Barracuda full logo

Schutz vor schwachen oder gestohlenen Anmeldedaten

Themen: COVID-19
1. Juni. 2020
|
Dave Farrow

Auch Hacker haben Chefs. Selbst in Krisenzeiten müssen Hacker ihre Vorgaben erfüllen. Eine globale Pandemie hat kaum Auswirkungen auf eine Branche, die bereits remote ist. Was unserer Meinung nach eine Zeit ist, in der wir zusammenhalten müssen, sehen sie als eine Zeit, um Kapital daraus zu schlagen.

Wie ein Einbrecher, der sich durch die Straßen schleicht, um Türen und Fenster zu prüfen, durchsuchen Angreifer ständig das Internet, um Systeme zu finden, in die sie eindringen können. Sobald sie fündig werden, suchen sie nach leicht erreichbaren Zielen –Schwächen, die Ihnen Zugriff verschaffen könnten, wie schwache oder gestohlene Zugangsdaten, ungepatchte Schwachstellen oder Fehlkonfigurationen.

In diesem Blog-Beitrag konzentrieren wir uns auf das Thema schwache oder gestohlene Zugangsdaten. Verteidigungsmaßnahmen gehen über starke Passwortrichtlinien hinaus. Benutzer-Zugangsdaten sind eine Komponente der Zugriffskontrolle. Bevor der Benutzer seine Zugangsdaten erhält, muss der Zugriff genehmigt, die Benutzeridentität bereitgestellt, ein Passwort erstellt und eine Systemberechtigung erteilt werden. In diesem Blog-Beitrag werden die Elemente eines umfassenden Zugangskontrollprogramms vorgestellt.

Das Sicherstellen einer umfassenden Zugangskontrolle ist nichts für schwache Nerven. Doch Sie können heute noch die richtigen Schritte unternehmen, während Sie Ihr Programm weiterentwickeln. Die hier ausgeführten, detaillierten Informationen richten sich an technische Mitarbeitende, die mit der Sicherung von Unternehmensnetzwerken und -anwendungen beauftragt sind. Um eine Kurzfassung zu erhalten, können Sie die Seite nach den „Best Practices“ durchsuchen. Wenn Sie das warum und wofür wollen, dann bitte anschnallen und es geht los!

'Comprehensive access control is not a task for the faint of heart. But there are steps you can take today as you mature your program.' #AccessControl #cybersecurity
Click To Tweet


Angriffe auf Benutzerkonten


Angriffe auf Zugangsdaten sind alles andere als eine Seltenheit. Brutales Erzwingen. Credential Stuffing. Standard-Zugangsdaten. Angriffe auf Passwörter sind gefährlich, aber Sie können einfache Schritte unternehmen, um die Übernahme Ihrer Benutzerkonten zu verhindern.

Stellen Sie in erster Linie sicher, dass alle Benutzerkonten gute Passwortpraktiken einsetzen. Passwörter sollten komplex sein. Sie sollten niemals auf anderen Systemen wiederverwendet und niemals gemeinsam genutzt werden. Wenn Sie nichts weiter tun, um Ihre Systeme zu schützen, sollten Sie zumindest dafür sorgen, dass Ihre Passwörter – insbesondere für Konten mit vielen Berechtigungen – stark, eindeutig und geheim sind. ÜBERSPRINGEN SIE DIESEN SCHRITT NICHT.

Sichere Passwörter allgemein zu gewährleisten, kann eine Herausforderung sein. Selbst mit Anforderungen an die Passwortkomplexität ist es immer noch möglich, Passwörter zu erstellen, die erraten werden können. Mehrere Systeme, die ich nutze, erfordern denselben Benutzernamen und dasselbe Passwort. Einige Konten müssen gemeinsam genutzt werden. Welches sind die Best Practices sind in diesen Fällen?

In diesem Webinar erhalten Sie weitere Einblicke in die Security-Infrastruktur. 


Passwortkomplexität


Eine kurze Suche nach „Gute Passwörter erstellen“ bietet eine Fülle von Anleitungen. Aber selbst wenn die empfohlenen Komplexitätsanforderungen befolgt werden, sehen wir immer noch, dass Benutzer Passwörter wählen, die in zu kurzer Zeit erraten werden können. Komplexitätsstandards verhindern solche individuellen Entscheidungen nicht.

Stellen Sie sich zum Beispiel eine Passwortrichtlinie vor, die 16  Zeichen mit mindestens einem Großbuchstaben, einer Zahl und einem Sonderzeichen erfordert. Die Richtlinie schreibt außerdem vor, dass das Passwort alle 90  Tage geändert werden muss. Das folgende Passwort erfüllt diese Anforderung: „Barracuda2020Q1!“ Und man kann es sich leicht merken.

