Während unterschiedlichste IT-Sicherheitsmaßnahmen bei Unternehmen bekannt sind, wird die Bedrohung durch eine Kompromittierung der Passwörter von Mitarbeiter:innen oft unterschätzt. In der Regel fällt der Diebstahl unternehmenseigener Zugangsdaten erst auf, wenn bereits große Schäden angerichtet wurden.
Um sich hiervor effektiv zu schützen, benötigen Unternehmen eine systematische Herangehensweise zur Auswahl und dem Einsatz geeigneter Maßnahmen.
In diesem Whitepaper werden typische Angriffsvektoren des Identitätsdiebstahls erläutert. Dazu gehören beispielsweise die Mehrfachnutzung von Passwörtern sowohl im unternehmerischen als auch im privaten Kontext sowie die Verwendung von schwachen Zugangsdaten, die für Kriminelle leicht zu erraten sind. Zudem werden sieben Security-Tipps vorgestellt, mit denen Unternehmen die eigene Sicherheit bezüglich der Passwort-Authentifikation deutlich ausbauen können.
Kompromittierte Passwörter – ein unterschätztes Risiko
Unternehmensabläufe werden zunehmend digitalisiert und durch IT-Prozesse unterstützt. Wichtige interne Vorgänge werden dadurch systemgestützt realisiert und auch Unternehmensgeheimnisse werden digital verwaltet. Aufgrund des erheblichen Wertes dieser Vorgänge und Daten haben Kriminelle ein stetig wachsendes Interesse, illegal Zugriff darauf zu bekommen. Sie finden immer wieder neue und kreative Wege, um an solche Daten zu gelangen. Viele IT-Verantwortliche sind sich der Bedrohungen durch Malware und Phishing bewusst und investieren deshalb in Maßnahmen der Malware-Protection und in Anti-Phishing-Trainings. Dagegen wird der Angriffsvektor rund um kompromittierte Passwörter in einem Großteil der Unternehmen übersehen.
Diesen Blind-Spot nutzen Cyberkriminelle seit einigen Jahren immer effektiver aus, um einen Zugang in die anzugreifende Unternehmens-Infrastruktur zu erhalten. Viele Cyberangriffe verwenden als Einstiegsvektor kompromittierte Login-Daten von Mitarbeitenden, um auf dem Weg die Zugriffsrechte der jeweiligen Person auszunutzen. Diese Art von Identitätsdiebstahl führt bei den betroffenen Unternehmen zu immensen Schäden, die existenzbedrohend sein können. Aus diesem Grund ist es besonders wichtig, ein Bewusstsein für das Risiko des Identitätsdiebstahls bei Unternehmen zu erzeugen und geeignete Ansätze zur Mitigation aufzuzeigen.
Angriffsvektoren auf die Zugangsdaten von Mitarbeiter:innen
Das klassische Passwort ist nach wie vor die sowohl im privaten Umfeld als auch in Unternehmen vorherrschende Methode zur Benutzer-Authentifizierung. Die notwendigen Ressourcen für die Implementierung und den Betrieb auf der Systemseite sind im Vergleich zu anderen Verfahren vollständig zu vernachlässigen. Auch auf der Seite der Benutzer:innen ist das Verfahren von Passwörtern etabliert. Es bedarf hierfür keines gesonderten Schulungsaufwandes. Jedoch sind viele Personen mit ihrem Passwortmanagement überfordert. Die Menge an beruflich und privat genutzten Diensten führt zu einer unübersichtlichen Anzahl von Passwörtern. Müssen diese dann noch alle drei Monate geändert werden, resignieren viele Benutzer:innen. Als Folge werden unsichere und leicht zu merkende Passwörter verwendet oder es kommt nur „ein Passwort für alles“ zum Einsatz.
Um zu verstehen, wie Identitätsdaten abhanden kommen können, wird zunächst die Authentifikation mit Passwörtern genauer betrachtet. Als Grundsatz wird bei der Passwort-Authentifikation zwischen Benutzer:in und Dienst ein Geheimnis vereinbart. Der Benutzer beweist dem Dienst seine Identität, indem er das geteilte Geheimnis nennt. Diese Art der Authentifikation bedingt, dass das vereinbarte Geheimnis – in Form des Passworts – auch geheim gehalten wird.
