Verizon DBIR Report gingen 2020 etwa 30 Prozent aller Datenverluste weltweit auf das Konto einer erfolgreichen Manipulation von Menschen. In 85 Prozent aller Angriffe waren Menschen direkt involviert und 61 Prozent der Sicherheitsverletzungen wurden durch entwendete oder kompromittierte Berechtigungen initiiert.

Gefahrenquelle Unachtsamkeit

Der Missbrauch von Token hat bei diesem Angriff eine zentrale Rolle gespielt. Zur Klarstellung: Ein Token ist kein Passwort oder Hash-Wert, sondern ein zufälliger, computergenerierter Zeichenfolgenwert, der geheime Informationen enthält. Statische, langlebige Token können Cyberkriminelle ähnlich einem Passwort missbrauchen.

Anzeige

Die „Ironie“ bei dem Angriff ist, dass es die IT-Abteilung an Umsicht hat mangeln lassen. Dass ein einfacher Angriff via Chat-Tool gelang, hängt unmittelbar damit zusammen, dass der Service-Desk-Mitarbeiter nicht auf einen Videochat bestand. Die Identifikation des vermeintlichen Kollegen wäre um Einiges einfacher gewesen.
 

Ein kontinuierliches Social-Engineering-Training insbesondere für IT- und Service-Desk-Mitarbeiter ergänzt das Sicherheitsnetz. Dazu zählt vor allem, ein Bewusstsein für Phishing-Attacken zu schaffen, das fest im Arbeitsalltag aller Mitarbeiter integriert sein muss.

Dass solche Angriffe gelingen, kommt nicht von ungefähr. Der Service-Desk ist aktuell ein beliebtes Ziel für Angreifer, da er oft nicht über die entsprechenden Sicherheitsrichtlinien und -tools verfügt, um die Identitäten der Benutzer ordnungsgemäß zu überprüfen. Die Implementierung einer Multifaktor-Authentifizierung (MFA) verspricht hier ein gewisses Maß an Sicherheit. Jedoch nur dann, wenn sie für den Angreifer schwer oder gar nicht zu überwinden ist. Laut einer aktuellen Studie von Specops Software vertrauen allerdings die meisten Unternehmen, die bereits über Richtlinien zur Benutzerverifizierung verfügen, nur auf eine wissensbasierte Authentifizierung (KBA). Dabei müssen sich Mitarbeiter über die korrekte Beantwortung einfacher Fragen verifizieren – beispielsweise das Geburtsdatum.

Die Krux: Es handelt sich hierbei um statische Informationen aus dem Active Directory oder einem HR-System, die sich mit etwas Aufwand von Hackern ermitteln lassen.

Deutlich sicherer ist es, bei der MFA-Implementierung, den Wissensfaktor mit dem Faktor „Besitz“ zu ergänzen. Das kann beispielsweise ein FIDO2-Sicherheitsschlüssel sein oder ein Gerät als Identitätsnachweis. Die nächste Stufe ist dann ein starker biometrischer Faktor, wie etwa Gesichtserkennung. Die Kombination der verschiedenen Sicherheitsstufen ist essenziell für eine zuverlässige Gefahrenabwehr.

Ein kontinuierliches Social-Engineering-Training insbesondere für IT- und Service-Desk-Mitarbeiter ergänzt das Sicherheitsnetz. Dazu zählt vor allem, ein Bewusstsein für Phishing-Attacken zu schaffen, das fest im Arbeitsalltag aller Mitarbeiter integriert sein muss.

Zero Trust als Mittel der Wahl

Ein Zero-Trust-Sicherheits-Framework hätte diesem Angriff wirksam gegenüberstehen können. Es basiert auf dem Grundsatz: Vertraue niemandem, überprüfe jeden. Dabei spielen drei Kernsätze eine tragende Rolle, um die Angriffsfläche zu verringern:

  • Der erste Grundsatz ist die Absicherung des Benutzers mit Zero Sign-On (ZSO). Es eliminiert Benutzerpasswörter und setzt auf stärkere Faktoren wie Besitz und Biometrie in der MFA-Implementierung. Darüber hinaus bietet der erste Grundsatz einen mehrschichtigen Anti-Phishing-Schutz, der die Anmeldedaten des Benutzers einschließlich der Zugriffstoken vor Diebstahl schützt.
  • Der zweite Grundsatz besagt, dass der Zustand jedes Geräts überprüft wird. Dieses muss frei von Bedrohungen auf Geräte-, Netzwerk- und App-Ebene sein, bevor eine Verbindung zu Unternehmensressourcen zugelassen wird.
  • Der dritte Grundsatz bezieht sich auf die Sicherung des Netzwerk-Gateways mit starken kontextbezogenen Zugriffsregeln. Sie erkennen auffälliges Benutzerverhalten im Netzwerk. On-Demand- und Pro-App-VPNs unterstützen zudem den Zero Trust Network Access (ZTNA)-Ansatz, indem sie nur dem authentifizierten Benutzer, der autorisierten App und dem verwalteten Gerät den Zugriff auf das Secure Access Gateway erlauben. Ein Software-definierter Perimeter (SDP) sichert das Netzwerk und die angeschlossenen Ressourcen weiter ab, da es sowohl die Kontroll- als auch die Datenebene abdeckt. Alle Ressourcen hinter dem Gateway sind für nicht autorisierte Benutzer, Apps und Geräte unsichtbar.

Die Implementierung eines Zero-Trust-Sicherheits-Frameworks hätte den Angriff auf das Gaming-Unternehmen zwar nicht komplett verhindert, aber die Auswirkungen abgeschwächt. Ivanti beispielsweise verfügt über alle Komponenten, welche die drei Grundpfeiler des Zero-Trust-Sicherheits-Frameworks ausmachen. Die Kombination von Endgeräteverwaltung und Technologien wie ZSO, MTD oder Zero-Trust-Access schränkt die Möglichkeiten eines Hackers massiv ein, sich Zugriff auf Daten zu verschaffen. Und die potenzielle Beute rückt plötzlich für Cyberkriminelle in weite Ferne.

All diese Sicherheitsvorkehrungen unterstützen letztlich IT-Mitarbeiter bei der Einschätzung von Risiken. So liefern sie beispielsweise Hinweise darauf, dass sich Aktionen häufen, die ein begründetes Misstrauen auslösen sollten. Das reicht von unüblich hohen Datentransfers, über eine nicht stimmige Geolocation bis hin zu verlorenen Geräten. Ziel ist es zu verhindern, dass der Faktor Mensch versagt.

Gegen Social Engineering anzugehen, ist ein Grundsatz für jedes Unternehmen und leider auch für alle IT-Teams. Das genannte Beispiel zeigt das Dilemma, in dem sich IT-Sec und IT-Ops aktuell befinden. Auf der einen Seite unternehmen IT-Teams alles, um Mitarbeiter im Everywhere Workplace zu unterstützen, produktiv arbeiten zu können – und das bei hoher Arbeitslast. Auf der anderen Seite wird von ihnen ein gesundes Mistrauen gegenüber ihren Kunden erwartet. Dieses Dilemma ist letztlich nur über Schulungen und den Einsatz automatisierter Lösungen auf KI-Basis zu lösen.

Johannes

Carl

Expert Manager PreSales – UEM & Security

Ivanti

Er ist spezialisiert auf Lösungen rund um die Verwaltung von Endgeräten, das Management von Usern und Security-Lösungen.
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.