Complexity standards don't prevent users from choosing passwords that are still easy to guess #PasswordSecurity
Click To Tweet



Es ist auch leicht zu erraten (oder es zumindest zu versuchen), wenn ein Angreifer die Komplexität und die Anforderungen an die Passwortänderung kennt. Bekannte aus der Branche, die Penetrationstests durchführen, haben mir erzählt, dass ihnen in diesen Situationen das Erraten des Passworts in den meisten Fällen gelingt. Oft lässt sich das Passwort einiger Benutzer, das mit der Richtlinie konform ist, immer noch erraten.

Wenn man einfache Passwörter und gestohlene Passwörter – sogar komplexe – aus früheren Datenverletzungen hinzufügt, sind automatisierte Passwortangriffe oft genug so erfolgreich, dass sie ein Bestandteil in den Anfangsphasen eines Angriffs sind.

Die beste Verteidigung gegen schwache oder gestohlene Passwörtern ist die Multi-Faktor-Authentifizierung (MFA). Wenn die MFA aktiviert ist, wird der Benutzer – auch dann, wenn ein Angreifer eine funktionierende Kombination aus Benutzername und Passwort eingibt – aufgefordert, das Log-in zu bestätigen und hat eine Chance, die Aktion zu verweigern.

Best Practice: Eine Kombination aus starken Passwörtern und MFA trägt wesentlich dazu bei, Passwort-basierte Angriffe zu neutralisieren.

Wiederverwendung von Passwörtern


Passwort-Stuffing-Angriffen nehmen Kombinationen von Benutzernamen und Passwörtern aus früheren Verstößen und probieren Sie gegen andere Services aus. Zum Beispiel wurden mein Benutzername und mein Passwort bei dem LinkedIn-Verstoß im Jahr 2012 gestohlen. Man kann davon ausgehen, dass viele Leute diese Kombination aus Benutzernamen und Passwort auf allen Bankseiten im Internet ausprobiert haben. Das wäre zumindest ein kluger Ansatz. Ich bin froh, dass ich die Zeit dieser Hacker verschwendet habe, denn dieses Passwort funktionierte nur für LinkedIn. Nachdem es verloren gegangen war, habe ich mein LinkedIn-Passwort geändert und konnte mein Leben wieder genießen – ebenso wie alle anderen, die ein eindeutiges Passwort für jede Website verwenden.

Aber bei der Arbeit logge ich mich bei unserem Bug-Tracking-System, unserem Wiki, unserem Quellcode-Kontrollsystem und vielen andere ein. Alle mit demselben Benutzernamen und Passwort. Meinem Passwort-Manager hasst es. Er beschwert sich darüber, dass ich Passwörter wiederverwende. Aber mache ich das wirklich?

Nein, nicht wirklich. All diese Systeme sind an unseren zentralen Identitätsanbieter (Identity Provider; IDP) angebunden: Active Directory. Es scheint nur so, als würde ich Passwörter wiederverwenden, aber in Wirklichkeit handelt es sich um nur ein Passwort, das mit einer einzigen Identität verknüpft ist.Ein zentraler IDP hat den zusätzlichen Vorteil, dass er einen einzigen Ort schafft, an dem Benutzerzugriff gewährt und widerrufen werden kann. Diese Funktion ist entscheidend, um die Angriffsfläche innerhalb Ihrer Anwendungen effektiv einzuschränken.

Wenn viele Systeme an einen zentralen Identitätsanbieter geknüpft sind, ist es noch wichtiger, einen zweiten Authentifizierungsfaktor durchzusetzen. In diesem Fall gewährt die Kombination aus einem gültigen Benutzernamen und einem Passwort Zugriff auf viele Systeme und nicht nur auf eines.

Best Practice: Verwenden Sie Passwörter niemals für alle Services wieder.

Best Practice: Zentralisieren Sie Ihren Benutzerzugriff in einer Geschäftsumgebung mit einem zentralen Identitätsanbieter wie Active Directory, um die Anzahl der von Benutzern benötigten Passwörter zu minimieren und den Zugriffs-Wiederruf zu zentralisieren.

Best Practice: Bei der Verwendung eines zentralen Identitätsanbieters wird MFA unerlässlich.

Reminder: Never reuse passwords across services. Cybercriminals are counting on people being lazy and reusing compromised passwords. #Password Security
Click To Tweet


Geteilte Konten


Gemeinsam genutzte Konten sind ein weiterer Angriffspunkt aufgrund der Anzahl an Personen, die Zugriff auf das Passwort haben. Es ist auch schwieriger, MFA auf einem gemeinsamen Konto zu konfigurieren.

