[datensicherheit.de, 09.12.2024] Laut einer neuen Untersuchung von CyberArk führen gängige Verhaltensweisen von Mitarbeitern beim Zugriff auf sensible und privilegierte Daten – bewusst oder unbewusst – zu Sicherheitsrisiken, weshalb Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssten. Diese basiert demnach auf einer globalen Umfrage unter 14.003 Arbeitnehmern und gibt Einblicke in die üblichen Verhaltensweisen und Datenzugriffsmuster: „Sie zeigt, dass Sicherheitsteams die Anwendung von Identity-Security-Kontrollen neu überdenken sollten!“ Für diese neue Studie habe Censuswide für ihre Tätigkeit Computer nutzende Arbeitnehmer in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur befragt. Die Erhebung habe zwischen dem 17. und 25. Oktober 2024 stattgefunden.

Mehrheit der Mitarbeiter umgeht Cyber-Sicherheitsrichtlinien

In Deutschland seien hierzu 2.000 Arbeitnehmer befragt worden. Die vier zentralen Ergebnisse laut CyberArk im Überblick:

1. Erkenntnis: Die Mehrheit hat Zugang zu vertraulichen Informationen
86 Prozent der Befragten griffen auf Arbeitsplatzanwendungen, die oft geschäftskritische Daten enthielten, von persönlichen, vielfach unzureichend gesicherten Geräten aus zu. „Die Umfrage bestätigt, dass ein privilegierter Zugang nicht mehr nur IT-Administratoren vorbehalten ist. So geben 38 Prozent an, dass sie häufig Kundendaten herunterladen.“ Ein Drittel sei in der Lage, kritische oder sensible Daten zu ändern, und mehr als 30 Prozent könnten große Finanztransaktionen genehmigen.

2. Erkenntnis: Die Wiederverwendung von Passwörtern ist weit verbreitet
Die Untersuchung habe mehrere Gewohnheiten ermittelt, welche die Sicherheit gefährdeten. So verwendeten 41 Prozent der befragten Mitarbeiter dieselben Anmeldedaten für unterschiedliche arbeitsbezogene Anwendungen, wobei 32 Prozent dieselben Anmeldedaten sowohl für private als auch für berufliche Applikationen nutzten. „71 Prozent der Befragten haben bereits arbeitsplatzspezifische vertrauliche Informationen an Außenstehende weitergegeben.“ Diese Praktiken erhöhten das Risiko von Sicherheitslecks und Sicherheitsverletzungen erheblich.

3. Erkenntnis: Die Mehrheit umgeht Cyber-Sicherheitsrichtlinien
77 Prozent der Befragten beachteten häufig Cyber-Sicherheitsrichtlinien nicht, um sich die Arbeit zu erleichtern. „Zu solchen Praktiken gehören die Verwendung eines Passworts für mehrere Accounts, die Nutzung privater Geräte als WLAN-Hotspots und die Weiterleitung von Unternehmens-E-Mails an private Konten.“

4. Erkenntnis: Die Einführung von KI führt zu weiteren Sicherheitsherausforderungen
80 Prozent der Mitarbeiter nutzten KI-Tools, welche neue Schwachstellen schaffen könnten, „wenn beispielsweise vertrauliche Daten in die Tools eingegeben werden“. Fast die Hälfte (44%) der Beschäftigten halte sich bei der Nutzung von KI-Tools „nur manchmal“ oder „nie“ an die Richtlinien zum Umgang mit sensiblen Daten.

Mit dynamischen Berechtigungskontrollen könnten Sicherheitsteams Angriffe abwehren

Zudem zeige die neue Studie „White FAANG: Devouring Your Personal Data“ der CyberArk Labs, wie der individuelle Browser- und Internetverlauf einzelner Mitarbeiter eine Bedrohung sowohl für ihre Arbeitgeber als auch für ihr Privatleben darstellen könne. So könnten individuelle Browser-Verlaufsdaten leicht gestohlen und als Angriffsvektor auf die Infrastruktur von Unternehmen genutzt werden.

Die Kombination aus besorgniserregenden Mitarbeiteraktionen und der Fähigkeit von Angreifern, den Browserverlauf zu entwenden, erhöhe das Risiko für Unternehmen. „Mit der Implementierung eines robusten Identity-Security-Programms mit dynamischen Berechtigungskontrollen können Sicherheitsteams Angreifer daran hindern, Zugang zu sensiblen und privilegierten Informationen zu erhalten.“

Standardansatz für Sicherheit des Mitarbeiterzugriffs unzureichend

Michael Kleist, „Area Vice President DACH“ bei CyberArk, kommentiert: „Viel zu lange hat sich der Standardansatz für die Sicherheit des Mitarbeiterzugriffs auf grundlegende Kontrollen wie die Authentifizierung über ,Single Sign-on’ konzentriert. Dies ignoriert die sich verändernde Art der Identität: Nahezu jeder Mitarbeiter kann privilegierte Zugriffsrechte erhalten.“

Abschließend gibt Kleist zu bedenken: „Die Untersuchungsergebnisse zeigen, dass risikoreiche Zugriffe fast immer möglich sind und es viele Verhaltensweisen gibt, die zu ernsthaften Sicherheitsproblemen für Unternehmen führen können.“ Deshalb bestehe die dringende Notwendigkeit, die Identitätssicherheit neu zu definieren – „indem jeder Benutzer mit dem richtigen Maß an Berechtigungskontrollen geschützt wird!“

Weitere Informationen zum Thema:

CYBERARC
CyberArc 2024 Employee Risk Survey

CYBERARC, 03.12.2024
New Research from CyberArk Reveals Security Risks Introduced by Everyday Employee Behaviors

[datensicherheit.de, 06.10.2022] Nach einer aktuellen Untersuchung von CyberArk beabsichtigen 57 Prozent der befragten IT-Entscheider in Deutschland Finanzhilfen, welche sie im Rahmen des sogenannten Aufbau- und Resilienzplans der EU erhalten, in die Sicherheit investieren. Der „2022 Identity Security Threat Landscape Report“ beleuchtet laut CyberArk die Ergebnisse einer Untersuchung, welche das Marktforschungsunternehmen Vanson Bourne im Auftrag durchgeführt habe. Befragt worden seien 1.750 IT-Security-Entscheider in Deutschland, Frankreich, Großbritannien, Italien, Spanien, Australien, Brasilien, Mexiko, Israel, Japan, Singapur und den USA.

