Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

Von unserem Gastautor Andrew Rose, Resident CISO bei Proofpoint

[datensicherheit.de, 17.11.2023] Bedrohungen durch Insider sind nicht erst seit dem Beginn des digitalen Zeitalters zu einem Problem geworden. Bereits im Jahr 480 v. Chr. verriet Ephialtes die spartanischen Krieger, indem er die persische Armee über einen versteckten Bergpfad informierte, der es dieser ermöglichte, die griechischen Verteidiger zu überlisten und zu besiegen. Und 1985 wurde Richard Miller, ein FBI-Agent, wegen Spionage verhaftet, nachdem er geheime Dokumente an russische Sicherheitsdienste weitergegeben und dafür Gold und Bargeld verlangt hatte. Wie diese Beispiele zeigen, haben Insider-Bedrohungen eine lange Tradition.

Andrew Rose, Resident CISO bei Proofpoint, Bild: Proofpoint

Der langen Tradition zum Trotz wird diese Gefahr meist toleriert. Wirklich böswillige Insider sind selten, und Arbeitsverträge enthalten rechtliche Klauseln, die gegen Insider verwendet werden können. Allerdings wird es immer Fahler nachlässiger Mitarbeiter geben, so viele Schulungen diese auch erhalten haben mögen. Sobald CISOs dieses Thema in der Vorstandsetage adressierten, ernteten sie allzu oft Erstaunen und wurden gefragt, woher ihr Misstrauen gegenüber den Kollegen rührt.

Was hat sich also geändert bzw. warum ist das Thema Insider-Bedrohungen nun auf der Tagesordnung der meisten Vorstands-Meetings? Dafür gibt es drei wesentliche Gründer, die miteinander verknüpft sind: Die Angreifer haben ihre Taktik verändert, die Arbeitgeber haben weniger Vertrauen in ihre Mitarbeiter und die bestehenden Kontrollen, mit denen Insider-Bedrohungen eingedämmt werden konnten, verlieren zunehmend ihre Wirksamkeit.

Weiterentwicklung der Angreifer

Der Hauptgrund für die Eskalation der Insider-Bedrohungen ist die Konzentration der Cyberkriminellen auf den Diebstahl von Zugangsdaten, weil gestohlene Zugangsdaten für sie zum primären Einfallstor geworden sind. Der Verizon Data Breach Investigations Report 2023 (DBIR) zeigt, dass 49 Prozent aller erfolgreichen Einbrüche auf gestohlene Zugangsdaten zurückzuführen sind.

Das Vorgehen ist simpel und einleuchtend: Wenn sich ein Angreifer mit existierenden Anmeldedaten einloggen kann, hat er Zugriff auf alle Systeme, Daten und Berechtigungen des Konto-Inhabers, ohne sich um Firewall-Konfigurationen, Patch-Levels oder Zero-Days kümmern zu müssen. Die Angriffsmethode ist stark vereinfacht und lässt sich flexibel anpassen.

Indem sie eine echte Identität für einen Angriff verwenden, können die Täter ihre Angriffskette erweitern, indem sie das Vertrauen, das der gehackten Identität entgegengebracht wird, als Waffe verwenden. Wenn Kollegen, Lieferanten und Familienangehörige E-Mails von dem kompromittierten Konto erhalten, nehmen sie diese für bare Münze, und die Wahrscheinlichkeit eines falschen Klicks, einer unbedachten Handlung oder einer irrtümlichen Zahlung steigt beträchtlich. Aus diesem Grund wird die meiste Malware auch an Orten gehostet, auf die sich Anwender regelmäßig verlassen – beispielsweise auf OneDrive, SharePoint oder Dropbox.