Es scheint, als sollte es im Jahr 2020 nicht mehr notwendig sein, Benutzerkonten gemeinsam zu nutzen – insbesondere solche mit vielen Berechtigungen. Und das trifft meistens auch zu. Bei Barracuda wird der Benutzerzugriff auf unsere Public Cloud-Konten wie AWS und Azure zum Beispiel über unser firmeneigenes Active Directory gesteuert. Wenn ich Zugriff auf ein bestimmtes Cloud-Konto benötige, reiche ich eine schriftliche Antrag an die IT ein, die mich dann der entsprechenden Security-Gruppe hinzufügt. Wenn ich den Zugriff nicht mehr benötige, werde ich aus der Security-Gruppe entfernt und mein Zugriff wird widerrufen. Wenn ich das Unternehmen verlasse, kann der Zugriff auf alle Systemen durch Deaktivieren oder Entfernen meines AD-Kontos aufgehoben werden. Dieser Prozess funktioniert gut für die überwiegende Mehrheit der Benutzerkonten in unserer Umgebung.

Jedes AWS-Konto hat jedoch einen Stammbenutzer, der bei der Kontoerstellung eingerichtet wurde. Best Practices schreiben vor, dass die tägliche Arbeit nicht über dieses Konto erledigt wird. Es ist da als Schutzvorrichtung, wenn es zu einem Notfall kommt, wenn z. B. unsere AD-Integration unterbrochen ist und der reguläre Zugriff nicht funktioniert.

Das Passwort für das Stammkonto muss für autorisierte Benutzer in der Organisation verfügbar sein. Andernfalls würden wir riskieren, diesen Schutz zu verlieren, wenn der Benutzer mit dem Passwort die Organisation verlässt. Bei der Verwaltung unserer Server folgen wir einem ähnlichen Muster. Normale Geschäfte werden über einzelne Benutzerkonten durchgeführt, die von einem zentralen Identitätsanbieter (IDP) kontrolliert werden. Der Zugang für den Notfall erfolgt über das Stammkonto des Systems.

Aufgrund der Sensibilität dieser Konten ist es sehr wichtig, den Zugriff auf die Zugangsdaten zu kontrollieren und die gesamte Nutzung dieser Konten zu protokollieren und zu überwachen. Ihre Verwendung sollte sehr selten sein und eine Warnung auslösen.

'Shared accounts are another point of attack because of the number of people who have access to the password.' #AccessControl
Click To Tweet



Best Practices:


  • Möglichst wenige gemeinsam genutzte Konten einsetzen

  • Gemeinsame Passwörter sicher speichern

  • Zugriff auf gemeinsam genutzte Passwörter beschränken

  • Die Nutzung gemeinsamer Konten unter Einsatz einer Meldefunktion überwachen

  • Zugang regelmäßig überprüfen

  • Passwörter ändern, sobald ein Benutzer mit Zugriffsberechtigung die Organisation verlässt


Ein Hinweis zu Benutzerberechtigungen


Unabhängig davon, ob Sie einen zentralen IDP konfiguriert haben oder das in Ihre Anwendungen integrierte Benutzermanagement nutzen – der Schutz Ihres Unternehmens geht über das bloße Verhindern nicht autorisierter Anmeldungen hinaus. Ein umfassendes Zugangsmanagementprogramm verfügt über mehrere zusätzliche Komponenten.

Es sollte klar definierte Prozesse für das Beantragen und Genehmigen des Zugriffs auf Systeme geben, einschließlich einer Anleitung die dazu beiträgt, unnötigen Zugriff einzuschränken und ein System der geringsten Berechtigung implementiert. Je weniger Personen Zugang zu einem System haben, desto geringer ist die Möglichkeit, Zugriff über einen kompromittierten Benutzer zu erhalten. Für jedes System, das sensible Daten speichert oder verarbeitet, sollte ein Prozess definiert werden und dieser Prozess sollte von Ihren Compliance- und Datenschutzteams überprüft werden.

In der Regel beinhaltet der Zugriffsgenehmigungsprozess die Genehmigung durch einen Vorgesetzten des Anforderers. Damit ein Genehmigungsverfahren effektiv ist, ist es wichtig, die zur Genehmigung berechtigten Personen in den Verfahren und Kriterien für die Beantragung und der Gewährung von Zugriff zu schulen. Die Schulung sollte Diskussionen über die verarbeiteten Daten und die Auswirkungen beinhalten, die ein autorisierter Benutzer mit dem Zugriff auf die Daten haben kann. Ebenso sollten die Systemeigentümer – die Personen, die neue Konten bereitstellen – mit den Anforderungen vertraut sein, die für den Zugriff definiert sind und sie sollten vom Management autorisiert sein, Zugangsanfragen abzulehnen, wenn die Anforderungen für den Zugriff nicht erfüllt sind.

