Bedrohungen durch identitätsbasierte Angriffe nehmen aktuell stark zu und entwickeln sich ständig weiter. Zur Verbesserung ihrer Sicherheitslage müssen insbesondere Mittelstandsunternehmen wirksame Maßnahmen für eine höhere Identitätssicherheit einleiten.
Digitale Identitäten sind mittlerweile das Hauptziel von Angreifern, um sensible Systeme kompromittieren und Informationen abgreifen zu können. Die koordinierten Angriffe auf Okta-Kunden im Herbst 2023 zeigen beispielhaft, wie gefährlich identitätsbasierte Angriffe auf Firmennetze sind. Durch Kompromittierung eines Okta-Kontos als Identity Provider (IdP) verschafften sich Angreifer einen breiten Zugriff auf Ressourcen und Services. So konnten die Bedrohungsakteure unterschiedliche Sicherheitskontrollen umgehen, um Super-Admin-Konten unter ihre Kontrolle zu bringen und eine dauerhafte Hintertür in IT-Systemen einzurichten.
Auch die Midnight-Blizzard-Angriffe auf E-Mail-Systeme von Microsoft veranschaulichen, welche Folgen die Kompromittierung unbeaufsichtigter Benutzerkonten auf das Gesamtunternehmen haben kann. In diesem Fall hatten die Bedrohungsakteure ein altes Testmandantenkonto erfolgreich kompromittiert und kaperten dann schrittweise weitere Microsoft-Konten – einschließlich der Konten von Führungskräften und Accounts aus der Rechts- und Sicherheitsabteilung sowie anderer Unternehmensbereiche. Identitätsbezogene Attacken entziehen sich oft der Erkennung, da die Identitätsinfrastruktur im Regelfall nur begrenzt überwacht wird. Mit höheren Zugriffsrechten können sich Hacker seitwärts im Unternehmensnetz bewegen – die Missbrauchsmöglichkeiten mit geraubten digitalen Identitäten sind grenzenlos.
Mittelständische und Familienunternehmen sehen sich vergleichbaren Cyberattacken ausgesetzt, deren Zahl insgesamt stark zugenommen hat. Das dokumentiert unter anderem die Deloitte-Studie "Cyber Security im Mittelstand", die ein größeres Problembewusstsein und höhere IT-Sicherheitsstandards einfordert. Die Autoren konstatieren, dass die Vorbereitungsmaßnahmen der angegriffenen Unternehmen hinsichtlich Intensität und Umfang sehr unterschiedlich ausfallen. Der größte Handlungsbedarf liege demnach bei der Erkennung von Attacken, um auftretende Anomalien schnell analysieren zu können und angemessen auf Cyberangriffe reagieren zu können.
Ohne präventive und reaktive Vorbereitungsmaßnahmen lassen sich Cyberangriffe nur sehr schwer bewältigen. Als Reaktion auf das wachsende Risiko durch identitätsbasierte Attacken hat sich deshalb Identity Threat Detection and Response (ITDR) zu einem entscheidenden Bestandteil einer umfassenden Cybersicherheitsstrategie entwickelt. Durch den Schutz digitaler Identitäten hilft ITDR den Unternehmen, sich zielgerichtet gegen unterschiedlichste Bedrohungen wie Diebstahl von Anmeldeinformationen, Kontenübernahmen oder Insider-Bedrohungen abzusichern.
Digitale Identitäten sind der neue Perimeter
Das Analystenhaus Kuppingercole definiert Lösungen für Identity Threat Detection and Response als "Sicherheitslösungen, die entwickelt wurden, um identitätsbezogene Bedrohungen und Schwachstellen in der IT-Umgebung eines Unternehmens proaktiv zu erkennen, zu untersuchen und darauf zu reagieren. ITDR-Lösungen konzentrieren sich auf den Schutz digitaler Identitäten und Infrastrukturen vor einer Vielzahl von Angriffen durch Bedrohungsakteure."
Robuste Sicherheit gibt es nur bei umfassender Kontrolle digitaler Identitäten, auf denen alles im IT-Umfeld eines Unternehmens basiert. Identitätssicherheit ist der Schlüssel, um kontrollieren zu können, welche Konten über welche Software- und Datenzugriffsrechte verfügen (müssen), um verschiedene Geräte und IT-Assets steuern zu können. Identitätsbezogene Bedrohungen werden immer ausgefeilter und komplexer, so dass die Identitätssicherheit in den Mittelpunkt der Sicherheitslage rückt.
