Einmal geknackt - vielfach genutzt

Warum geleakte Login-Daten auch für Ihr Unternehmen gefährlich sind

Daniel Voss unterstützt seit 2001 Unternehmen in ganz Europa, Cybersicherheit aufzubauen und sich so vor potenziellen Bedrohungen zu schützen. Ein Schwerpunkt liegt dabei auf der Vermittlung von neuen Threat Intelligence Services sowie der digitalen Transformation, SaaS und Cloud. Bei Digital Shadows ist Voss im Enterprise Business Development Europe tätig.
Es vergeht keine Woche ohne Berichte über Daten-Leaks und gehackte Konten. Kein Unternehmen und keine Branche scheint vor den Angriffen der Hacker gefeit. Doch auch wenn Sie selbst nicht betroffen sind, können geleakte Login-Daten Ihrem Unternehmen gefährlich werden.

Viele Hacker haben sich mittlerweile auf den lukratven Finanzsektor spezialisiert. Bestes Beispiel dafür ist die Gruppe "Bozkurt Hackers", die 2016 rund 10 GB kompromittierter Authentifizierungsdaten einer Investmentbank in Sharjah (Vereinigte Arabische Emirate) veröffentlichte. Sechs weitere Banken wurden Opfer der Datenhacks darunter Banken in Nepal, Bangladesh und die Commercial Bank of Ceylon.

Hacker haben es immer häufiger auf Banken abgesehen.
Hacker haben es immer häufiger auf Banken abgesehen.
Foto: welcomia - shutterstock.com

Datenleaks betreffen jeden

Bei den Angriffen handelte es sich um direkte Attacken. Finanzdienstleister, Versicherungen und Banken können aber auch über Umwege angegriffen werden - selbst wenn der Datenhack zunächst "nur" ein anderes Unternehmen betrifft. Denn Hacker nutzen die Kombination aus E-Mail und Passwort als Ausgangsbasis, um andere Konten zu hacken. Schließloch könnte Passwort für das privaten Mail-Konto mit dem für den Unternehmens-Account, für ein E-Banking-Portal oder einen Online-Versicherungsservices übereinstimmen.

Die Trefferzahl ist hier erstaunlich groß, denn nach wie vor vergeben Anwender viel zu oft das gleiche Passwort für unterschiedliche Dienste – sowohl privat als auch in Unternehmen. Mehr als eine halbe Million der online veröffentlichten und zum Kauf angebotenen Login-Daten betreffen den Finanzsektor. Großbanken und regionale Banken sind besonders betroffen.

Quellen geleakter Login-Daten

Doch woher stammen diese Daten? Eine wahre Goldgrube finden Hacker bei Angriffen auf Social-Media-Plattformen. Von Datenhacks auf LinkedIn oder MySpace stammen insgesamt 71 Prozent der geleakten Daten, aus dem Angriff auf Adobe ganze 19 Prozent. Selbst Dating-Sites stehen als originäre Quelle weit oben auf der Liste. Die dort gestohlenen Daten betreffen unternehmenseigene Logins, was bedeutet, dass Mitarbeiter sich über ihre Firmenkonten auf den betreffenden Seiten registrierten. Über diese personenbezogenen Daten (PII) lassen sich Nutzer nicht nur genau identifizieren, sie werden auch erpressbar.

Für Hacker bieten sich die unterschiedlichsten Wege, um gestohlene Zugangsdaten zu recyceln. Neben Spear-Phishing und Kontoübernahmen, gehören dazu auch Botnets und Credential Stuffing. Um solche Folge-Angriffe erfolgreich abzuwehren sind Vorsichtsmaßnahmen notwendig.

Bewusstsein schärfen

Der größte Un-Sicherheitsfaktor für Unternehmen sind und bleiben die Mitarbeiter. Nutzer müssen ein Bewusstsein für Sicherheitsrisiken und Bedrohungen des Internets entwickeln. Klare interne Richtlinien alleine (zum Beispiel für BYOD oder externe Services) reichen hier nicht aus. Unternehmen müssen auch deren Einhaltung sicherstellen. Das Surfen auf Social-Media-Plattformen sowie Dating- und Gaming-Websites über den Firmenserver oder gar den Firmen-Account gehört ganz oben auf die rote Liste.

Mehr und mehr Unternehmen führen regelmäßige Schulungen durch, die Mitarbeiter über Risiken aufklären und ihnen Möglichkeiten zur Verbesserung der Sicherheit vorschlagen. Dazu zählen Passwort-Management-Tools wie 1Password oder LastPass sowohl für unternehmenseigene als auch für private Accounts.

Absichern, Verschlüsseln, Verwalten

Das sichere Passwort-Management ist und bleibt entscheidend. Komplexe und nicht nachvollziehbare Passwörter lassen sich über eine kryptologische Hashfunktion erstellen und sollten in regelmäßigen Abständen geändert werden. Grundregel Nummer 1: Nie das gleiche Passwort für verschiedene Dienste verwenden. Sicherer ist es die unterschiedlichen Passwörter in einem Encrypted Vault zu speichern und zu verwalten. Idealerweise sollten Anwender zudem ein Zwei- und Drei-Faktor-Authentisierungs-Verfahren verwenden.

In Unternehmen sind zusätzliche Sicherheitsmaßnahmen nötig, sowohl für interne Storage- und Filesharing-Lösungen als auch für externe, genehmigte Services. Genau Richtlinien für das Zurücksetzen von Passwörtern sowie vorab definierte und etablierte Maßnahmenpläne sind hier entscheidend – nicht nur bei Microsoft-Active-Directory-Accounts, sondern wirklich bei allen Nutzerkonten.

Weiterbilden für die Digitalisierung! - Foto: agsandrew/shutterstock.com

Weiterbilden für die Digitalisierung!

Voraussetzung dafür ist ein genauer Überblick über alle intern genutzten Services, der zeigt, welche Anwendungen im Ernstfall nur ungenügend oder zu langsam reagieren. Bei externen Services ist ein mehrstufiger Authentifizierungsprozess nötig (zum Beispiel Microsoft Outlook Web Access, Secure Sockets Layer Virtual Private Networks (SSL-VPNs), SaaS-Services sowie Google-Anwendungen, Office365 und Salesforce).

Augen offen halten

Unternehmen müssen wissen, welchem Sicherheitsrisiko sie ausgesetzt sind. Deshalb lohnt es sich bekannte Daten-Hacks weltweit im Auge zu behalten. Nur die interne und externe Analyse von Credential Dumps zeigt, ob es sich bei den geleakten Login-Daten um Duplikate vorausgegangener Datenleaks handelt und welche Relevanz sie für das Unternehmen bedeuten.

Klarheit darüber schafft ein Abgleich der kompromittierten Zugangsdaten mit im Unternehmen genutzten Daten. Allerdings sind dazu Lösungen nötig, die eine Analyse des Nutzerverhaltens in Unternehmen ermöglichen.

Unternehmen haben zwar keine Möglichkeit Datenleaks anderer Firmen zu verhindern. Sie können aber Maßnahmen treffen, um die Folgen für das eigene Unternehmen abzuschwächen. Ein klares Verständnis der Gefahren und agierenden Hackergruppen schafft eine umfassende Cyber Situational Awareness, die besser auf den Ernstfall vorbereitet. (haf)