Identity Security Threat Landscape: CyberArk publiziert neue Studie

Die EU stellt demnach den Mitgliedstaaten im Hinblick auf die wirtschaftlichen und sozialen Auswirkungen der „Corona-Pandemie“ mehr als 700 Milliarden Euro in Form von Darlehen und Finanzhilfen zur Verfügung. Gefördert werden sollten vor allem Maßnahmen in den Bereichen Klimaneutralität und Digitaler Wandel.

CyberArk hat in der neuen Studie „Identity Security Threat Landscape“ die Frage aufgeworfen, in welchen Segmenten die Unternehmen in der Digitalen Transformation Investitionen tätigen möchten: „Dabei zeigt sich, dass mit 57 Prozent die Mehrheit der deutschen Unternehmen ,Security’ als Priorität sieht.“

CyberArk: Große Gefahren werden vielfach in unbekannten und nicht verwalteten Identitäten gesehen

„Cybersecurity“ sei ohnehin das dominante Thema bei Investitionen in die IT. Ebenfalls 57 Prozent der befragten Unternehmen in Deutschland hätten hierzu in den letzten zwölf Monaten neue Schutzmaßnahmen ergriffen.

Unternehmen reagierten damit auf die steigenden Sicherheitsbedrohungen: „Große Gefahren sehen sie dabei vielfach in den unbekannten und nicht verwalteten Identitäten, die in immer größerer Zahl vorhanden sind.“ Schließlich führe die zunehmende Digitalisierung zu einer höheren Anzahl an Interaktionen zwischen Menschen, Applikationen und Prozessen – und damit auch zu mehr digitalen Identitäten. Für 34 Prozent stellten dabei die Endgeräte der Mitarbeiter – seien es Desktop-PCs, Notebooks oder mobile Geräte – das größte Sicherheitsrisiko dar.

67% befürchten laut CyberArk-Studie, Hacker-Zugriff nicht zuverlässig verhindern zu können

„Die Gefahrenlage betrachtet die deutliche Mehrheit der Befragten als kritisch.“ So meinen 67 Prozent, dass sie den Zugriff von Hackern auf wichtige Unternehmenssysteme und -daten nicht zuverlässig verhindern könnten – und 65 Prozent halten das eigene Unternehmen gegen zielgerichtete Angriffe etwa durch Phishing-E-Mails für nicht ausreichend gewappnet.

„Bei den Sicherheitsmaßnahmen, die Unternehmen ergreifen wollen, nimmt die Zero-Trust-Strategie eine prominente Rolle ein.“ Dabei gehe es in erster Linie um den Einsatz von Identitätssicherheitstools, um den Benutzer vor dem Verbindungsaufbau zum Netzwerk zu identifizieren und zu validieren. Darüber hinaus hätten auch Lösungen für die Anwendungs- und „Workload“-Sicherheit eine hohe Priorität. „Dies betrifft alle ,Workloads’, die mit Anwendungen, digitalen Prozessen oder der Nutzung von ,Public Cloud’-Ressourcen verbunden sind.“

Angriffsfläche der Unternehmen für Hacke immer größer, warnt CyberArk

„Die Angriffsfläche, die Unternehmen Hackern bieten, wird immer größer. Die zunehmende Digitale Transformation oder ,Cloud’-Nutzung sind dafür nur zwei Gründe. Sie führen unweigerlich zu einer höheren Anzahl digitaler Identitäten, die Unternehmen nur mit einem umfassenden Identity-Security-Ansatz zuverlässig sichern können“, betont Michael Kleist, „Area Vice President DACH“ bei CyberArk.

Ein wichtiger Baustein sei dabei das sogenannte Zero-Trust-Prinzip, „das eine Verifizierung sämtlicher Akteure und Prozesse beinhaltet, die eine Verbindung zu kritischen Systemen herstellen wollen“. Abschließend führt Kleist aus: „Unsere Untersuchung zeigt, dass Unternehmen die große Bedeutung von ,Zero Trust’ auch erkennen. Es bleibt zu hoffen, dass der Einsicht nun Taten folgen.“

Weitere Informationen zum Thema:

CYBERARK
The CyberArk 2022 Identity Security Threat Landscape Report / Massive Growth of Digital Identities Is Driving Rise in Cybersecurity Debt

[datensicherheit.de, 07.09.2022] „Viel ist die Rede von der identitätsbasierten Sicherheit. Sie gewinnt in einer Zeit, in der der Perimeter-Schutz an seine Grenzen gestoßen ist, immer mehr an Gewicht“, so CyberArk in einer aktuellen Stellungnahme – und erläutert, was Identitäten überhaupt sind und wo diese überall zu finden, denn hierzu bestünden oft noch Unklarheiten.

Jede Identität könnte privilegierte Rechte besitzen

In der heutigen hybriden und Multi-„Cloud“-Welt sei jede Identität ein eigener, neue Perimeter. Physische und Netzwerk-Barrieren hätten sich aufgelöst und alle Identitäten könnten einen möglichen Angriffspfad auf unternehmenskritische Ressourcen darstellen, „vor allem wenn sie über privilegierte Rechte verfügen“. Solche Rechte könne jede Identität besitzen, sei es ein Remote-Mitarbeiter und Drittanbieter oder auch eine Maschine, ein Gerät und eine Applikation.