Mangelnde Verbindungen der Mitarbeiter untereinander

Seit der „Coronapandemie“ hat sich das Verhältnis zwischen Arbeit und Privatleben grundlegend verändert. Immer weniger Menschen gehen jeden Tag ins Büro, und die obligatorische persönliche Anwesenheit ist für Bewerber nicht selten zu einem Ausschlusskriterium geworden. Viele Mitarbeiter werden heute ausschließlich per Video-Telefonie rekrutiert und arbeiten aus der Ferne, sodass es immer seltener möglich ist, eine echte „Verbindung“ zu den Kollegen aufzubauen.

Das führt zu einer „Ausweitung“ der organisatorischen Grenzen. Häufig wird Mitarbeitern gestattet, ihre eigene Hardware für die Arbeit zu verwenden. Jede Schwachstelle in der privaten IT-Umgebung wird so zu einer Lücke in der IT-Sicherheit des Unternehmens. So kann lokale Malware unter Umständen Tastatureingaben aufzeichnen oder Screenshots erstellen. Auch der Datenzugriff von jedem Ort aus hat Folgen: Dadurch wächst die Herausforderung für die Security-Teams sicherzustellen, dass Daten nur an der richtigen Stelle gespeichert werden, und es steigt die Wahrscheinlichkeit von Datenlecks und -verlusten.

Wie viele Unternehmen im Zuge wachsender Fluktuation unter den Mitarbeitern in den letzten Jahren erfahren mussten, kommt es nicht selten vor, dass Angestellte bei ihrem Ausscheiden –unrechtmäßig – Unternehmensdaten mitnehmen. Dies bedroht das geistige Eigentum von Unternehmen ernsthaft. Laut Proofpoints Voice of the CISO Report 2023 mussten 85 Prozent der Sicherheitsverantwortlichen in Deutschland (63 Prozent international) in den letzten 12 Monaten vor der Studie einen erheblichen Verlust sensibler Daten konstatieren. 95 Prozent dieser Gruppe gehen davon aus, dass Mitarbeiter, die das Unternehmen verließen, zu diesem Verlust beigetragen haben. Die mangelnde Fähigkeit, Daten nachzuverfolgen und zu kontrollieren, die an immer neue Orte gelangen, ist eine der Hauptursachen für Datenverluste.

Bestehende Kontrollen reichen nicht aus

Viele dieser Probleme ließen sich lösen, aber technologische Richtungsentscheidungen und die stetige Weiterentwicklung der Cyberkriminellen haben die bestehenden Kontrollmöglichkeiten geschwächt.

Eine gängige Kontrollmöglichkeit gegen Insider-Bedrohungen ist beispielsweise eine Whistleblower-Hotline, bei der Mitarbeiter verdächtiges bzw. abweichendes Verhalten oder andere Bedenken melden können – z.B. wenn Max Mustermann plötzlich einen Ferrari vor dem Büro parkt. Das Homeoffice und das mobile Arbeiten haben diese Kontrollmöglichkeiten massiv eingeschränkt, weil die Mitarbeiter nur noch selten Zeit miteinander verbringen und lediglich über Videoanrufe und E-Mails miteinander kommunizieren. Auf diese Weise bleiben veränderte Verhaltensweisen und geänderte Meinungen oftmals verborgen.

Die Verlagerung wichtiger Geschäftsdaten in die Cloud und die Nutzung zahlreicher Echtzeit-Kommunikationsplattformen wie WhatsApp überfordern auch viele Tools zur Verhinderung von Datenlecks (Data Leak Prevention: DLP). Sensible Daten können umso leichter dupliziert und außerhalb des Blickfelds der bestehenden Kontrollen verschoben werden.

Schließlich ist auch der Multifaktor-Authentifizierung (MFA) nicht mehr zu vertrauen, die viele Jahre lang als wirksamer Schutz gegen die Kompromittierung von Identitäten bzw. Zugriffen galt. Leider haben Angreifer inzwischen Tools wie EvilProxy entwickelt, um MFA auszutricksen.

Insider Threat Management

Welche Modelle können also bei dieser Neubewertung von Insider-Bedrohungen helfen?