Klassische Perimetersicherheit reicht beim Schutz moderner Arbeitsumgebungen längst nicht mehr aus. Zur Erfüllung ihrer Aufgaben greifen Mitarbeiter mittlerweile ortsunabhängig auf IT-Ressourcen zu. Abgeschottete Unternehmensnetzwerke mit beschränktem Zugriff gibt es nicht mehr. Innerhalb von Cloud-, Software-as-a-Service- (SaaS) und Remote-Arbeitsstrukturen sind digitale Identitäten der neue Perimeter – mit entsprechend hohem Risiko.
Der einfachste Weg für Bedrohungsakteure besteht darin, sich mit kompromittieren Identitäten unberechtigten Zugriff auf geschäftliche Ressourcen zu verschaffen. Der Raub von Zugangsdaten erfolgt beispielsweise durch Social Engineering oder Datenlecks. Statt aufwendiger Hackerangriffe loggen sich Unbefugte einfach mit gekaperten Konten ein. Solche Aktivitäten sind schwer erkennbar, was wiederum ausreichend Zeit und Raum für Seitwärtsbewegungen in Unternehmensumgebungen verschafft.
Wichtig ist eine klare Sicht auf alle Vorgänge
Ein identitätsbasierter Angriff auf die Lieferkette kann den Geschäftsbetrieb unterbrechen und Produktionsprozesse insgesamt gefährden. Die größte Gefahr droht, wenn eine identitätsbasierte Sicherheitsverletzung über einen längeren Zeitraum unentdeckt bleibt. Das kann massive Datenverluste, das potenzielle Einschleusen von Malware und weitere Gefahren nach sich ziehen. Sicherheitsverantwortlichen stellt sich also die Frage, wer Zugriff auf sensible Informationen hat und wie sich kontenbezogene Aktivitäten überprüfen und beschränken lassen.
Nach dem Prinzip der geringsten Rechte (Principle of Least Privilege) verfügen Mitarbeiter nur über diejenigen Rechte, die sie auch tatsächlich zur Erfüllung ihrer Aufgaben benötigen. Kontenberechtigungen, die nur für eine ganz spezifische Aufgabe gewährt wurden, sind häufig unbeschränkt verfügbar. Werden sie nicht entfernt, stellen sie ein dauerhaftes und unbemerktes Risiko im Unternehmen dar – insbesondere wenn es sich um Accounts mit hohen Berechtigungen handelt. Für alle Identitäten und dazugehörigen Konten ist also eine genaue Zuordnung und Überwachung der privilegierten Rollen die sicherheitstechnische Basis.
Unbeobachtete oder versteckte Wege zu Privilegien sind insbesondere in hybriden Umgebungen die größte Bedrohung, wenn Benutzer mehrere Konten und Systeme einsetzen. Eine klare Sicht auf alle Vorgänge in Unternehmensumgebungen ist daher genauso wichtig wie die Beschränkung der zugewiesenen Berechtigungen. Benutzerprivilegien müssen im Blick behalten werden, um sie proaktiv einschränken oder im Bedarfsfall temporär erhöhen zu können. Eine kontinuierliche Kontrolle von Benutzeraktivitäten stellt sicher, dass alle Berechtigungen und Zugriffe der Mitarbeiter überwacht sowie analysiert und ungewöhnliche Aktivitäten schnell erkannt werden. Auf diese Weise wird gewährleistet, dass Ressourcen nicht heimlich genutzt oder Privilegien von Unbefugten verwendet werden.
Identitätssicherheit in modernen Umgebungen erfordert den Schutz von Konten und zugeordneten Privilegien im Unternehmen. Das beinhaltet die Verwaltung von Berechtigungen einer Organisation und die aktive Überprüfung, ob das Least-Privilege-Konzept auf jede Identität und jedes Konto angewendet wird. Mit diesen Best-Practice-Maßnahmen lassen sich die skizzierten Risiken durch Malware, Ransomware und kontenbasierte Seitwärtsbewegungen in IT-Umgebungen verringern und die Cyberabwehr gegen Bedrohungsakteure stärken.