Erschwerend komme hinzu, dass die Zahl menschlicher und nicht-menschlicher Identitäten kontinuierlich steige, da im Zuge der Digitalisierung immer mehr Interaktionen zwischen Menschen, Applikationen und Prozessen erfolgten. Die Konsequenz seien steigende Sicherheitsbedrohungen, die insbesondere von den unbekannten und nicht verwalteten Identitäten ausgingen.

Menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten müssen bekannt sein

„Wie können Unternehmen diesen Gefahren begegnen?“ Zunächst müssten sie die menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten kennen. Die menschlichen Identitäten beträfen in erster Linie Personen wie Administratoren oder „Superuser“, aber etwa auch Entwickler und DevOps-Ingenieure, welche auf „Source Code“ zugreifen müssen. Darüber hinaus fänden sich privilegierte Rechte in Applikationen, Tools und Systemen. Dabei handele es sich dann um die nicht-menschlichen Identitäten.

Applikationen
Auf der Applikationsebene gehe es um die Applikation-zu-Applikation-Verbindungen. Alle technischen Verknüpfungen zwischen Teilen einer Anwendungslandschaft erforderten einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte gehe. Solche Verbindungen bestünden etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten (und von dort wiederum zu weiteren Infrastrukturdiensten) oder auch direkt zwischen Anwendungen.

Tools
Auf der Tool-Ebene sei vor allem die zunehmende Nutzung von „Cloud“- und Automatisierungs-Services zu beachten. Dies betreffe etwa Lösungen wie „Red Hat OpenShift“, „Jenkins“, „Puppet“, „Chef“, „Ansible“ oder auch „RPA“-Lösungen, die Zugang zu unternehmenskritischen Systemen benötigten.
Relevant seien außerdem Tools, welche über privilegierte Rechte bis hin zum Domain-Admin-Level verfügten: Ein Beispiel hierfür seien Schwachstellen-Scanner. Nicht vergessen werden sollten auch Skripte, die weiterhin häufig zur Automation eingesetzt würden.

Systeme
Auf der technologischen Systemebene seien die System-zu-System-Verbindungen zu berücksichtigen, vor allem die vielfach vorhandenen Service-Accounts. „Windows“ etwa verfügteüber eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.

Identitäten sicher authentifizieren, mit richtigen Berechtigungen autorisieren und auf strukturierte Weise Zugang zu kritischen Ressourcen gewähren

„Welche konkreten Maßnahmen können Unternehmen nun zur Gefahrenabwehr ergreifen?“ In erster Linie sollten sie eine Identity-Security-Lösung nutzen. Zu deren Aufgaben gehört demnach, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren.

Es gehe dabei um die Etablierung eines Zero-Trust-Prinzips, welches „die Überprüfung jeder Identität – sei es Mensch oder Maschine – beinhaltet“.

Unternehmen sollten identitätsbasierten Sicherheitsansatz verfolgen

„Rein auf Perimeter-Schutz ausgerichtete Sicherheitsmaßnahmen reichen in der heutigen Zeit nicht mehr aus, um vertrauliche Systeme, Applikationen und Daten zu schützen“, unterstreicht Michael Kleist, „Area Vice President DACH“ bei CyberArk, und führt aus: „Stattdessen sollte ein Unternehmen einen identitätsbasierten Sicherheitsansatz verfolgen, der alle User, Systeme, Applikationen und Prozesse berücksichtigt.“

Ein solches Sicherheitskonzept betrachtet laut Kleist die Identität als zentrale Verteidigungslinie eines Unternehmens – und zwar unabhängig davon, ob es sich um eine Person, eine Applikation oder eine Maschine handelt.

[datensicherheit.de, 15.06.2022] Obwohl Cyber-Risiken offensichtlich zunehmend an Bedeutung gewinnen, bleiben aber laut einer aktuellen Umfrage von CyberArk die erforderlichen Investitionen in die IT-Sicherheit oft unzureichend, weil viele Unternehmen sich „ausreichend geschützt“ fühlten. Dies sei aber häufig ein Trugschluss und mit extrem hohen Sicherheitsrisiken verbunden. Viele Unternehmen trieben die Digitalisierung aktiv voran – das Thema Cyber-Sicherheit werde dabei aber vernachlässigt, so 73 Prozent der befragten IT-Entscheider in Deutschland.

Befragte Unternehmen oftmals mit Ausreden für mangelnde Investitionen in IT-Sicherheit

Die befragten Unternehmen hätten den Verzicht auf Investitionen in die Sicherheit unterschiedlich begründet – gängige Aussagen sind demnach:

• „Wir sind schon genug abgesichert, etwa durch den Perimeterschutz.“
• „Was soll denn geschehen? Wir sind doch zu klein und damit uninteressant für Hacker.“
• „Bisher ist ja noch nichts passiert.“

Diese Einschätzungen würden der aktuellen IT-Sicherheitslage indes nicht gerecht. Schließlich nähmen die Sicherheitsrisiken auf breiter Front zu. Dafür gebe es verschiedenste Gründe wie raffiniertere Methoden der Hacker oder die zunehmende Nutzung von „Cloud“-Services. Die „Cloud“ sei ein gutes Beispiel dafür, dass klassische, auf den Netzwerkperimeter abzielende Sicherheitsmaßnahmen an Bedeutung verlören.

Unternehmen sollten eine identitätsbasierte Sicherheitsstrategie verfolgen!