Trotz allem ist MFA nach wie vor ein wichtiges Kontrollinstrument, das nicht außer Acht gelassen werden sollte. Sie muss jedoch dynamischer angewendet werden, um für Angreifer eine größere Herausforderung darzustellen. Beispielsweise durch wiederholte MFA-Abfragen vor kritischen Transaktionen oder wenn der Benutzer als gefährdet eingestuft wird (z.B. sobald der Login von einem neuen Standort oder von einem neuen Gerät aus erfolgt usw.).

Flankiert werden sollte dies durch eine verstärkte Verhaltensüberwachung. Nun ist es schwierig, jede verdächtige Aktivität zu definieren, die ein Benutzer unternehmen kann. Es ist jedoch nicht allzu schwierig, in diesem Bereich Das Pareto-Prinzip bzw. die 80/20-Regel anzuwenden. (Das Pareto-Prinzip befasst sich mit der Beziehung zwischen Aufwand und Ergebnis. Es besagt, dass 80% der Wirkung durch 20% der beteiligten Faktoren erreicht werden können.). Es gibt zum Beispiel Schlüsselaktivitäten, die ein normaler Benutzer nicht durchführen würde, wie das Ändern einer Dateierweiterung oder das Erstellen einer kennwortgeschützten, verknüpften ZIP-Datei.

Hier anzufangen, lohnt sich also. Um darüber hinaus zu verhindern, dass SOC-Mitarbeiter sich wie aufgescheuchte Hühner verhalten, sollte die Sammlung verdächtiger Verhaltensweisen und Informationen über Bedrohungen automatisiert werden.

Und schließlich sollte eine DLP-Lösung implementiert werden, die für die Multi-Cloud-Umgebungen konzipiert ist, in denen Anwender heutzutage arbeiten. Die Daten haben die Grenzen der Organisationen verlassen und werden nie wieder zurückkehren. Daher ist die Verwendung veralteter DLP-Gateways zur Identifizierung unbefugter Kopien und Transfers von Daten nicht länger zielführend.

Resümee

Wie ebenfalls aus dem Verizon DBIR 2023 hervorgeht, wurden 83 Prozent aller Cyberangriffe von außen und nur 19 Prozent von innen initiiert – einige Vorkommnisse lassen sich auf beides zurückführen. Die meisten dieser Angriffe hatten ein finanzielles Motiv, und nur bei einer Handvoll ging es um Groll, Rache oder ideologische Differenzen.

Während sich also die Zahl der böswilligen und fahrlässigen Insider-Angriffe kaum verändert hat, hat sich das Ausmaß des Schadens, das durch einen entsprechenden Vorfall in einem Unternehmen verursacht werden kann, erheblich vergrößert. Allerdings sind es externe Täter, die legitime Anmeldedaten in industriellem Maßstab entwenden und dadurch das Spiel von Grund auf verändern. Dadurch sind Insider-Bedrohungen auf den Tagesordnungen der Vorstandsetagen ganz weit nach oben gerückt.

Eines sollte man grundsätzlich im Hinterkopf behalten: Angreifer kämpfen sich den Weg ins Unternehmen im digitalen Zeitalter nicht frei. Sie loggen sich einfach ein.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

proofpoint
Insider Threat Management

[datensicherheit.de, 05.08.2021] Zwei Drittel der Malware (68%) werde mittlerweile über die „Cloud“ verbreitet, 97 Prozent der „Google Workspace“-Nutzer hätten den Zugriff von Drittanbieter-Apps auf ihr Google-Unternehmenskonto genehmigt und ein gutes Drittel (35%) aller „Workloads“ innerhalb von „AWS“, „Azure“ und „Google Cloud Platform“ (GCP) seien über das Internet offen zugänglich. Dies seien drei wesentliche Ergebnisse des neuen „Netskope Cloud and Threat Report“ (Juli 2021) der Netskope Threat Labs, welche kritische Trends bei der Nutzung von „Cloud“-Diensten und -Apps in Unternehmen, Bedrohungen aus dem Internet und der „Cloud“ sowie Datenmigrationen und -übertragungen aus der „Cloud“ analysiert hätten.

