Cyberangriffe auf digitale Identitäten verschärfen die Risikolage in privaten und geschäftlichen IT-Umgebungen: Fast jeder erfolgreiche Cyberangriff basiert mittlerweile auf dem Missbrauch digitaler Identitäten. Eine passwortlose Verwaltung soll IT-Administrationsfunktionen auf einem Endpoint ermöglichen, ohne dafür Zugangsprivilegien oder Administratorrechte bei der Anmeldung einsetzen zu müssen.
Die Unmenge an Benutzerkonten mit zu weit gefassten Administrationsrechten in Unternehmensnetzen ist ein lukratives Ziel für Angreifer. Jedes dieser Administratorkonten ist ein gefährlicher Angriffsvektor, der unter falscher Flagge fahrenden Hackern weitreichende Zugriffsrechte verschaffen kann. Das Analystenhaus Forrester hat diesbezüglich ermittelt, dass privilegierte Zugangsdaten bei mindestens 80 Prozent der Datenschutzverletzungen beteiligt waren.
Mehr Cyberangriffe
In einer Sicherheitsstudie im Auftrag von BeyondTrust bestätigen IT- und Sicherheitsverantwortliche, dass die aktuell größte Herausforderung eine signifikante Steigerung von Benutzern mit privilegierten Zugriffsrechten darstellt. Durch die großflächige und coronabedingte Umstellung auf Homeoffice-Strukturen habe sich diese Problematik weiter verschärft. Die Angriffsfläche bei privilegierten Zugriffen vergrößert sich mit der Zunahme von Remote-Arbeitsplätzen — ein Hauptziel von Organisationen muss daher sein, diese Risiken wieder zu verringern.
Digitale Identitäten treten auch deshalb stärker in den Vordergrund, weil viele Organisationen die Benutzerkonten mit zu weit gefassten Berechtigungen zuteilen. Natürlich sind Mitarbeiter zur Erfüllung ihrer Aufgaben auf funktionierende System-, Netzwerk- und Datenbankdienste angewiesen und benötigen Zugriff auf sensible Informationen. Allerdings werden Administrative/Superuser-Konten unnötigerweise auch regulären Nutzern zugewiesen, um beispielsweise einen Drucker hinzufügen, ein spezifisches Programm ausführen oder die Netzwerkeinstellungen ändern zu können.
Das hat unangenehme Konsequenzen: Als Administrator lassen sich auch auf einem Standard-Windows-Computer verschiedene Systemeinstellungen ändern, beliebige Anwendungen installieren und deinstallieren, Einträge in der Windows-Registry vornehmen oder Systemdateien ändern. Programme, die Administratorrechte erfordern, sind ebenfalls lokal oder im Netzwerk ausführbar und (automatisch) aktualisierbar. Selbst Browser-Plug-Ins und -Erweiterungen lassen sich per Mausklick installieren.
Zutritt zum Unternehmensnetz
Alle oben genannten Beispiele sind denkbare Anwendungsfälle, wenn Nutzer über Administratorstatus verfügen. In der Regel werden diese Rechte durch das Ausstellen eines sekundären Administratorkontos für den Host gewährt, oder einfache Nutzer kurzerhand zum lokalen Administrator heraufgestuft. Im Ergebnis führt das zu steigenden Risiken durch Fehlkonfigurationen und eine größere Angriffsfläche für Schadsoftware.
Bekannte Anfälligkeiten und nicht gepatchte Programme oder Betriebssysteme sind dann für Angreifer typische Einstiegstore in eine Netzwerkumgebung. Kritische Schwachstellen ermöglichen die Ausnutzung und Verbreitung von Malware ohne Benutzeraktion und möglicherweise auch ohne Eingabeaufforderung. Das sind die gefährlichsten Sicherheitslücken, da sie es einem Remote-Angreifer ermöglichen können, Befehle auf einem anfälligen Computer auszuführen und so einen vollständigen Zugriff zu erhalten.
Im Jahr 2020 wurden im Windows Betriebssystem von Microsoft insgesamt 196 kritische Schwachstellen entdeckt. Interessant ist dabei, dass 109 (also 56 Prozent) davon, durch eine einfache Maßnahme hätten entschärft werden können — durch die Aufhebung von Administratorrechten. Dies war auch bereits in den vorhergehenden Jahren der Fall, aber trotzdem zögern viele Organisationen immer noch damit, Adminrechte grundsätzlich zu entziehen und dadurch unnötige Risiken zu vermeiden.