Als neuer Perimeter habe sich die Identität herauskristallisiert. Sie sei damit die wichtigste Verteidigungslinie für Unternehmen. Deshalb sollten Unternehmen auch eine identitätsbasierte Sicherheitsstrategie verfolgen, welche alle Nutzer, Systeme, Applikationen und Prozesse berücksichtige. Wichtige Aspekte seien dabei „Zero Trust“, „Least Privilege“ und MFA.

Zero-Trust-Prinzip
Unter anderem sei die Überprüfung sämtlicher Akteure und Prozesse vorgesehen, welche eine Verbindung zu kritischen Systemen herstellen wollen. „Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei immer mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung.“

Least-Privilege- und Just-in-Time-Ansätze
Damit werde eine dauerhafte Rechteansammlung vermieden – Anwender erhielten abhängig von der durchzuführenden Tätigkeit passende Rechte. Damit werde auch die potenzielle Angriffsfläche für Hacker deutlich reduziert.

Multi-Faktor-Authentifizierung (MFA)
Die MFA gehöre in einer Zeit zunehmender Cyber-Angriffe zu den elementaren Sicherheitskontrollen. Von Vorteil sei insbesondere die Nutzung einer adaptiven, kontextbasierten MFA, welche einerseits die Produktivität aufrechterhalte und andererseits die Sicherheitsrisiken minimiere.

Digitalisierung der Unternehmen und IT-Sicherheit müssen im Einklang entwickelt werden!

„Als Hersteller von Sicherheitslösungen stehen wir im Wettbewerb mit zahlreichen anderen Anbietern. Auf die Frage nach unserem größten Wettbewerber müssen wir aktuell allerdings sagen: Es ist die Haltung einiger Unternehmen, die in Sachen Sicherheit keinen größeren Handlungsbedarf sehen. Das ist aber eine Fehleinschätzung, die schnell nach hinten losgehen kann“, erläutert Michael Kleist, „Area Vice President DACH“ bei CyberArk.

Nicht ohne Grund warne etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig vor einer wachsenden Bedrohungslage, und zwar nicht nur für große Unternehmen, sondern gerade auch für den deutschen Mittelstand. Kleist betont: „Digitalisierung und Sicherheit müssen im Einklang entwickelt werden.“

Weitere Informationen zum Thema:

CYBERARK
The CyberArk 2022 Identity Security Threat Landscape Report / Massive Growth of Digital Identities Is Driving Rise in Cybersecurity Debt

[datensicherheit.de, 28.10.2021] Nach eigenen Angaben von CyberArk hat sich ein Forscher aus dem eigenen Unternehmen, Ido Hoorvitch, kürzlich in seiner Heimatstadt Tel Aviv auf die Suche gemacht, „um herauszufinden, wie viele WLAN-Netzwerke er mit einem einfachen Trick knacken kann“.

5.000 WLAN-Hashes ausgelesen und Hashcat installiert

„Nachdem er 5.000 WLAN-Hashes ausgelesen und ,Hashcat‘ installiert hatte, führte Ido Hoorvitch mehrere Cracking-Angriffe durch.“
Diese Angriffe nutzten eine Angewohnheit vieler Menschen in Israel aus – und zwar die Verwendung ihrer Mobilfunknummer oder einer schwachen Alternative als WLAN-Passwort. Mit dieser Methode habe er mühelos mehr als 70 Prozent der Passwörter der ausgelesenen WLAN-Netzwerke „geknackt“.

WLAN-Versuch in Israel sollte weltweit Weckruf für Unternehmen und Verbraucher sein

Dies sollte auch ein Weckruf für Unternehmen und Verbraucher sein. Die fortschreitende Umstellung auf hybrides Arbeiten habe die ohnehin schon durchlässigen Sicherheitsmaßnahmen von Unternehmen noch weiter vergrößert.
CyberArk warnt: „Die Router, die für diesen Angriff anfällig waren und von vielen der weltweit größten Hersteller stammen, sind sowohl im privaten Umfeld als auch in Unternehmen weltweit im Einsatz.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2016
IT-Sicherheit im Gesundheitswesen: CyberArk sieht akuten Handlungsbedarf

CYBERARK, Ido Hoorvitch, 26.10.2021
Cracking WiFi at Scale with One Simple Trick

[datensicherheit.de, 06.05.2021] Auch Michael Kleist, „Regional Director DACH“ bei CyberArk, geht auf den „Welt-Passwort-Tag 2021“ ein: „Viele Unternehmen haben im letzten Jahr neue Arbeits-, Kollaborations- und Kommunikationsmethoden eingeführt. Dies hat zwar die Digitalisierung im Unternehmen vorangetrieben, aber auch neue Herausforderungen für Sicherheits- und IT-Experten geschaffen.“ Jede neue Unternehmensanwendung oder jedes neue Tool stelle ein potenzielles „Identitätssilo“ mit besonderen Anforderungen an das Passwort-Management dar. Dazu gehörten unter anderem die Komplexität oder die Häufigkeit, mit der Passwörter geändert werden sollten.