In den ersten sechs Monaten 2021 hat Nutzung von Cloud-Anwendungen um 22% zugenommen

Dieser neue Report zeige, dass Malware, welche über „Cloud“-Anwendungen verbreitet wird, deutlich und kontinuierlich zunehme und mittlerweile mehr als zwei Drittel der Gesamtmenge der Schadsoftware ausmache. Hintergrund dieser Steigerung sei die anhaltende Verbreitung von „Cloud“-Apps in Unternehmen. In den ersten sechs Monaten des Jahres 2021 habe die Nutzung um 22 Prozent zugenommen. „Im Durchschnitt verwendet ein Unternehmen mit 500 bis 2.000 Mitarbeitern inzwischen 805 verschiedene Apps und ,Cloud‘-Dienste. Dabei fallen 97 Prozent der Anwendungen in die Kategorie ,Schatten-IT‘, d.h. ihr Einsatz ist von der IT-Abteilung weder genehmigt noch unterstützt und wird entsprechend auch nicht geschützt.“
Die unkontrollierte Nutzung von „Cloud“-Apps sei nicht die einzige potenzielle Bedrohung, welche der Bericht aufzeige. So unterstreiche er auch die Notwendigkeit eines verstärkten Managements von unkontrollierten „Cloud“-Anwendungen und sogenannter Infrastructure-as-a-Service (IaaS). Derzeit seien mehr als ein Drittel (35%) aller „Workloads“ innerhalb von „AWS“, „Azure“ und „Google Cloud Platform“ sozusagen „uneingeschränkt“, d.h. für jeden im Internet einsehbar.

Unternehmen sollten Sicherheit angesichts tatsächlicher Nutzung von Cloud-Anwendungen überdenken

Dieser Bericht weise auch auf eine neue Angriffsmöglichkeit in der weit verbreiteten Verwendung (97%) von Anmeldungen über Unternehmens-Google-Konten hin. Diese würden häufig zum bequemen und einfachen Einloggen bei Drittanbieter-Apps genutzt. Dabei forderten diese häufig unterschiedliche Berechtigungen an – von der Anzeige von Kontoinformationen bis hin zur Verwaltung der Dateien in „Google Drive“. Drittanbieter-Apps, welche das Anzeigen und Verwalten von „Google Drive“-Dateien verlangten, stellten hierbei eine erhebliche Gefahr für die Offenlegung von Unternehmensdaten dar.
„Angreifer versuchen immer einen Schritt voraus zu sein. Deshalb arbeiten wir hart daran, potenzielle Eintrittspunkte und Angriffsflächen zu identifizieren, bevor sie allgemein genutzt werden. Auf diese Weise sorgen wir dafür, dass Unternehmen zuverlässig geschützt sind, bevor es zu einem Datenverlust kommt“, erläutert Ray Canzanese, „Threat Research Director“ bei Netskope, und führt weiter aus: „Die in der Studie aufgedeckten Trends zeigen, dass Unternehmen die Sicherheit angesichts der tatsächlichen Nutzung von Cloud-Anwendungen überdenken müssen. Sie sollten auf eine Sicherheitsarchitektur setzen, die Kontext für Apps, Cloud-Dienste sowie Web-Benutzeraktivitäten bietet, und die Zero-Trust-Kontrollen anwendet, um Daten zu schützen, wo und wie auch immer auf sie zugegriffen wird.“

Die wichtigsten Erkenntisse aus dem Netskope Cloud and Threat Report

Für den Report seien anonymisierte Daten von Millionen Nutzern der „Netskope Security Cloud“-Plattform im Zeitraum vom 1. Januar bis zum 30. Juni 2021 analysiert worden:

