Mit Corona hat sich das Home-Office für viele Unternehmen zur neuen Norm in der Arbeitswelt entwickelt. Sicherer ist die IT deshalb jedoch nicht geworden. Die Angriffe auf Mitarbeiterkonten und Online-Accounts zeigt diese Gefahr nur allzu deutlich.
IT-Sicherheit in Remote-Arbeitsumgebungen ist für Unternehmen keine leichte Aufgabe. Wenn der Umstieg ins Home-Office dann auch noch notgedrungen und in kürzester Zeit realisiert werden soll, nimmt das digitale Risiko für Mitarbeiter gänzlich neue Dimensionen an. Jeder Arbeitsrechner, der an private oder öffentliche Wi-Fi-Netzwerke angeschlossen wird, vergrößert automatisch die Angriffsfläche für Cyberangriffe. Und jedes neue Tool aus der Cloud, birgt Sicherheitsrisiken. In der Regel werden daher Anwendungen von der Unternehmens-IT einer genauen Überprüfung unterzogen ehe sie dem Mitarbeiter zur Verfügung gestellt werden. Während der Corona-Krise in den letzten Wochen und Monaten fehlte dafür jedoch in vielen Fällen schlichtweg die Zeit.

Sicher „Zoomen“ oder doch lieber telefonieren?

Zoom ist hierfür ein Paradebeispiel. Das Videokonferenz-Portal erlebte mit Corona einen Boom und verzeichnete allein im März einen Anstieg des täglichen Datenverkehrs um 535%. Zwar dauerte es nicht lange bis kritische Stimmen auf die mangelhaften Sicherheitsmaßnahmen und Datenschutzrichtlinien der Lösung aufmerksam machten. An der weiteren Verbreitung sowohl im privaten als auch beruflichen Umfeld änderten diese berechtigten Einwände nur wenig. So nahmen im April pro Tag bis zu 300 Millionen Nutzer weltweit an Zoom-Videokonferenzen teil.

Zoom steht nur exemplarisch für eine Reihe von Lösungen, die von Mitarbeitern eigenmächtig und ohne Abstimmung mit der IT heruntergeladen werden und als Schatten-IT den Sicherheitsverantwortlichen in Unternehmen Kopfzerbrechen bereitet. Das Risiko von unkontrollierten IT-Assets ist groß. Fehlt das korrekte Setup und die Integration in eine ganzheitliche Sicherheitsstrategie (inkl. Sicherheits- und Versionsupdates), ist es nur eine Frage der Zeit bis Cyberkriminelle Sicherheitslücken der Anwendungen ausnutzen. Zumal das Sicherheitsbewusstsein bei vielen Usern zu wünschen übrig lässt. Welche Konsequenzen beispielsweise eine schlechte Passworthygiene haben kann, lässt sich erneut an Zoom demonstrieren. Im April tauchten im Dark Web sowie auf kriminellen Marktplätzen die Anmeldeinformationen für mehr als eine halbe Million Zoom-Konten auf. Zoom selbst war jedoch nicht gehackt worden. Die zum Verkauf stehenden Passwörter stammen aus früheren Datenleaks, die nun von Cyberkriminelle erneut herangezogen werden, um Angriffe auf Online-Accounts zu starten.

123 – und das Konto ist gehackt

Das systematische und automatisierte Wiederverwenden von einmal geleakten Passwort/Login-Kombination – auch als Credential Stuffing bekannt – ist für Hacker mit relativ wenig Aufwand verbunden. Das liegt zum einen daran, dass die Kreativität von Anwendern bei der Vergabe von Passwörtern gelinde gesagt „verbesserungswürdig“ ist. Auf Platz eins der beliebtesten deutschen Passwörter 2019 steht so nicht zum ersten Mal die Zahlenkombi „123456“[1]. Zum anderen vergeben viele Anwender immer wieder ein und dasselbe Passwort für unterschiedliche Online-Accounts. In den USA trifft das auf zwei von drei Internetnutzern[2] zu. Wirklich überraschend ist diese unschöne und höchst gefährliche Angewohnheit nicht. Wer im Netz beruflich oder privat unterwegs ist, muss zwangsläufig Zugangsdaten für Konten einrichten – im Durchschnitt sind es 191 Passwörter[3]. Die Mehrfach-Nutzung eines Passworts mag demnach nur zweckmäßig erscheinen, zu entschuldigen ist diese Praxis aber nicht (Stichwort Passwort Manager). Passworthygiene – also starke und einmalig verwendete Passwörter, die in regelmäßigen Abständen geändert werden – gehört deshalb auch zu den absoluten Grundvoraussetzungen der IT-Sicherheit.

Ungebetene Gäste im eigenen Online-Account

Werden solche Richtlinien auf Unternehmensseite nicht genügend forciert, ist es nur eine Frage der Zeit bis Konten gehackt und geleakte Zugangsdaten zum Verkauf im Dark Web angeboten werden. Für Unternehmen kann das teuer werden. Allein in den USA beliefen sich 2017 die Schäden von Account Takeover Fraud (ATO) auf über 5,1 Mrd. Dollar[4]. Für Cyberkriminelle gehört ATO zum Standardrepertoire. Haben Sie erst einmal Zugriff auf ein Konto, lassen sich sensible Daten für Phishing-Angriffe sammeln oder für Erpressungen nutzen (Sextortion). In anderen Fällen dienen die Accounts nur als Basislager, um das Netzwerk von Unternehmen weiter zu infiltrieren, Malware einzuschleusen oder die technische Infrastruktur des Anwenders zu nutzen (Botnet). Standen anfangs vor allem E-Commerce Webseiten und Bankkonten im Visier der Angreifer, sieht sich mittlerweile jede Plattform, die eine Registrierung erfordert, dem Risiko von Identitätsdiebstahl ausgesetzt. Mit Corona und Home-Office sind nun Video-Konferenz-Plattformen wie Zoom ins Visier geraten.

Die Zahl der exponierten Zugangsdaten im Open, Deep und Dark Web steigt kontinuierlich. Der Threat Intelligence-Experte Digital Shadows führt so in seiner Datenbank über 16 Mrd. geleakte Anmeldeinformationen. Das Analystenteam stieß bei seiner Recherche zudem auf eine neue Masche beim Verkauf von sogenannten Combolisten. Gewöhnlich handelt es sich dabei um lange Textdateien, die Millionen von Benutzernamen- und Passwortkombinationen enthalten. Bekanntestes Beispiel ist die 2017 entdeckte „The Anti Public Combo List”, die mehr als 562 Mio. Zugangsdaten enthielt und sich aus unterschiedlichen Datenleaks wie Adobe, Dropbox, LinkedIn und Yahoo zusammensetzte. Seit 2019 finden sich im Dark Web auch Combolists-as-a-Service (CaaS): Akteure können ein Abonnement für nur 50 US-Dollar abschließen und erhalten damit 30 Tage lang Zugriff auf eine Liste an Zugangsdaten – darunter auch Daten von Amazon, Ubisofts Uplay und Netflix.

Credential Stuffing & Bot-Technologie

Zu Recht stellt sich die Frage, ob das geleakte Netflix-Passwort eines Mitarbeiters wirklich ein Sicherheitsrisiko für dessen Unternehmen darstellt. Statistisch gesehen ist die Erfolgsquote von Credential Stuffing tatsächlich eher gering. Ein Angreifer müsste sein Glück bei 1.000 Konten versuchen, um einmal mit dem richtigen Passwort einen Volltreffer zu landen. Dass sich das Geschäft trotzdem lohnt, liegt an der schieren Masse an exponierten Anmeldeinformationen sowie dem Einsatz moderner Credential-Stuffing-Tools und Bot-Technologie.

Vereinfacht ausgedrückt ist ein Bot eine Software, die über das Internet mit anderen Webseiten und Endgeräten interagiert. Mehrere Bots lassen sich zu einem Netzwerk zusammenschließen (Botnet) und können Hunderte, Tausende oder Zehntausende von Anmeldeversuchen gleichzeitig auf ein Konto starten. Damit können Cyberkriminelle Kontoübernahmen und Identitätsdiebstahl hochgradig optimieren und automatisieren. Da die Anmeldeversuche scheinbar von verschiedenen Gerätetypen und IP-Adressen kommen, helfen auch die Sicherheitsmaßnahmen von Webanwendungen nur wenig (z. B. Sperren der IP-Adressen bei mehrfach erfolgloser Anmeldung). Dass ein Credential Stuffing-Angriff stattfindet verrät meist nur die Zunahme des Gesamtvolumens der Login-Versuche.

Sieben Sicherheitsmaßnahmen gegen ATO

Wie lassen sich solche Angriffe also stoppen und Kontoübernahmen und Identitätsdiebstahl verhindern? Die eine Lösung gibt es dafür nicht. Unternehmen sollten vielmehr unterschiedliche und ineinandergreifende Sicherheitsstrategien implementieren und ganzheitlich durchsetzen – sowohl im Home-Office als auch am Arbeitsplatz vor Ort.

1. Monitoring von Zugangsdaten von Mitarbeitern. Es gibt eine ganze Reihe an kostenlosen Tools, Webseiten und Services, die Unternehmen beim Monitoring von digitalen Risiken zur Seite stehen. Auf der Webseite HaveIBeenPwned[5] können Anwender schnell und unkompliziert nach Datenleaks fahnden – beispielsweise der Email-Domain eines Unternehmens. Andere Monitoringtools scannen das Open, Deep und Dark Web nach exponierten Daten und melden Datenschutzverstöße und aktuelle Bedrohungen.
2. Monitoring des Unternehmens- und Markennamens. Wer sich online bewegt, sieht sich automatisch digitalen Risiken ausgesetzt, das gilt für den einzelnen Anwender genauso wie für Unternehmen. Die fortlaufende Beobachtung von Bedrohungen rund um Webseite, Social Media, Kundenportal und Online-Shop, kann dabei nicht nur das Risiko von Kontoübernahmen minimieren, sondern auch Reputationsschäden und Markenmissbrauch (Spoof Domains) verhindern. Eine einfache Form des Monitorings stellen Google Alerts dar, die richtig konfiguriert[6] gute Indikatoren für drohende ATO-Versuche liefern.
3. Monitoring von Zugangsdaten von Kunden. Was für Daten von Mitarbeitern gilt, trifft auch auf Kundendaten aus dem Online-Shop, Abonnenten des Newsletters oder Geschäftspartnern zu. Unternehmen sollten hier vorsorglich Kommunikationsstrategien entwerfen, um im Ernstfall betroffene Anwender schnell und transparent über Datenleaks aufklären zu können.
4. Online-Firewall für Webanwendungen. Kommerzielle und Open-Source-Firewalls, wie ModSecurity, helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.
5. Sicherheitsbewusstsein schärfen. Cybersicherheit ist die Aufgabe eines jeden Mitarbeiters. Dementsprechend vehement sollten Unternehmen intern Aufklärungsarbeit über digitale Risiken, Bedrohungsakteure und Betrugsmaschen betreiben. Dazu gehören Schulungen, die zeigen warum eine gute Passworthygiene auch im Eigeninteresse von Anwendern nötig ist, sowie einfache Leitfäden und Best Practices. Darüber hinaus muss klar sein, wie im Ernstfall zu reagieren und wer über Vorfälle benachrichtigt werden soll.
6. Monitoring von Credential Stuffing-Tools. Um zu verstehen welche Sicherheitsmaßnahmen gegen ATO und Credential Stuffing greifen, ist es notwendig, die eingesetzten Tools und Technologien der Angreifer zu kennen. Credential Stuffing-Tools haben sich in den letzten Jahren kontinuierlich weiterentwickelt. Als eines der beliebtesten Tools unter Hackern gilt SentryMBA, das mittlerweile in der Lage ist, Sicherheitskontrollen wie CAPTCHAs zu umgehen.
7. Zwei-Faktor-Authentifizierung (2FA). Um eine zusätzliche Barriere zu schaffen und Angreifer auszubremsen, wird neben dem Passwort ein weiterer Faktor in den Authentifizierungsprozess mit aufgenommen. Am bekanntesten sind hier zufällig generierte SMS-Token, die an das Smartphone des Anwenders geschickt werden und laut Google[7] automatisierte Bot-Attacken zu 100% blockieren. Auch 96% der großangelegten Phishing-Kampagnen sowie 76% von gezielten Angriffen (Spear Phishing) lassen sich auf diese Weise entschärfen. Trotzdem gelten SMS-Token zu Recht als die unsicherste 2FA-Variante, denn die Token können auf ihrem Weg aufs Handy abgefangen werden.

Wie beim Einbruch in ein Haus, lässt sich auch das Konto von Anwender auf unterschiedliche Weise knacken: Entweder man verschafft sich gewaltsam Zutritt, oder man sucht nach dem Ersatzschlüssel unter der Fußmatte. Unternehmen, die ihre Mitarbeiter und Kunden vor Kontoübernahmen schützen wollen, müssen sich deshalb nicht hinter einer Batterie an Passwörtern und Sicherheitsmaßnahmen verschanzen. Zu einfach sollten sie es den Angreifern jedoch auch nicht machen. Der Schlüssel für eine effektive Strategie liegt eher darin, die richtige Balance zwischen Sicherheit und Datenschutz auf der einen, sowie Praxistauglichkeit und Nutzerfreundlichkeit auf der anderen Seite, zu finden.

Quellen und Referenzen:

[1] https://hpi.de/pressemitteilungen/2019/die-beliebtesten-deutschen-passwoerter-2019.html

[2]https://theharrispoll.com/google-says-66-of-americans-still-do-this-1-thing-that-puts-their-personal-information-at-a-huge-risk-heres-how-google-wants-to-help/

[3]https://www.javelinstrategy.com/coverage-area/2018-identity-fraud-fraud-enters-new-era-complexity

[4]https://blog.lastpass.com/2017/11/lastpass-reveals-8-truths-about-passwords-in-the-new-password-expose.html/

[5]https://haveibeenpwned.com/

[6]http://www.mrjoeyjohnson.com/Google.Hacking.Filters.pdf

[7]https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html