Typische Cloud-Bedrohungen:
Diebstahl von Anmeldedaten

David Puzas - September 6, 2023

Was ist der Diebstahl von Anmeldedaten?

Beim Diebstahl von Anmeldedaten werden personenbezogene Daten wie Benutzernamen, Kennwörter und Finanzinformationen gestohlen, um Zugriff auf ein Online-Konto oder -System zu erlangen. Es handelt sich um eine Form des Identitätsdiebstahls, bei der Schadsoftware oder Phishing-Techniken zum Einsatz kommen können.

In Cloud-Umgebungen ist Identität der neue Perimeter. Bedrohungsakteure sind sich dessen bewusst und greifen gezielt Anmeldedaten an, um Cloud-Umgebungen zu kompromittieren und Unternehmensdaten zu stehlen. Die Kontrolle des Zugriffs auf Cloud-Workloads und -Services ist ein entscheidender Aspekt der Cloud-Sicherheit, und Unternehmen müssen der Verhinderung des Diebstahls von Anmeldedaten Priorität einräumen, um den Zugriff auf Cloud-Ressourcen zu sichern.

Wenn Angreifer Anmeldedaten erbeutet haben, können sie damit Kontobesitzer imitieren und sich als legitime Benutzer ausgeben (z. B. Mitarbeiter, Auftragnehmer, Service Accounts oder Drittanbieter). Da der Angreifer wie ein legitimer Benutzer wirkt, ist diese Art von Angriff besonders schwer zu erkennen. Bedrohungsakteure können den erbeuteten Zugriff ausnutzen, um tiefer in die Umgebung des Zielunternehmens einzudringen.

Häufige Ursachen für den Diebstahl von Anmeldedaten

1. Malware

Schadprogramme können die Geräte von Benutzern infizieren und Anmeldedaten stehlen. Zur Installation der Malware auf den Geräten argloser Benutzer werden Techniken wie Drive-by-Downloads und Social Engineering eingesetzt.

2. Phishing

Bei Phishing-Angriffen wird häufig das Vertrauen in beliebte Marken ausgenutzt, um die Opfer dazu zu bewegen, ihre Anmeldedaten preiszugeben. In der Regel werden Benutzer durch eine ansprechende E-Mail auf eine schädliche Website gelockt, wo sie zur Eingabe ihrer Anmeldedaten aufgefordert werden.

3. Schwache Kennwörter oder Wiederverwendung von Kennwörtern

Angreifer machen sich unzulängliche Kennwortrichtlinien zunutze, um Zugriff auf Systeme, Anwendungen und Daten zu erlangen. Schwache Kennwörter lassen sich leichter knacken, und bei wiederverwendeten Kennwörtern ist das Risiko größer, dass ein einziges gestohlenes Kennwort eine größere Kompromittierung nach sich zieht.

4. Laterale Bewegungen infolge von Angriffen auf Cloud-Services

Bedrohungsakteure können sich durch Angriffe auf die Cloud-Umgebung Zugriff auf lokale Systeme und Ressourcen verschaffen. Dabei können sie durch Konten mit übermäßigen Zugriffsberechtigungen ihre Reichweite innerhalb der IT-Infrastruktur des Opfers ausbauen.

5. MITM-Angriffe (Man-in-the-Middle)

Zu diesen Angriffen kommt es, wenn es einem Bedrohungsakteur gelingt, die Kommunikation zwischen zwei Parteien abzufangen und weiterzuleiten. Für die Betroffenen sieht es aus, als würden sie miteinander kommunizieren. Bei MITM-Angriffen stehlen Angreifer die Anmeldedaten und verschaffen sich Einblick in die Kommunikation.

WEITERE INFORMATIONEN

Eine umfassende Cloud-Sicherheitsstrategie muss in Ihrem Unternehmen Risiken minimieren, vor Bedrohungen schützen und Herausforderungen bewältigen, sodass Sie die Cloud für sicheres Wachstum nutzen können. 9 Herausforderungen, Risiken und Bedrohungen rund um die Cloud-Sicherheit

Beispiel für einen Angriff zum Diebstahl der Anmeldedaten

Im Zeitalter von Remote-Arbeit und Cloud-Computing hat sich der Diebstahl von Anmeldedaten nicht nur zu einer gängigen Taktik für den Erstzugang entwickelt. Er ermöglicht es den Bedrohungsakteuren auch, sich im kompromittierten Netzwerk umzusehen, wenn sie einmal drin sind.