Identitätsdiebstahl vs. Identitätsdatendiebstahl Werden Zugangsdaten wie E-Mail-Adresse und Passwort gestohlen, ohne diese für eine Anmeldung bei dem zugehörigen Dienst zu verwenden, wird von einem Identitätsdatendiebstahl gesprochen. Werden diese Daten für einen Betrug eingesetzt, ist dies ein Identitätsdiebstahl. [1] |
Erfährt eine dritte Instanz von diesem Geheimnis, dann muss dieses Benutzerkonto zwingend als kompromittiert angesehen werden, weil sich nicht nur die Person, sondern auch die dritte Instanz als legitimer User ausgeben kann.
Diese dritte Instanz kann auf verschiedenen Wegen Kenntnis von dem eingesetzten Passwort erlangen:
Data-Breaches
Kriminelle nutzen Fehlkonfigurationen oder Sicherheitslücken in den von Unternehmen eingesetzten Systemen aus, um Zugriff auf die Infrastruktur zu erhalten. Gelegentlich gelingt es ihnen sogar, die vollständige Benutzerdatenbank zu kopieren und zu entwenden. Die gestohlenen Zugangsdaten werden dann im großen Stil in bestimmten Bereichen des Internets gehandelt und verbreitet. Auch bekannte Onlinedienste werden immer wieder Opfer solcher Angriffe. Als Folge kursieren Benutzerdatensätze mit E-Mail-Adressen und Passwörtern im Internet, die eine Datenmenge von mehreren Gigabyte deutlich überschreiten können.
Passwort-Wiederverwendung
Personen empfinden das Ausdenken, Merken und Eingeben von Passwörtern in der Regel als besonders lästig, da sie meist mehr als nur ein Benutzerkonto haben. Je sicherer ein Passwort sein soll, desto aufwendiger wird der Prozess des persönlichen Passwortmanagements. Untersuchungen haben ergeben, dass eine Person im Durchschnitt zwischen 25 und 207 Benutzerkonten besitzt [1]. Jedoch ist schon das Merken von 25 sicheren Passwörtern eine Herausforderung. Deshalb verwenden mehr als die Hälfte aller Benutzer:innen ihre Passwörter mehrfach [2,3,4]. Eine durchschnittliche Person verwendet 79 % der eigenen Passwörter mehrfach [2]. Starke Passwörter und Passwörter, die oft eingegeben werden müssen, werden häufiger mehrfach verwendet [5].
Der Grundsatz der Passwort-Authentifikation fordert, dass ein Passwort nur zwischen Benutzer:in und Dienst (Dienst A) geteilt werden darf. Verwendet eine Person das gleiche Passwort auch bei einem anderen Dienst (Dienst B), dann verrät sie einer dritten Instanz das vereinbarte Geheimnis. Ab diesem Zeitpunkt ist das Passwort kompromittiert, weil das Schutzziel der Vertraulichkeit nicht mehr gewährleistet werden kann. Technisch bekommt der zweite Dienst (Dienst B) das Passwort im Klartext übermittelt und ist somit in der Lage, sich bei dem ersten Dienst (Dienst A) anzumelden. Die Person muss Dienst B zu 100 % vertrauen, dass dieser mit dem Passwort verantwortungsvoll umgeht. Eine technische Sicherung, dass Dienst B das Passwort nicht missbraucht, ist bei der Mehrfachverwendung eines Passwortes nicht mehr gegeben. Auch wenn Dienst B eine hohe Vertrauenswürdigkeit besitzt, kann es Angreifenden gelingen, bei Dienst B die Zugangsdaten der Person zu entwenden. Spätestens dann muss damit gerechnet werden, dass die entwendeten Zugangsdaten auch bei Dienst A ausprobiert werden.
Für ein Unternehmen bedeutet die mehrfache Verwendung von Passwörtern, dass ein Sicherheitsvorfall bei einem fremden Dienst zu einer akuten Bedrohung der eigenen Infrastruktur führt. Bei einem solchen Vorfall spielt es keine Rolle, wie sicher die Infrastruktur eines Unternehmens und wie komplex das kompromittierte Passwort ist. Wenn Dienst B seine Infrastruktur nicht sichert, dann ist auch Dienst A betroffen.