Foto: CyberArk

Michael Kleist: Noch zu oft ist ein Passwort die einzige Verifizierungsmethode

Welt-Passwort-Tag 2021 gute Gelegenheit, Best Practices zu etablieren

Häufig griffen Mitarbeiter auf schwache oder bereits verwendete Passwörter zurück. Tatsächlich hätten 84 Prozent der Remote-Mitarbeiter in einer Umfrage von CyberArk angegeben, ein identisches Passwort in mehreren Applikationen zu verwenden. Kleist: „Hinzu kommt, dass Passwörter oft die einzige Verifizierungsmethode sind. IT-Profis betrachten deshalb Passwörter auch als einen der Schwachpunkte in der Unternehmenssicherheit.“
Der „Welt-Passwort-Tag 2021“ biete IT-Administratoren und Sicherheitsteams nun eine gute Gelegenheit, „Best Practices“ zu etablieren und passwort-bezogene Risiken zu reduzieren:

1. Starkes Passwort verwenden!
   Starke Passwörter enthielten verschiedene Arten von Zeichen. Angreifer benötigten einen höheren Aufwand und mehr Zeit, um sie zu hacken. „Passwörter sollten mindestens zehn Zeichen umfassen und zum Beispiel eine Kombination aus Prozentzeichen, Klammern, Groß- und Kleinbuchstaben sowie Zahlen beinhalten.“
2. Individuelles Passwort für jedes Konto vorschreiben!
   Unternehmen sollten auf die Verwendung individueller Passwörter für alle Services und Konten bestehen. „Wenn Mitarbeiter die gleichen Passwörter für mehrere Websites oder Konten nutzen, reicht es aus, wenn eines der Konten kompromittiert wird, um die anderen Konten zu gefährden.“
3. Multi-Faktor-Authentifizierung nutzen!
   Um sich sicher anzumelden, seien mehrere Arten der Authentifizierung erforderlich; dabei reiche es nicht aus, nur ein Passwort einzugeben. „Im ersten Teil des Authentifizierungsprozesses gibt der Benutzer beispielsweise ein Passwort ein. Anschließend bekommt der Benutzer in einem zweiten Authentifizierungsschritt einen Code von einer Authentifizierungssoftware auf das Mobiltelefon gesendet oder ein Code wird von einer bestimmten Anwendung auf dem Telefon generiert.“ Selbst wenn Angreifer an das Passwort gelangen, hätten sie dann ohne den zweiten Teil der Authentifizierung keinen Zugriff auf das Konto.
4. Risiko lokaler Admin-Konten auf Workstations vermeiden!
   „Schwache Passwörter und Enduser mit lokalen Admin-Rechten auf ihren Workstations stellen ein erhebliches Sicherheitsrisiko für Unternehmen dar. Zahlreiche Angriffe beginnen zunächst auf Endpunkten, etwa wenn sich Angreifer durch eine Phishing-Attacke Zugang verschaffen oder wenn Mitarbeiter versehentlich eine schädliche Anwendung herunterladen und ausführen.“ In vielen Fällen zielten Angreifer gerade darauf ab, privilegierte Zugangsdaten auf den Workstations zu entwenden.

Welt-Passwort-Tag 2021 als Anlass, lokale Admin-Rechte von Enduser-Workstations ganz zu entfernen

Privilegierte Zugangsdaten wie Admin-Rechte ermöglichten Angreifern, sich seitwärts zu bewegen, bis sie sich Zugang zu Systemen mit sensiblen Informationen oder Geistigem Eigentum verschaffen können. „Um dieses Risiko zu verringern, sollten Unternehmen als wichtige Sicherheitsmaßnahme die lokalen Admin-Zugangsdaten – einschließlich des im Betriebssystem integrierten lokalen Accounts – in regelmäßigen Abständen ändern“, sagt Kleist.
Zudem sollten Unternehmen in Erwägung ziehen, lokale Admin-Rechte von Enduser-Workstations ganz zu entfernen, um das Angriffsrisiko vom Endpunkt aus weiter zu reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021 / Änderung des Passworts aus wichtigem Grund erforderlich – aber nicht pauschal sinnvoll

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

CYBERARK, Amy Burnis, 18.09.2018
Ten Steps for Securing Privileged Access

[datensicherheit.de, 25.08.2020] „Social Engineering gehört aktuell zu den zentralen Bedrohungen für die IT-Sicherheit“ – die kürzliche Attacke auf Twitter habe es erneut deutlich gezeigt, so CyberArk in einer aktuellen Stellungnahme und nennt fünf einfache Maßnahmen, welche die Social-Engineering-Gefahr deutlich reduzieren könnten.

Attacke auf Twitter auf Social Engineering zurückzuführen

„Die Hacker-Attacke auf Twitter, von der unter anderem Präsidentschaftskandidat Joe Biden, Ex-Präsident Barack Obama oder amazon-Chef Jeff Bezos betroffen waren, zählt zu den bisher größten Angriffen auf eine Social-Media-Plattform.“
Laut Twitter sei sie auf „Social Engineering“ zurückzuführen. Die Angreifer hätten sich damit privilegierte Zugangsdaten zu einem administrativen Tool verschaffen können, welches normalerweise nur internen Support-Teams zur Verfügung stehe.

Social-Engineering-Angriffe nie gänzlich ausschließen

Menschen machten Fehler, deshalb würden Unternehmen erfolgreiche Social-Engineering-Angriffe nie gänzlich ausschließen können. Aber es gebe fünf Maßnahmen, mit denen ein Unternehmen die Erfolgsquote der Angreifer massiv senken könne:

