Das Ausspähen von Login-Informationen bringt Datenverlust und enorme finanzielle Schäden. NTT Security, das Security Center of Excellence von NTT, hat fünf Tipps, wie Unternehmen Hackern den Zugriff erschweren.
Identitäten greifen die Kriminellen vor allem mittels Phishing-Technologien (67 Prozent) und Malware (33 Prozent) ab. Das zeigt der Global Threat Intelligence Report 2019 von NTT Security. Phishing-Attacken zielen laut dieser Studie auf Google-Konten (27 Prozent) und auf Microsoft-Konten ab (45 Prozent), allen voran auf MS Office 365.
Microsoft-Applikationen sind nicht nur beliebtes Ziel von Phishing-Angriffen. Auch Malware- und Spam-Kampagnen sind hier ein großes Problem. Über 95 Prozent der Malware in Zusammenhang mit Identitätsdiebstahl richtet sich gegen Schwachstellen in einer Microsoft-Office-Anwendung oder einem Microsoft-Betriebssystem. Fast 35 Prozent nutzen die die Sicherheitslücke CVE-2017-11882 aus. Bei Keylogger-Malware spielt der Trojaner Trickbot (62 Prozent) eine große Rolle. Früher hatte es Trickbot ausschließlich auf Bankdaten abgesehen, die neue Variante greift auch Passwörter aus anderen Anwendungen ab.
Die Auswirkungen von Identitätsdiebstahl auf Unternehmen sind enorm: Schnell entsteht ein Millionenschaden, wenn sich Betrüger als Firmenchef ausgeben und Zahlungen auf falsche Konten anweisen. Wirtschaftsspionage oder Erpressungen mitsamt Lösegeldforderungen können schwerwiegende finanzielle Folgen nach sich ziehen. Haben Unternehmen, nach einer Ransomware-Attacke keinen Zugriff mehr auf wichtige Daten, ist der Betrieb gestört oder steht im schlimmsten Fall still.
Fünf Tipps zeigen, wie Unternehmen Identitätsdiebstahl erschweren und im Notfall die richtigen Maßnahmen ergreifen:
- Starke Passwörter sind ein Basisschutz
Schwache Passwörter stellen die größte Sicherheitsschwachstelle dar. Wird der gleiche oder ein sehr ähnlicher Log-in für verschiedene Konten verwendet, können Hacker gestohlene Zugangsdaten mehrmals nutzen. Für echten Schutz sollten Nutzer zusätzlich zum Passwort einen zweiten Faktor zur Authentifizierung nachweisen, den ein Angreifer nicht wissen oder besitzen kann. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung sind eine wirkungsvolle Lösung. Für jeden Authentifizierungsvorgang wird ein einmaliges Passwort generiert – beispielsweise ein Code per SMS oder eine Push-Nachricht mit der Aufforderung „Bestätigen“ oder „Ablehnen“. Eine Multi-Faktor-Authentifizierung ist vor allem für Systeme notwendig, deren Zugriff Administratorenrechte erfordert. Für Angreifer wird es erheblich schwerer, Zugang zu sensiblen Informationen und Netzwerken zu erhalten, indem sie alte Benutzernamen und Passwörter verwenden. Zudem sollten elektronische Daten verschlüsselt sowie Dokumente mit digitalen Signaturen geschützt werden. - Nicht jeder Mitarbeiter muss auf jeden Bereich im Netzwerk des Unternehmens zugreifen
Unternehmen sollten das Netzwerk segmentieren und genau definieren, wer welche Rechte hat. Das gilt auch für Cloud- und Hybridumgebungen. Kriminelle, die einen weniger privilegierten Zugriff erbeuten, können dann nicht gleich ins komplette Firmennetz vordringen. - Schulung der Mitarbeiter ist unerlässlich
Gezielte Trainings über Sicherheitsrichtlinien, aktuelle Bedrohungen und den Umgang damit erhöhen die Wachsamkeit und das Bewusstsein der Anwender. Unternehmen sollten Regeln für das Verhalten bei E-Mail-Anfragen bezüglich Banküberweisungen festlegen. - Eine Incident-Response-Strategie hilft bei Angriffen weiter
Neben der Frage nach der angemessenen Reaktion stellt sich vor allem die, ob und wie schnell ein Vorfall überhaupt festgestellt werden kann. Antworten liefert eine umfassende Echtzeitsicht des Netzwerkverkehrs und ausgereifte Logiken für eine erfolgreiche Analyse. Bei einem müssen die Verantwortlichen einen Sicherheitsvorfall zunächst bewerten und klassifizieren. Entscheidend dafür sind der Kontext und die damit verbundenen Risiken. Nicht alle Störungen sind Security Incidents und haben dieselben Auswirkungen. Nach der Identifizierung des Problems besteht die nächste Aufgabe darin, die Cyber-Attacke zu stoppen und den Schaden zu begrenzen. Dazu müssen die IT-Mitarbeiter anhand eines Security Playbook, das die Vorgehensweise genau beschreibt, alle potenziell betroffenen Komponenten wie Betriebssysteme, Konfigurationsdateien, Applikationen und Daten detailliert untersuchen und im Bedarfsfall auch die erforderlichen Data-Recovery-Maßnahmen einleiten. Im Idealfall existiert ein Disaster-Recovery-Plan, der genau beschreibt, welche Maßnahmen bei einem Sicherheitsvorfall einzuleiten sind, und wer dafür verantwortlich ist. - Eine Identity-Governance-Strategie wehrt Attacken ab
Bei Identity Governance geht es vereinfacht ausgedrückt um die Kombination von richtliniengesteuertem Identitätsmanagement und Compliance-Konformität. Zu den konkreten Anforderungen gehören die unternehmensweite Zuweisung von Rollen und Berechtigungen, die Regulierung von Anwenderzugriffen und die Überwachung der Erfüllung von Compliance-Anforderungen. Weil viele Unternehmen den Überblick verlieren, welche Services mit welchem Account auf welchem Server oder welcher Cloud laufen, kommt dem Thema Identity Governance eine große Bedeutung zu.
„Es gibt keinen hundertprozentigen Schutz vor Identitätsdiebstahl“, erklärt Frank Balow, Director Identity & Key Management EMEA bei NTT Security. „Umso wichtiger ist es, dass Unternehmen die vorgenannten Punkte berücksichtigen.“ Mit gestohlenen Identitäten könnten Hacker immer tiefer in Unternehmensnetzwerke vordringen. Auch wenn der zuerst entwendete Benutzername samt Kennwort noch nicht den Zugriff auf hochsensible Bereiche ermögliche – in Kombination mit Social Engineering oder mit anderen erschlichenen Kennwörtern könnten die Angreifer schlimmstenfalls dedizierte Attacken durchführen. Kompromittierte Konten schließlich ließen sich dazu nutzen, externe Angriffe auf Geschäftspartner und Kunden zu starten.”
Der Global Threat Intelligence Report 2019 ist hier kostenlos zum Download verfügbar. Jürgen Frisch