Unsachgemäßer Umgang durch den Benutzenden
Das notwendige Bewusstsein für den richtigen Umgang mit Passwörtern fehlt oftmals bei Benutzer:innen. Sie neigen dazu, die Sicherheit aus Bequemlichkeit zu vernachlässigen. Beispielsweise werden Zugangsdaten mit Teammitgliedern geteilt, damit diese während der Urlaubsvertretung auf die entsprechenden Systeme zugreifen können, anstatt die notwendigen Berechtigungen bei der IT zu beantragen. Auch werden Passwörter auf Notizzetteln an den Computerbildschirm geheftet.
Viel weitreichender wird das Problem, wenn Benutzer:innen die Unternehmenszugangsdaten bewusst mit anderen Diensten teilen. Für diese Personen sehr verlockend sind hier beispielsweise sogenannte Workflow-Automation-Services. Diese Dienste ermöglichen es, Funktionen mehrerer Onlinedienste miteinander zu verknüpfen. So lassen sich beispielsweise Einträge aus einer externen ToDo-Listen-Applikation direkt als Termin in den Unternehmenskalender übertragen. Damit diese Automatisierung möglich wird, muss der Workflow-Automation-Service Zugriff auf die Benutzerkonten bei den entsprechenden Diensten besitzen. Manche Dienste lösen diese Funktion technisch sauber mit einem Berechtigungsmanagement und Single-Sign-On. Jedoch sind auch Lösungen auf dem Markt, bei denen Benutzer:innen die eigenen Zugangsdaten im Klartext für die zu verknüpfenden Dienste hinterlegen muss. Wenn hier beispielsweise das Exchange-Konto eines Teammitglieds eingebunden wird, hat der genutzte Workflow-Automation-Service Vollzugriff auf das E-Mail-Postfach der Person. Auch hier kann es sich natürlich um einen vertrauenswürdigen Dienst handeln, der verantwortungsvoll mit den Zugangsdaten umgeht. Ein Sicherheitsvorfall bei einem solchen Workflow- Automation-Service kann jedoch dazu führen, dass das eigene Unternehmen ebenfalls Opfer von Cyber-Angriffen wird.
Verwendung schwacher Passwörter
Benutzer:innen tendieren dazu, kurze und gebräuchliche Passwörter zu verwenden. Das durchschnittliche Passwort hat eine Länge von acht bis neun Zeichen. Häufig werden einfache Wörter oder sehr simple Konstruktionen für die Erstellung eines Passwortes verwendet. Dies führt dazu, dass ein Passwort nicht selten bereits von tausenden Personen benutzt wird.
Als Sicherheitsmaßnahme zwingen viele Unternehmen ihre Mitarbeitenden dazu, alle drei Monate ein neues Passwort zu vergeben. Obwohl diese Lösung schon seit vielen Jahren umstritten und seit einigen Jahren vom BSI und der NIST auch als kontraproduktiv eingeschätzt wird, ist sie dennoch in vielen Betrieben im Einsatz. Diese Maßnahme ist aber aus mehreren Gründen kritisch für die Sicherheit des Unternehmens. Wird das Benutzerkonto eines Mitarbeitenden kompromittiert, dann reichen einem Angreifer häufig schon wenige Minuten, um zumindest einen ersten Schaden anzurichten. Wenn dann nach drei Monaten das Passwort des bereits missbrauchten Benutzerkontos geändert wird, trägt das nicht wirklich zur Schadensminimierung bei, weil in diesem Zeitraum schon sämtliche Unternehmensgeheimnisse entwendet und die gesamte digitale Infrastruktur zerstört worden sein kann. Kritisch ist zudem, dass die gewählten Passwörter durch einen erzwungen Passwortwechsel meist deutlich unsicherer sind. Anstatt sich einmal ein wirklich sicheres Passwort zu überlegen, tendieren Menschen bei einem erzwungenen Passwortwechsel dazu, ein Passwort zu wählen, das möglichst einfach zu merken ist.
Angreifer entwickeln immer neue Ideen, um die Risiken von schwachen Passwörtern auszunutzen. Beispielsweise wählen sie einen bestimmten Benutzernamen aus und probieren dann, sich mit häufig genutzten Passwörtern anzumelden – dies natürlich voll automatisiert. Auf diese Art und Weise gelingt es ihnen immer wieder, Zugriff auf die entsprechenden Benutzerkonten zu erlangen. Grund für den Erfolg sind auch die eingesetzten Methoden. Es werden genau für diese Angriffe hochkomplexe Systeme entwickelt, die mit Verfahren der künstlichen Intelligenz wahrscheinliche Passwörter aus gesammelten Informationen ableiten. Die Erfolgsquoten dieser Methoden für Passwörter mit geringer Komplexität und Länge sind sehr hoch.