Bedrohungsakteure hosten häufig gefälschte Authentifizierungsseiten, um an legitime Anmeldedaten für Cloud-Services wie Microsoft Office 365 (O365), Okta oder Webmail-Konten zu gelangen. Anschließend nutzen sie diese Anmeldedaten für den Zugriff auf die Konten der Opfer.

Auch der Zugriff auf in der Cloud gehostete E-Mail- oder Dateihosting-Services kann für Spionage und Informationsdiebstahl genutzt werden. Im April 2021 beobachtete CrowdStrike den Bedrohungsakteur COSMIC WOLF (der Türkei zugeordnet) dabei, wie er die in der Umgebung eines großen Cloud-Service-Anbieters (CSP) gespeicherten Daten angriff. Der Akteur kompromittierte die Umgebung mithilfe gestohlener Anmeldedaten, die das Interagieren mit dem CSP per Befehlszeile erlaubten. Mithilfe dieser Technik konnte COSMIC WOLF die Gruppensicherheitseinstellungen ändern und direkte SSH-Zugriffe von schädlicher Infrastruktur aus zulassen.

Maßnahmen zur Verhinderung des Diebstahls von Anmeldedaten

1. Multifaktor-Authentifizierung (MFA) aktivieren und erzwingen

Bei der MFA wird die Identität des Benutzers anhand von zwei oder mehr eindeutigen Merkmalen bestätigt und authentifiziert, bevor der angeforderte Zugriff gewährt wird. MFA-Techniken erschweren Angreifern den Zugang, weil sie Anwendungen und Systeme nicht mit einem einzigen Kennwort kompromittieren können.

2. Cybersicherheitsschulungen zum Thema Phishing durchführen

Wissen ist Macht. Benutzer, die in Schulungen lernen, wie sie Phishing- und Social-Engineering-Angriffe erkennen können, fungieren als wichtige zusätzliche Ebene zum Schutz der IT-Umgebung eines Unternehmens.

3. Gute Kennworthygiene betreiben

Starke Kennwörter sind für Angreifer schwieriger zu knacken. Kennwörter müssen regelmäßig geändert und dürfen nicht an andere Benutzer weitergegeben werden. Darüber hinaus sollten Benutzer dasselbe Kennwort nicht für mehrere Websites oder Services nutzen.

4. Eine CIEM-Lösung (Cloud Infrastructure Entitlement Management) nutzen

CIEM-Lösungen unterstützen Unternehmen bei der Verwaltung der Berechtigungen für all ihre Cloud-Infrastruktur-Ressourcen. Tools wie CrowdStrike Falcon Cloud Security™, die CIEM-Funktionen bieten, sollen vor allem die Risiken minimieren, die durch die unabsichtliche und ungeprüfte Erteilung übermäßiger Zugriffsrechte auf Cloud-Ressourcen entstehen. Durch Entfernen unnötiger Zugriffsrechte können Unternehmen die Bedrohung verringern, die mit einem kompromittierten Konto verbunden ist.

5. Zugriffsberechtigungen für alle Benutzer und Geräte korrekt festlegen

Es ist wichtig, dass Unternehmen wissen, welche Zugriffsberechtigungen jeweils für Benutzer und Geräte gelten. Konten, die für den Zugriff auf sensible Systeme, Daten und Anwendungen genutzt werden können, müssen sorgfältig verwaltet werden. Nur so lassen sich die Sicherheits- und Compliance-Anforderungen moderner Unternehmen erfüllen.

Cloud Risk Report 2023

Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.

Jetzt herunterladen

INFORMATIONEN ZUM AUTOR

David Puzas hat sich in mehr als zwei Jahrzehnten als Marketing-Spezialist und Führungskraft auf dem Gebiet der Cybersicherheits-, Cloud- und IT-Services bewährt. Dabei legte er sein Hauptaugenmerk stets auf die Steigerung des Mehrwerts für Kunden und auf innovative Ergebnisse für Firmen wie CrowdStrike, Dell SecureWorks sowie IBM-Kunden weltweit. Besonders am Herzen liegen ihm die Optimierung von Computing-Innovationen, Trends und ihre geschäftlichen Auswirkungen auf die Marktexpansion und das Wachstum.