• 97 Prozent der im Unternehmen genutzten „Cloud“-Apps sind Schatten-IT, d.h. nicht verwaltet und von Mitarbeitern eigenständig eingesetzt.
• App-Plugins von Drittanbietern stellen ein ernsthaftes Datenrisiko dar. 97 Prozent der Nutzer von „Google Workspace“ haben mindestens einer App eines Drittanbieters den Zugriff auf ihr Google-Unternehmenskonto gestattet und damit potenziell Daten an Dritte weitergegeben, etwa durch die Erlaubnis zum „Anzeigen und Verwalten der Dateien in Ihrem Google Drive“.
• Der Anstieg von öffentlich zugänglichen „Cloud“-Umgebungen eröffnet Angreifern zahlreiche Möglichkeiten. Mehr als 35 Prozent aller „Workloads“ sind innerhalb von „AWS“, „Azure“ und „GCP“ über das öffentliche Internet zugänglich. Dabei sind RDP-Server (Remote Desktop Protoco), die einen beliebten Angriffsvektor darstellen, bei 8,3 Prozent der „Workloads“ exponiert.
• Der Anteil der über die Cloud verbreiteten Malware nimmt weiter zu und hat mit 68 Prozent ein Allzeithoch erreicht. Dabei machen „Cloud“-Speicher-Apps fast 67 Prozent der über die „Cloud“ verbreiteten Malware aus. 43 Prozent aller Malware-Downloads erfolgen über bösartige „Office“-Dokumente.
• Mitarbeiter versuchen, erhebliche Mengen an Unternehmensdaten zu exfiltrieren, bevor sie das Unternehmen verlassen. Ausscheidende Mitarbeiter laden in den letzten 30 Tagen ihres Arbeitsverhältnisses dreimal so viele Daten als üblich auf persönliche Apps hoch. 15 Prozent dieser Daten stammen entweder vom Unternehmenskonto oder verstoßen direkt gegen eine Datenrichtlinie des Arbeitgebers. Die beliebtesten Ziele der kopierten Daten sind dabei persönliche Instanzen von „Google Drive“ und „Microsoft OneDrive“.

Weitere Informationen zum Thema:

netskope
Cloud and Threat Report: July 2021 Edition / Hey, You, Get Out of my Cloud

„Q1 Threat Report“ – aktueller Bericht zur Bedrohungslage veröffentlicht

[datensicherheit.de, 29.05.2019] Die Proofpoint Inc. hat am 29. Mai 2019 ihren neuesten „Threat Report“ für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge hätten die Experten von Proofpoint beobachten können, dass sich „Emotet“ hinsichtlich seiner ursprünglichen Klassifizierung stark verändert habe: So habe dich diese Malware von einem reinen Banking-Trojaner hin zu einem Botnetz entwickelt, das „Credential Stealern“, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang ablaufe. So habe hinter 61 Prozent aller im ersten Quartal 2019 beobachteten bösartigen „Payloads“ nur ein einziger Akteur gesteckt – der Betreiber des „Emotet“-Botnetzes.

Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen

Ein Beleg für die Popularität von „Emotet“ sei vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs – verglichen mit Attacken, die auf schädliche Datei-Anhänge setzten. Proofpoint habe im Rahmen seiner Untersuchung für das vergangene Quartal belegen können, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen.
Damit sei diese Art der Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen. Ein Großteil dieses Aufkommens an Cyber-Bedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, sei eben durch das gleichnamige „Emotet“-Botnet verbreitet worden.

Der Mensch muss im Vordergrund der Betrachtung stehen

„Die extremen Veränderungen, die ,Emotet‘ hinsichtlich seiner Verbreitung aber auch bezüglich seiner Wandlung hin zu einer neuen Bedrohungs-Klasse vollzog, zeigt, wie schnell Cyber-Kriminelle neue Tools und Techniken über verschiedene Angriffstypen hinweg anpassen, um ihre Attacken erfolgreich zu monetarisieren“, erläutert Sherrod DeGrippo, „Senior Director of Threat Research and Detection“ bei Proofpoint.
„Um sich bestmöglich vor der sich schnell wandelnden Bedrohungslandschaft zu schützen, ist es wichtig, dass Unternehmen einen Sicherheitsansatz verfolgen, bei dem der Mensch im Vordergrund der Betrachtung steht“, betont DeGrippo. Bei diesem Ansatz müssten insbesondere die am häufigsten angegriffenen Mitarbeiter vor Attacken geschützt werden. „Hier ist es wichtig, dass gerade diese Nutzer intensiv geschult werden und dass der betreffende Ansatz auch den Schutz vor Social-Engineering-Angriffen via E-Mail, Social Media und Internet generell umfasst.“

Laut Proofpoint die wichtigsten Ergebnisse der aktuellen Analyse:

• Banking-Trojaner machten im ersten Quartal 2019 lediglich 21 Prozent aller bösartigen „Payloads“ in E-Mails aus – dazu zählten hauptsächlich „IcedID“, „The Trick“, „Qbot“ und „Ursnif“.
• Abgesehen von kleineren „GandCrab“-Kampagnen seien im Falle von Ransomware in den ersten drei Monaten des Jahres 2019 praktisch keine nennenswerten Vorkommnisse verzeichnet worden, da 82 Prozent aller „Payloads“ entweder aus „Emotet“ oder aktuellen Banking-Trojanern bestanden hätten.
• Die Maschinenbau-, Automobil- und Bildungsbranche seien im ersten Quartal 2019 am stärksten von E-Mail-Betrug (auch BEC- oder CEO-Betrug genannt) betroffen gewesen.
• Über alle Branchen hinweg seien attackierte Unternehmen durchschnittlich 47 solcher Angriffe ausgesetzt gewesen – dieser Wert liege zwar hinter dem Rekord des vierten Quartals 2018 zurück, „könnte aber ein Zeichen für eine zunehmend selektive Ausrichtung auf einzelne Mitarbeiter, und saisonale Schwankung sein“.
• Social-Engineering-Angriffe, kompromittierte Websites sowie Malvertising-Bedrohungen hätten sich gegenüber dem vierten Quartal 2018 um rund 50 Prozent verringert. Dies scheine einen saisonalen Trend widerzuspiegeln – die Aktivität in diesen Bereichen sei dennoch 16-mal höher als im Vorjahresquartal gewesen.
• Die Anzahl betrügerischer Domains mit SSL-Zertifikat zur Vortäuschung der Legitimität habe sich im ersten Quartal 2019 verdreifacht. Nutzer, denen diese Domains online oder bei E-Mail-Angriffen begegnen, würden sich aufgrund dieser Taktik oft in falscher Sicherheit wiegen.
• Im ersten Quartal sei der Anteil der als potenziell betrügerisch identifizierten Domains, die tatsächlich auf eine IP-Adresse weitergeleitet hätten – also nicht nur „geparkt“ gewesen seien oder einen „404-Error“ ausgegeben hätten – um 26 Prozentpunkte höher gewesen als bei allen sonst im Web verfügbaren Domains. Bei den HTTP-Antworten habe der Wert gar um 43 Prozentpunkte höher gelegen als bei allen anderen Web-Domains.
• Lookalike-Domains seien allein im März 2019 zahlenmäßig fast genauso oft registriert worden wie in den vorangegangenen beiden Monaten zusammen.

Der aktuelle „Threat Report“ zu aktuellen Bedrohungen und Trends basiere dabei auf der Auswertung von Bedrohungen, denen die weltweit tätigen Kunden von Proofpoint in diesem Zeitraum ausgesetzt gewesen seien.

Abbildung: proofpoint.

„QUARTERLY THREAT REPORT Q1 2019“: aktuelle Bedrohungen und Trends

Weitere Informationen zum Thema:

proofpoint.
QUARTERLY THREAT REPORT Q1 2019

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht