IDENTITY

PROTECTION

Amateure hacken Systeme, Profis hacken Menschen!

Ich bin du und du bist nichts

In dem Film „Filofax” spielt James Belushi einen Dieb, der das Filofax eines Managers findet und dadurch dessen Identität annimmt. Wenn du den Film noch nicht gesehen hast, solltest du das unbedingt nachholen!

Was vor über 30 Jahren eine amüsante Geschichte war, ist in der digitalen Welt von heute traurige alltägliche Realität. Angreifer versenden Phishing-E-Mails, Social-Media-Konten werden gekapert, Administratorenkonten von Unternehmen werden im Dark Web verkauft usw. Wenn deine Identität gestohlen oder missbraucht wird, wird dein Leben buchstäblich zum Albtraum. Opfer werden oft erst durch Andere auf den Diebstahl aufmerksam gemacht, was meist zu spät ist und schon großer Schaden angerichtet wurde. Sich wieder Zugang zum eigenen Konto zu verschaffen und alle Spuren und Hintertüren zu beseitigen, ist echte Knochenarbeit. Diese Erfahrung macht man besser nicht.

Geschäftsangelegenheit oder persönliche Verantwortung?

Eine gängige Praxis von Cyberkriminellen ist es, die Social-Media-Konten von Mitarbeitern zu durchsuchen, um an Daten zu gelangen, die normalerweise als firmenintern eingestuft sind. Leute feiern ihren neuen Job und zeigen stolz ihre neuen Firmenausweise, die von jedem kopiert werden könnten. Das betrifft KMUs zwar nicht so sehr wie Konzerne, aber es ist ein perfektes Beispiel dafür, wie die Grenzen zwischen persönlicher Freizügigkeit und Unternehmenssicherheit ineinander verschwimmen.

Ein eher praktisches Beispiel ist das Sammeln von E-Mail-Adressen für Phishing- und Spam-Zwecke. Wenn Angreifer herausfinden, dass euer Namensschema vorname.nachname@firma.com lautet, müssen Angreifer nur noch auf LinkedIn nach eurem Unternehmen suchen, die Namen exportieren und die E-Mail-Adressen zusammensetzen. Sie können sogar ehemalige Mitarbeiter finden und deren Daten verwenden, denn seien wir ehrlich: Wahrscheinlich leitet ihr diese sowieso an ein Sammelpostfach weiter.

Ich bin doch nicht so besonders, oder?

Natürlich bist du das! ❤️ Es ist ein altes Vorurteil, dass die Größe eines Unternehmens in direktem Zusammenhang mit der Wahrscheinlichkeit steht, Opfer eines Cyberangriffs zu werden. Zwar haben Konzerne eine größere Angriffsfläche, da sie bekannter sind, aber sie verfügen auch über mehr Budget, um teure IT-Sicherheitslösungen und dedizierte Security Operations Center zu integrieren.

Hacker sind genauso faul wie wir alle. Sie haben ihren Fokus von hochentwickelten Angriffen auf Konzerne, auf automatisierte Angriffe von "low hanging fruits" der KMUs verlagert. Denn die gibt es im Internet quasi an jeder Ecke. Im Internet bist du einfach nur eine Nummer. Wenn du eine IP-Adresse oder eine Domain hast, bist du bereits ein potenzielles Ziel.

Warum brauchen wir Identity-Systeme?

Die Idee hinter den Identity-Management Systemen ist es, deine Konten und Berechtigungen in einer zentralen Datenbank wie Active Directory oder Entra ID (AzureAD / Office365) zu speichern. Dadurch werden Funktionen wie Single Sign-On (SSO) ermöglicht, damit du nicht jedes Mal dein Passwort eingeben musst, wenn du auf eine Datei zugreifen, eine E-Mail senden oder eine Website besuchen möchtest. Benutzer brauchen sich nur ein einziges sicheres Passwort zu merken, und die IT-Abteilung kann alle Konten und Berechtigungen von einem einzigen Punkt aus verwalten.

Du kannst auch andere Systeme wie Dateiserver und Webportale verbinden, ohne ihnen das tatsächliche Passwort übermitteln zu müssen. Die Zugangsdaten werden vom Identitätsdienst validiert und es wird nur eine OK / NICHT OK-Meldung ausgegeben.

Ist es nicht riskant, Passwörter an einem zentralen Ort zu speichern?

Das kommt darauf an. Wenn jedes System seine eigene Zugangsdaten verwaltet, dann verringert sich das Risiko nur, wenn auch jeder Mitarbeiter für jedes System ein anderes Passwort verwendet. Selbst in einem kleinen Unternehmen würde das im Schnitt 5 bis 10 verschiedene Passwörter pro Mitarbeiter bedeuten. Die Realität zeigt jedoch, dass die meisten Menschen ihr Lieblingspasswort überall verwenden. Wenn dann ein einziges System kompromittiert wird, führt das trotzdem zu einer kompletten Kompromittierung der Identität.

Das Problem ist, dass die meisten Identity-Systeme vom Sicherheitsstand, eine Katastrophe sind. Active Directory (AD) ist 25 Jahre alt und wurde seit Jahren nicht mehr vom Hersteller Microsoft mit neuen Features versorgt. Es wird immer noch vom Großteil der Unternehmen verwendet. Entra ID ist der moderne, Cloud-basierte Nachfolger, dem leider immer noch einige wichtige Funktionen fehlen, um AD vollständig abzulösen. Aktuell werden AD und Entra ID in der Regel parallel eingesetzt. Der Nachteil beider Systeme ist, dass sie zwar einwandfrei funktionieren, aber "out of the Box" nicht besonders sicher sind. Das liegt nicht unbedingt an der Software, sondern an der Art und Weise, wie diese Systeme genutzt werden. Es fehlt sehr viel Detail-Wissen und Erfahrung bei IT-Administratoren in Bezug auf den sicheren und ordnungsgemäßen Betrieb.

Was bedeutet Identity Protection für Unternehmen?

80 % der Security-Breaches werden durch kompromittierte Zugangsdaten verursacht. Nicht nur normale Benutzer sind betroffen, sondern auch Administratoren, Service-Konten und Mailboxen. Identitätsbasierte Angriffe sind in der Regel sehr schwer zu erkennen, da Systeme den Angreifer nicht von einem legitimen Benutzer unterscheiden können.

Erinnerst du dich noch an James Belushi? Im Film lebte er wie ein König, indem er die Identität eines Fremden annahm. In der realen Welt würden Menschen, die dich kennen, den Unterschied sofort bemerken. Computer hingegen verwenden Passwörter, Zertifikate und private Schlüssel, um die Identität zu überprüfen. Daher können sie nie wissen, wer wer ist.

Wenn das Konto deines Identity Administrators kompromittiert wird, kann ein Angreifer auf alle Passwörter und Zugriffsberechtigungen auf allen Systemen und Daten zugreifen. Game over!

Was ist die Lösung?

Verwende immer, wenn möglich, eine Multi-Faktor-Authentifizierung (MFA). Sie kombiniert etwas, das du weißt (Passwort, PIN), etwas, das du hast (Smartphone, Schlüssel) und etwas, das du bist (Fingerabdruck, Gesichtserkennung), um deine Identität zu schützen. Außerdem ist es relativ unwahrscheinlich, dass mehrere Geräte gleichzeitig kompromittiert werden. Leider hilft MFA nicht mehr, wenn dein Endgerät bereits kompromittiert wurde. Angreifer warten dann nämlich nur darauf, dass du dich anmeldest und ihnen die Tür zum digitalen Königreich öffnest.

Wenn du deine Identity-Systeme noch nicht überprüft hast, ist jetzt der richtige Zeitpunkt dafür. Kostenlose Tools wie PingCastle und PurpleKnight liefern dir einen umfassenden Bericht über Fehlkonfigurationen und Schwachstellen. Leider können diese Tools die Bereinigung und Härtung nicht für dich übernehmen. Sie können auch keine umfassende Audits ersetzen, wie unser nullzwo Macroscope.

Es gibt viele Identity-Security-Produkte auf dem Markt, die behaupten, bösartige Aktivitäten zu erkennen und zu stoppen. Sie sind teilweise sehr effektiv, jedoch ziemlich teuer und müssen von erfahrenen Cyber-Security-Experten implementiert werden. Darüber hinaus ist ein Sicherheitsteam erforderlich, das die Warnmeldungen analysiert und Gegenmaßnahmen ergreift.

Ein gut umgesetztes Rechte- und Rollenkonzept ist für jede IT-Infrastruktur unverzichtbar. Viele Unternehmen nutzen IAM-Lösungen (Identity and Access Management), um diese in ihre Geschäfts-Prozesse zu integrieren und eine entsprechende IT-Governance zu etablieren. Erteilte Berechtigungen können über Prozesse genehmigt werden, bestehende Rechte können überprüft werden, auch zeitbasierte Zugriffsrechte können vergeben werden und vieles mehr. IAM-Lösungen sind auch nur so gut wie ihre Implementierung. Sie helfen zwar bei der Vergabe von Berechtigungen, können aber keinen Identitäts-Diebstahl verhindern.

Verwende überall das Prinzip der geringsten Rechte (Least Privilege Principle). Wenn dein Konto gehackt wird, können Angreifer nur auf die Daten zugreifen, auf die du auch Zugriff hast. Das klassische „Worst-Case”-Szenario ist die Assistenz der Geschäftsleitung mit Zugriffsrechten auf alle Datei-Freigaben.