1. Awareness-Aufbau
   Die regelmäßige Sensibilisierung der Mitarbeiter für Sicherheitsgefahren und kontinuierliche Schulungen zu „Cybersecurity Best Practices“ seien unverzichtbar. Dabei sollte vor allem auf die Risiken im Zusammenhang mit Zahlungsanweisungen oder mit der Weiterleitung vertraulicher und persönlicher Informationen aufmerksam gemacht werden.
2. Nutzung von „Privileged Access Management“
   „Eine der besten proaktiven Möglichkeiten zur Risikominimierung bei privilegierten Zugriffen ist die Umsetzung des Least-Privilege-Prinzips im Rahmen eines Privileged-Access-Managements.“ Das heißt demnach, die Zugriffsrechte von Benutzern sollten auf das für die jeweilige Rolle erforderliche Minimum beschränkt werden. Damit könnten seitliche Bewegungen eines Angreifers im Unternehmensnetz verhindert werden – auch nach einer erfolgreichen Social-Engineering-Attacke.
3. Einsatz von Multi-Faktor-Authentifizierung
   Eine Ein-Faktor-Authentifizierung etwa mit einem Passwort sei immer ein Single-Point-of-Failure. Deshalb sollte für den Zugriff auf kritische Systeme zwingend eine Multi-Faktor-Authentifizierung erforderlich sein. Damit laufe jede Social-Engineering-Attacke ins Leere.
4. Verwendung dualer Kontrollsysteme
   Kein Mitarbeiter sollte ohne mehrfache Sicherheitsebenen einen vollen Zugriff auf vertrauliche Plattformen haben. Es müsse zumindest ein Vier-Augen-Prinzip gelten, das heißt: „Ein Mitarbeiter erhält nur dann einen Zugriff auf ein kritisches System, wenn er dafür von einem zweiten autorisierten Benutzer oder einer zusätzlichen Systemlogik (beispielsweise einem Ticket-Management-System) die Freigabe erhält.“
5. Überwachung privilegierter Aktivitäten
   Die kontinuierliche Überwachung privilegierter Sitzungen und der Einsatz von Analyse-Tools ermöglichten die automatische Erkennung riskanten Verhaltens oder ungewöhnlicher Tätigkeiten. Auf dieser Informationsbasis könne ein Unternehmen dann schnell erforderliche Maßnahmen einleiten.

Privilegierte Accounts und Aktivitäten managen, um Social-Engineering-Attacken abzuwehren

„Der Twitter-Angriff verdeutlicht einmal mehr die Gefahren, die von einem ungesicherten privilegierten Zugriff auf kritische Anwendungen ausgehen“, so Michael Kleist, „Regional Director DACH“ bei CyberArk.
Gelangten externe Angreifer in den Besitz privilegierter Zugriffsrechte, erhielten sie relativ problemlos Zugang zu den wichtigsten Systemen und Ressourcen eines Unternehmens – vom Geistigen Eigentum bis bin zu vertraulichen Kundendaten. Umso wichtiger sei die Nutzung einer umfassenden Lösung im Bereich „Privileged Access Management“, mit der alle privilegierten Accounts und Aktivitäten verwaltet, gesichert und überwacht werden könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2020
Twitter: Absicherung der Benutzerkonten Gebot der Stunde / Ben Carr kommentiert die jüngsten Angriffe Cyber-Krimineller gegen Twitter

datensicherheit.de, 19.07.2020
Promi-Phishing auf Twitter: Mögliche Angriffswege / Am 15. Juli 2020 wurde die Welt zum Zeugen einer groß angelegten Phishing-Kampagne auf Twitter

datensicherheit.de, 16.07.2020
Twitter: Promi-Konten gehackt / Tim Berghoff erläutert Schutzmaßnahmen für Twitter-Anwender und Nutzer anderer Sozialer Medien

[datensicherheit.de, 20.05.2019] Hacker sind in „Sachen IT-Sicherheit“ offenbar immer einen Schritt voraus – so sei es bereits in der Vergangenheit gewesen. Im Zuge der Nutzung KI-basierter Tools verschärft sich laut CyberArk das Problem – mit rein reaktiven Maßnahmen bleibe ein Unternehmen dem Angreifer unterlegen, nur präventive Vorkehrungen böten ein Mindestmaß an Sicherheit.

KI-basierte Tools zur automatisierten schnellen Durchführung von Attacken

Die Künstliche Intelligenz (KI) sei in der Cyber-Kriminalität angekommen. KI-basierte Tools unterstützten die automatisierte und damit schnellere Durchführung von Attacken.
Ziel von Angreifern sei zudem oft, in Systeme einzudringen, um dort dann für einen längeren Zeitraum unerkannt im Unternehmensnetz zu verbleiben und zu agieren. Auch dafür sei KI optimal geeignet: Algorithmen-basiert könne sich ein Angreifer ohne manuelle Eingriffe im Unternehmensnetz zum Beispiel „seitwärts“ bewegen.

1. Schritt zur Abwehr: Grundlegende Sicherheitsmaßnahmen erforderlich!

Um Cyber-Angriffe derartiger Couleur erfolgreich abwehren beziehungsweise entschärfen zu können, seien zunächst grundlegende Sicherheitsmaßnahmen erforderlich. Dazu zählen laut CyberArk etwa Firewalls, Intrusion-Detection-Systeme, Webfilter-Technologien, Antiviren-Programme oder Incident-Response-Verfahren.
Auch Lösungen zur Verwaltung, Sicherung und Überwachung der privilegierten Accounts, die sich als extrem kritischer Layer der IT-Sicherheit herauskristallisiert hätten, müssten implementiert sein. Solche Sicherheitsvorkehrungen sollten inzwischen Standard sein. Zielgerichtete KI-basierte Attacken seien mit diesen klassischen Sicherheitstools allerdings nur schwer zu erkennen und abzuwehren.

Umfassendes Sicherheitskonzept: CyberArk empfiehlt sechs Maßnahmen

Im Hinblick auf die Konzeption und Umsetzung eines umfassenden Sicherheitskonzepts und gerade hinsichtlich KI-basierter Angriffe müssten deshalb zusätzlich proaktive Vorkehrungen getroffen werden. CyberArk empfiehlt nach eigenen Angaben dabei vor allem folgende sechs Maßnahmen:

1. Schwachstellenanalyse
   Erster Schritt einer proaktiven Minderung von Risiken muss die Ermittlung und Beseitigung der Schwachstellen sein, und zwar unternehmensweit von den IT-Systemen über die Infrastruktur bis hin zu den Anwendungen. Auch regelmäßige Penetrationstests sollten durchgeführt werden.
2. Identifizierung und Schutz kritischer Systeme
   In einem weiteren Schritt sind die unternehmenskritischen Systeme zu ermitteln und zu schützen. Dabei kommen Maßnahmen wie Netzwerksegmentierung, Mikrosegmentierung oder restriktives Rollen- und Rechtemanagement ins Spiel.
3. Nutzung KI-basierter Sicherheitslösungen
   Es liegt auf der Hand, dass zur Abwehr KI-basierter Angriffe auch KI-basierte Sicherheitstools eingesetzt werden können. Solche Lösungen sind inzwischen auf dem Markt verfügbar, etwa für die Analyse des Netzwerkverkehrs.
4. Nutzung verhaltensbasierter Lösungen
   Da klassische, auf Detektion von Schadcode beruhende Lösungen bei neuen Bedrohungen an ihre Grenzen stoßen, sollte auch die Nutzung verhaltensbasierter Sicherheitslösungen in Betracht gezogen werden. Sie bieten Echtzeit-Analytik und -Alarmierung bereits bei verdächtigen Aktivitäten, etwa im Zusammenhang mit privilegierten Konten; Beispiele sind abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen.
5. Erhöhung des Automatisierungsgrades
   Generell sollte in der IT ein hoher Automatisierungsgrad angestrebt werden. Durch Reduzierung manueller Tätigkeiten und Automatisierung von Prozessen können Fehlerquellen und damit auch potenzielle Angriffspunkte für Hacker beseitigt werden.
6. Absicherung der Endgeräte
   Endgeräte sind ein Haupteinfallstor für Cyber-Attacken. Ihr Schutz muss deshalb höchste Priorität einnehmen. Erforderliche Sicherheitsmaßnahmen sind etwa der Entzug lokaler Administratorrechte oder eine Anwendungssteuerung, die die Ausführung schädlicher Programme verhindert.

„Ein 100-prozentiger Schutz dürfte in der IT eine Illusion bleiben. Resignation ist trotzdem nicht angesagt. Es müssen nur proaktive Maßnahmen ergriffen werden, und zwar besser heute als morgen. Dann besteht hinsichtlich KI-basierter Angriffe wenigstens ein Mindestmaß an Sicherheit“, sagt Christian Goetz, „Director of Presales DACH“ bei CyberArk.

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2019
Anfälligkeit für Phishing-Angriffe präventiv begegnen

[datensicherheit.de, 01.03.2018] Laut einer aktuellen CyberArk-Untersuchung ändert mehr als ein Drittel der deutschen Unternehmen auch nach einer Cyber-Attacke kaum die Sicherheitsstrategie. Die globale Umfrage „Advanced Threat Landscape“ wurde nach CyberArk-Angaben zum elften Mal durchgeführt – demnach wurden 1.300 IT-Verantwortliche und Geschäftsbereichsleiter, darunter 200 aus Deutschland, befragt.

„Privileged Account Security“ und Endpunktsicherheit im Fokus

Ein Untersuchungsschwerpunkt seien die Unternehmensaktivitäten rund um „Privileged Account Security“ und Endpunktsicherheit gewesen. Obwohl sowohl die Anzahl der Attacken als auch der dadurch verursachte Schaden stiegen, blieben die Unternehmen in Sachen IT-Sicherheit vielfach noch zu inaktiv – sie setzten weiterhin auf herkömmliche Sicherheitsmaßnahmen, die bewiesenermaßen nur unzureichend Schutz böten.
So hätten auch 39 Prozent der befragten deutschen Unternehmen erklärt, dass sie ihre Sicherheitsstrategie nicht signifikant verändern würden, wenn sie Opfer einer Cyber-Attacke geworden sind.

Unverzichtbar: Schutz privilegierter Accounts!

Für den Großteil der befragten deutschen Unternehmen sei die Sicherung privilegierter Accounts für den Schutz der IT-Umgebung von erheblicher Bedeutung – 96 Prozent stimmten der Aussage, dass „IT-Infrastruktur und kritische Daten erst dann vollständig geschützt sind, wenn die privilegierten Accounts und Zugangsdaten gesichert sind“, vollständig oder teilweise zu.
Doch hierbei bestehe bei vielen Unternehmen noch Handlungsbedarf: Zwar bestätigten 42 Prozent, dass sie in den letzten beiden Jahren Sicherheitsmaßnahmen zum Management privilegierter Accounts getroffen haben, doch mehr als die Hälfte (51 Prozent) befinde sich allerdings erst im Planungsstadium.

Nach wie vor unzureichend vor Cyber-Bedrohungen geschützt

Nicht überraschend sei deshalb auch, dass die Unternehmen nach wie vor unzureichend vor Cyber-Bedrohungen geschützt sind. So bestätigten auch 53 Prozent, dass sie den Zugriff von Angreifern auf das interne Netzwerk nicht in jedem Fall verhindern könnten – und fast die Hälfte (47 Prozent) der deutschen Unternehmen erklärt laut CyberArk, dass Kunden- oder generell personenbezogene Daten Sicherheitsrisiken ausgesetzt sind.
„Diese Zahl ist mehr als überraschend“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. Angesichts der bevorstehenden EU-Datenschutz-Grundverordnung (EU-DSGVo) könne sich eigentlich kein Unternehmen mehr einen laxen Umgang mit personenbezogenen Daten leisten.

„Cyber-Angreifer entwickeln ihre Methoden und Taktiken permanent weiter. Inaktivität oder Stillstand auf Unternehmensseite bei der IT-Sicherheit kann nicht die adäquate Antwort sein“, unterstreicht Kleist.
Unternehmen müssten sich mit den zentralen Einfallstoren auseinandersetzen. Kleist: „Dass ungesicherte privilegierte Accounts dabei zu den größten Sicherheitsrisiken gehören, ist inzwischen weitgehend bekannt, wie die Untersuchung zeigt. Das ist schon einmal positiv, jetzt fehlt es vielfach noch an der Umsetzung erforderlicher Sicherheitsmaßnahmen.“

Auch Endpunkte ebenfalls ein Sicherheitsrisiko

Administratorenrechte oder weitreichende Benutzerrechte stellten gerade auch auf Endgeräten ein großes Risiko dar, das allerdings vielfach noch nicht berücksichtigt werde. Darauf deutet laut Kleist auch folgende Entwicklung hin: Die Befragten bestätigten, dass die Zahl der Anwender, die über lokale administrative Privilegien auf ihren Endgeräten verfügen, von 64 Prozent in der letztjährigen Untersuchung auf jetzt 83 Prozent gestiegen sei – eine Zunahme um 19 Prozentpunkte.
„In unseren Augen ist das genau der falsche Weg. Dass auch normale Anwender auf ihrem ,Windows‘-Rechner Administratorenrechte erhalten, erhöht die Sicherheitsgefahren drastisch“, warnt Kleist. „Vielmehr sollten Unternehmen eine Lösung einsetzen, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt – mit einer Einschränkung der Privilegien auf das notwendige Mindestmaß und mit einer bedarfsabhängigen, temporären Vergabe von höheren Rechten.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 12.07.2013
Acht Prämissen für die effiziente Verwaltung privilegierter Accounts

datensicherheit.de, 22.05.2013
Cyber-Ark-Studie zeigt: Sicherheitsrisiken privilegierter Accounts werden unterschätzt

[datensicherheit.de, 29.08.2017] Laut einer aktuellen Stellungnahme von CyberArk stehen privilegierte Benutzerkonten im Zentrum moderner Hacker-Angriffe. Diese verwenden demnach mehrere Methoden, um an die Zugangsdaten für diese Konten zu gelangen.

Zugangsdaten für privilegierte Benutzerkonten im Fokus

Privilegierte Benutzerkonten spielten bei Cyber-Attacken eine Schlüsselrolle. Gelingt es Hackern, die Kontrolle über solche Konten zu gewinnen, könnten sie hochsensible Informationen stehlen, Sicherheitsmechanismen aushebeln oder geschäftskritische Prozesse, Systeme und Anwendungen manipulieren, warnt CyberArk. Aus diesem Grund setzten sie alles daran, in den Besitz der Zugangsdaten für privilegierte Benutzerkonten zu gelangen.

Die sechs häufigsten Methoden

CyberArk weist auf die sechs häufigsten Methoden, um in den Besitz der Zugangsdaten für privilegierte Benutzerkonten zu gelangen, hin:

1. „Keystroke Logging“
   Hierbei werden mit Hilfe einer eingeschleusten Schadsoftware die Eingaben eines Benutzers an der Tastatur protokolliert. Ein Keylogger kann entweder sämtliche Daten aufzeichnen oder gezielt auf bestimmte Eingaben warten.
2. „Brute Force“-Attacken
   Bei dieser Methode versuchen Hacker Kennwörter zu erraten, indem sie mit Unterstützung einer speziellen Software einfach sämtliche mögliche Kombinationen durchprobieren. Je kürzer und einfacher die Kennwörter sind und je seltener sie geändert werden, desto höher ist die Erfolgswahrscheinlichkeit.
3. „Memory Scraping“
   Eine Malware zapft den Arbeitsspeicher von PCs an und sucht dort nach Zugangsdaten. Das können Kennwörter sein, die im Klartext gespeichert sind, oder Hashes in „Windows“-Umgebungen, die sich für „Pass the hash“-Attacken nutzen lassen.
4. Passwort-Spreadsheets
   Viele Unternehmen halten ihre Passwörter nach wie vor in zentralen Tabellen vor. Das macht sie zu einem besonders lohnenden Ziel für Cyber-Kriminelle.
5. „Social Engineering“
   Hierbei geben sich Hacker, etwa in E-Mails, täuschend echt als Bekannte oder Kollegen aus. Auf diesem Weg versuchen sie, ihre Opfer zur freiwilligen Preisgabe von Zugangsdaten zu bewegen.
6. Hart-kodierte Zugangsdaten
   Häufig suchen Cyber-Kriminelle auch nach Passwörtern oder SSH-Keys, die sich in den Programmiercodes von Anwendungen, in Scripts oder in Konfigurationsfiles befinden. Sie ermöglichen weitreichende Zugriffe, werden aber häufig jahrelang nicht geändert.

Komplette eigene Ebene von „Privileged Account Security“!

„Den meisten Unternehmen ist inzwischen bewusst, dass privilegierte Zugangsdaten bei Cyber-Attacken die entscheidende Rolle spielen. Dennoch werden sie häufig nicht ausreichend geschützt“, erläutert Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf.
So halten viele Unternehmen nach Erfahrung des Experten ihre Kennwörter in Spreadsheets vor, änderten jedoch die Zugangsdaten viel zu selten oder räumten den Usern oft unnötigerweise volle Administrations-Rechte auf PCs und Servern ein. Darüber hinaus seien die herkömmlichen IT-Security-Maßnahmen gegen moderne Cyber-Angriffe häufig machtlos. Das Eindringen von Schadsoftware, die dem Ausspionieren von Zugangsdaten dient, könne durch Perimeter-Absicherung oft nicht verhindert werden.
„Moderne Attacken erfordern eine komplette eigene Ebene von Privileged Account Security“, so Kleist – „nur dadurch können Hacker noch rechtzeitig aufgehalten werden, bevor ihre Angriffe eskalieren und irreparabler Schaden angerichtet wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken