Unsichere oder kompromittierte Kennwörter sind nach wie vor das Haupteinfallstor für Cyberkriminelle in die IT-Infrastruktur von Unternehmen und Behörden. Dabei lassen sich auch komplexe Systeme mit den richtigen Tools und Verfahren sowie vergleichsweise geringem Aufwand weitreichend gegen unberechtigte Zugriffe absichern.
Im Herbst 2023 führten die Sicherheitsexperten von Outpost24 eine Analyse von mehr als 1,8 Millionen Administrator-Passwörtern in Unternehmensnetzwerken durch. Dabei wurden vorrangig kompromittierte Zugangsdaten aus gestohlenen Benutzer-Credentials untersucht. Überraschende Erkenntnis: Besonders leicht einprägsame und oft als Standard in den Grundeinstellungen benutzte Kennwörter wie „admin“, „123456“ oder „password“ werden nicht nur von technisch weniger versierten Endbenutzern, sondern nicht selten auch von fachkundigen IT-Administratoren verwendet.
Den Spitzenplatz unter den verwendeten Standard-Kennwörtern belegte der Analyse zufolge der unsichere Basisbegriff „admin“, sie wurde über 40.000 Mal verwendet. Diese Ergebnisse sind umso bedenklicher, da es sich bei Administrator-Konten um privilegierte Zugänge wie Active Directory Accounts handelt, die in der Regel einen Vollzugriff auf sensible Datenbestände erlauben und potenziellen Angreifern Zugriff auf das gesamte System verschaffen können.
Gestohlene Zugangsdaten als Einfallstor für Cyberkriminelle
Laut einer Studie von Verizon sind gestohlene Zugangsdaten in 44 % der Fälle das Haupteinfallstor für Cyberangriffe, wobei dieser Wert bei Webapplikationen sogar auf 86 % steigt. Dieses Ergebnis und die zuvor genannten Beispiele verdeutlichen das bedeutendste Grundproblem in der IT-Sicherheit: Wie wichtig stringente Zugangskontrollen sind, ist fast eine Binsenweisheit, aber die Umsetzung in der Praxis scheitert an vielen kleinen Hürden.
Cyberkriminelle nutzen im Wesentlichen vier Strategien, um an Kontodaten heranzukommen und sich so Zugang zu Unternehmensnetzwerken zu verschaffen:
1. Social Engineering
In den Bereich Social Engineering gehören alle Versuche, Personen zur Offenlegung privater Zugangsdaten zu bringen. In aufwendigen Recherchen durchleuchten die Angreifer vorzugsweise privilegierte Mitarbeiter, beispielsweise durch das Sammeln und Auswerten von persönlichen Daten im Web und auf sozialen oder Business-Netzwerken. Aus den gesammelten Daten werden mögliche Passwörter abgeleitet.
Solche Recherchen können auch ausreichende Informationen für einen Anruf beim Helpdesk des betreffenden Unternehmens zutage fördern – so geschehen in einem der spektakulärsten Fälle des vergangenen Jahres, dem Cyberangriff auf die US-amerikanische Hotel- und Casinokette MGM Resorts.
Der MGM-Resorts-Hack vom September 2023
Nachdem sich die Angreifer über das LinkedIn-Profil eines Mitarbeiters erste Anhaltspunkte verschafft hatten, nutzten sie die Strategie des Vishing („Voice Phishing“) über einen Anruf beim Helpdesk des Authentifizierungsanbieters des Unternehmens. Sie gaben sich als der Unternehmensmitarbeiter aus, der sich angeblich ausgesperrt hatte, und erwirkten ein Passwort-Reset des betreffenden Kontos. Das verschaffte den Cyberangreifern den Zugang zum Firmennetzwerk der MGM-Gruppe. In der Folge musste das Unternehmen die Server herunterfahren, was zur temporären Abschaltung der Hotel-Reservierungs- und Checkin-Systeme, der Schlüsselkarten für die Hotelzimmer, der Telefonleitungen und der Spielautomaten führte. Das Personal musste sich mit Stift und Papier behelfen, um die langen Warteschlangen der Gäste zu bewältigen. Dabei soll ein Schaden von mindestens 100 Millionen Dollar entstanden sein.
2. Phishing
Eine Unterart des Social Engineering und die immer noch meistverwendete Angriffsvariante ist das Phishing von Zugangsdaten über Malware, gefälschte Websites oder gefährliche Links in E-Mail-Nachrichten. Während die meisten Phishing-Angriffe auch für Laien problemlos erkennbar sind, gehen die Angreifer bei der sogenannten Spear-Phishing-Methode diffiziler vor: Hier werden in die versendeten E-Mails oft vertraulich wirkende Informationen über den User oder das betreffende Unternehmen eingestreut, welche die Authentizität der Anfrage untermauern sollen.
Bei den immer häufiger vorkommenden Nachahmungsangriffen kommen bis ins Detail nachgeahmte CI-Elemente sowohl in den E-Mails als auch in den nachfolgenden Eingabemasken zum Abfischen der Nutzerdaten zum Einsatz. Sie sollen die Zielperson zur Preisgabe der persönlichen Daten animieren, indem Sie eine vertrauenswürdige oder unternehmensinterne Webseite imitieren.
3. Malware
Unter das große Feld der Malware fallen unter anderem per Phishing in den Computer eingeschleuste Keylogger zur Aufzeichnung von Nutzereingaben oder fortschrittliche Infostealer. Diese haben es unter anderem auf Benutzernamen, Passwörter, Kreditkarteninformationen, Sitzungsdaten, Cookies und persönliche Daten abgesehen. Sogenannte Traffers – auf Datendiebstahl spezialisierte Teams von Cyberkriminellen – verbreiten solche Malware beispielsweise über YouTube-Videos oder Google-Anzeigen zu betrügerischen Inhalten.
Administratoren werden möglicherweise mit Werbung für IT-Administrator-Tools angesprochen, die sie auf eine andere Website umleitet. Auf diesen betrügerischen Websites wird die Malware dann mit legitimer Software gebündelt, um nicht sofort entdeckt zu werden.
4. Diebstahl und Auswertung von Datenbanken
Zugangsdaten, die durch die Varianten 1 bis 3 erlangt wurden, lassen sich danach zum Ausspähen von Datenbanken mit Passwörtern und weiterführenden Zugangsrechten verwenden. Verschlüsselte oder sogenannte „gehashte“ Passwörter können, wenn die Angreifer die entsprechende Datenbank lokal vorliegen haben, mit verschiedenen Werkzeugen entschlüsselt werden. Auf diese Weise gelangen die Angreifer an eine große Anzahl gestohlener Zugangsdaten, wodurch sie maximalen Schaden anrichten können.
- Kostenlose Demo zu mehr Passwortsicherheit in Ihrem Active Directory
- Kompromittierte Zugangsdaten in Ihrer Angriffsfläche mit Outpost24 External Attack Surface Management aufspüren
- Entdecken Sie mit Outpost24 Cyber Threat Intelligence, welche Zugangsdaten und Informationen über Ihr Unternehmen im Dark-Web kursieren
- Über diesen Beitrag
Lösung: Erhöhte Sicherheit durch leistungsstarke Tools und Services
Damit es gar nicht erst zu einem fatalen Angriff kommt, können Systemadministratoren auf kostenlose Tools und weitreichende Sicherheitslösungen zurückgreifen, wie sie von Specops und Outpost24 angeboten werden.
Beispielsweise hilft Specops Password Policy Systemadministratoren, die Passwortsicherheit in Microsoft Active Directory zu erhöhen. Die Lösung erweitert in einer Active-Directory-Umgebung die Fähigkeit eines Domänen-Controllers, die Anforderungen an Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Neben Gruppenrichtlinien zur Erzwingung starker Kennwörter lässt sich mit der umfangreichen Datenbank aus über vier Milliarden kompromittierten Passwörtern ein erster Schritt zurück zu geheimen Passwörtern unternehmen.
Für eine Analyse des Ist-Zustandes scannt das kostenlose Tool Specops Password Auditor das Active Directory und identifiziert mögliche passwortrelevante Schwachstellen wie kompromittierte Kennwörter, verwaiste Benutzerkonten, doppelte Kennwörter und vieles mehr. Die gesammelten Informationen werden in interaktiven Berichten zusammengefasst, die sich exportieren lassen. Dabei kann das Tools nur Informationen auslesen und nimmt keine Änderungen am Active Directory vor.
Kompromittierte Kennwörter außerhalb von Active Directory
Um geleakte Zugangsdaten aufzuspüren und Maßnahmen zu implementieren, die weitere Leaks verhindern, sind mehr Informationen als nur betroffene Benutzer-Accounts nötig:
Threat Compass, die Cyber Threat Intelligence-Lösung von Outpost24 bietet hier ein Modul zur Suche nach gestohlenen Zugangsdaten. Dafür durchsucht das Cyber-Threat-Intelligence-Team namens „KrakenLabs“ von Outpost24 das Open-, Deep- und Dark-Web nach Informationen in Bezug auf Ihre Unternehmen, Marken und Domains – auch mögliche Passwörter Ihrer Mitarbeiter, die auf Marktplätzen oder Telegram-Kanälen zum Verkauf angeboten werden. Die so ermittelten Informationen helfen bei der frühzeitigen Gefahrenerkennung und Prävention, da Sie – neben den betroffenen Accounts – auch die Quelle der kompromittierten Passwörter ermitteln können.
Schließlich gibt es noch External Attack Surface Management (EASM), eine Plattform-Lösung zur Analyse aller Assets Ihrer Organisation, die von außen erreichbar sind – inklusive dazugehörenden Passwörtern, die durch die Bedrohungsinformationen aufgedeckt wurden. Spüren Sie kompromittierte Zugangsdaten in Ihrer Angriffsfläche mit einer ersten, kostenlosen Analyse auf!
kommentar field