Weitere Angriffsvektoren
Verschiedene Arten an Malware können dazu genutzt werden, Zugangsdaten zu entwenden. Beispielsweise kann ein Keylogger die Passworteingaben einer Person aufzeichnen und zum Angreifer senden. Die Malware-Protection in Unternehmen ist deshalb eine essenzielle Sicherheitsmaßnahme.
Aber auch die Bedrohung durch Brute-Force-Angriffe sollten Unternehmen kennen. Bei Brute-Force- Angriffen probieren Kriminelle alle möglichen Passwörter solange aus, bis ein Anmeldeversuch mit dem richtigen Passwort geglückt ist. Dafür sind in der Regel sehr viele Versuche notwendig. Die Anzahl an möglichen Anmeldeversuchen innerhalb eines Zeitraums bestimmt die Erfolgsaussichten. Betreibt ein Unternehmen ein öffentliches Anmelde-Interface, bei dem mehrere tausend Anfragen von einer IP-Adresse pro Sekunde möglich sind, dann werden Cyberkriminelle diese Möglichkeit mit hohen Erfolgsaussichten ausnutzen. Eine geeignete Gegenmaßnahme ist hier, dass alle Anmelde-Interfaces und APIs nur eine begrenzte Anzahl an Anfragen innerhalb eines Zeitraumes zulassen und Anfragen von IP-Adressen mit zu vielen Versuchen blockieren.
Bedrohung durch Identitätsdiebstahl
Sind die Zugangsdaten von Mitarbeitenden eines Unternehmens erst einmal abhanden gekommen, entstehen Bedrohungen unterschiedlichster Art und mit einem kaum überschaubaren Risiko. Untersuchungen zeigen, dass nicht selten kompromittierte Zugangsdaten im Internet für mehrere Jahre kursieren, die betroffene Person oder das Unternehmen hiervon aber nichts mitbekommt und die sich im Umlauf befindlichen Zugangsdaten immer noch verwendet werden.
Die kompromittierten Zugangsdaten können von Angreifenden als Sprungbrett genutzt werden, um über eine längere Zeit die Unternehmensinfrastruktur auszuspionieren und in weitere Systeme einzudringen. Beispielsweise durch Spionage oder gezielte Installation von Ransomware können sie so einen immensen Unternehmensschaden verursachen. Diese Art von Angriffen, auch Advanced-Persitent-Threats (APT) genannt, sind durch den langen Zeitraum und den geringen Automatisierungsgrad schwer zu erkennen und die entstehenden Schäden umso größer.
Die Ziele dieser Angriffe sind ähnlich komplex wie die Angriffe selbst. Häufige Intentionen sind die Unternehmensspionage, die Manipulation von Unternehmensgeheimnissen, die Erpressung im Rahmen eines Ransomware-Angriffs oder aber die bloße Zerstörung von Unternehmensinfrastruktur und Unternehmensinformationen aus rein ideologischen Gründen.
Lesen Sie hier Teil 2: 7 Security-Tipps zur Risikominimierung (Teil2/2)
Literaturverzeichnis
[1] Malderle: Bedrohung durch Identitätsdatendiebstahl: Datenerhebung, Analyse und Mitigation. – Bonn, 2021. – Dissertation, Rheinische Friedrich- Wilhelms-Universität Bonn.
[2] Pearman et al.: Let’s Go in for a closer look: Observing passwords in their natural habitat. In: Proceedings of the ACM Conference on Computer and Communications Security. New York, 2017.
[3] Wang et al.: The next domino to fall: Empirical analysis of user passwords across online services. In: CODASPY 2018 – Proceedings of the 8th ACM Conference on Data and Application Security and Privacy. New York, 2018.
[4] Web.de: Was ist Ihre bevorzugte Methode, die notwendige Menge an Passwörtern zu verwalten? 2019. https://www.slideshare.net/WEBDE_DEUTSCHLAND/passwortstudie-59-derdeutschen-internetnutzer-verwenden-passwrtermehrfach
[5] Wash et al.: Understanding Password Choices: How Frequently Entered Passwords Are Reused across Websites. Denver, 2016. https://www.usenix.org/conference/soups2016/technical-sessions/presentation/wash