Administratoren sollten sich darüber im Klaren sein, wie Berechtigungen innerhalb des Systems (Autorisierung) verwaltet werden, sobald der Zugriff (Authentifizierung) gewährt wurde. Werden Berechtigungen auf der Grundlage der Mitgliedschaft in einer AD-Gruppe oder innerhalb der Anwendung verwaltet? Die Berechtigung zum Log-in bei Salesforce kann beispielsweise von der Mitgliedschaft in einer bestimmten AD-Gruppe abhängig sein. Die Berechtigungen, über die der Benutzer in Salesforce verfügt, können jedoch von der Salesforce-Anwendung selbst definiert werden, unabhängig von Ihren AD-Gruppen. Die mögliche Trennung zwischen Authentifizierung und Autorisierung zu berücksichtigen und dann zuzuordnen, wo die Berechtigungen definiert sind, sind für die laufenden Zugriffsüberprüfungen von entscheidender Bedeutung. Die Überprüfung der Mitgliedschaft in AD-Gruppen ist häufig unzureichend.

Regelmäßige Zugriffsüberprüfungen werden oft übersehen. Hier ist ein Fall, bei dem Überwachung helfen kann. Verwenden all die Leute, die Systemzugriff haben, das System? Wenn nicht, ist es empfehlenswert, nicht genutzten Zugriff zu entfernen. Wenn jemand seinen Zugang 90 Tage lang nicht genutzt hat, erwägen Sie, ihn zu widerrufen. Sollte der Mitarbeitende das System später wieder brauchen, wird er sich bestimmt Gehör verschaffen. Stellen Sie sicher, dass Ihre Zugriff-Genehmigungsverfahren berücksichtigen, dass ein zuvor autorisierter Benutzer, dessen Zugriffsberechtigung entfernt wurde, wieder Zugriff erhält. Zweck dieses Prozesses ist, den Zugriff zu entfernen, den Personen nicht brauchen – nicht, um Personen daran zu hindern, ihre Arbeit zu erledigen.

Sie sollten einen Plan haben, um den Zugriff schnell zu widerrufen. Ob es sich um eine Beendigung des Arbeitsverhältnisses oder um ein kompromittiertes Konto handelt: Ein eindeutiges Verfahren für den Widerruf der Zugriffsberechtigung auf alle Ihre Systeme ist ein wesentlicher Bestandteil eines Zugriffsmanagementprogramms.

Und schließlich ermöglicht eine zentrale Protokollierung von Benutzerzugriff-Ereignissen das Überwachen auf ungewöhnliches Benutzerverhalten.

Best Practices: Ein umfassendes Zugriffsmanagementprogramm:

  • Definiert die Prozesse für den Zugang zum System

  • Umfasst Schulungen für Systeminhaber und genehmigende Personen bezüglich Prozessen und Anforderungen für die Zugriffskontrolle

  • Sieht vor, wo Systemberechtigungen definiert werden

  • Protokolliert und überwacht Benutzerverhalten

  • Überprüft regelmäßig Zugriffsmuster und Benutzerberechtigungen

  • Entfernt nicht mehr benötigte Zugriffsberechtigungen

  • Sieht einen Plan für den schnellen Widerruf von Zugriffsberechtigungen vor


Zusammenfassung


Die Produkte und Services, die wir nutzen, sind heute weltweit auf unzählige Netzwerke verteilt, die sich unserer direkten Kontrolle entziehen. Die Entwickler dieser Produkte und Services bieten Kontrollen an, um sicherzustellen, dass Ihre Daten sicher sind. Die Branche stellt Muster für Best Practice bereit. Aber Ihre Anbieter können nicht alles für Sie erledigen. Wir hoffen, dass dieser Beitrag einige hilfreiche Schritte aufgezeigt hat, die Sie unternehmen können, um die Effektivität dieser Kontrollen zu maximieren, damit Ihre Kunden, Benutzer, Mitarbeitende und Systeme geschützt bleiben .

In diesem Webinar erhalten Sie weitere Einblicke in die Security-Infrastruktur. 

Dave Farrow

Dave Farrow ist Senior Director im Bereich Informationssicherheit bei Barracuda Networks, Inc. Er ist verantwortlich für die Leitung und Steuerung der Sicherheitsstrategie im gesamten Unternehmen, um die digitalen Ressourcen des Unternehmens zu schützen und die Investitionen im Bereich Informationssicherheit zu koordinieren und zu priorisieren. Darüber hinaus leitet er die Aktivitäten des Unternehmens zur Evaluierung, Identifizierung und Berichterstattung im Bereich Informationsschutz und Sicherheitsrisiken und trägt damit zur Eliminierung, Handhabung und Minderung dieser Risiken bei. Farrow hat einen Bachelor of Science in Elektrotechnik und Informatik von der University of California, Berkeley.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
 Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.