Hacker glauben, dass weder Nutzerkonten noch Passwörter vor ihnen sicher sind. Sie geben aber zu, dass ihnen diese fünf Sicherheitsmaßnahmen das kriminelle Leben sehr viel schwerer machen.
Auf der Black Hat in Las Vegas befragte Thycotic, Anbieter für Privileged-Account-Management-Lösungen, mehr als 250 Konferenzteilnehmer, die sich selbst als Hacker bezeichneten. 48 Prozent der Befragten sehen sich als "White Hats", also als gutartige Hacker, die Sicherheitslücken aufdecken, damit Programme und Netze sicherer werden. 15 Prozent sagten, sie seien als kriminelle "Black Hats" unterwegs. Der Rest gab sich als "Grey Hat" aus, als jemand, der etwas Illegales tut, aber mit einer positiven Intention - Grey Hats verkaufen beispielsweise häufig Zero-Day-Schwachstellen an Regierungsbehörden - seien es Geheimdienste, Strafverfolger oder das Militär.
Neben ihrer Selbsteinschätzung wurden die Umfrageteilnehmer gebeten, fünf entscheidende Security-Maßnahmen ihrem Nutzen nach zu ordnen - und siehe da: Trotz ihrer unterschiedlichen Motivlagen waren sich die Hacker weitgehend einig, was die Abwehrtauglichkeit der Security-Mittel angeht.
Wer seine Passwörter und Zugänge gut sichert, verärgert die Hacker. Foto: Bolkins - www.shuterstock.com
Den Zugang zu Systemen einschränken
Der erste Schritt, um ein Unternehmensnetz abzusichern, führt zwangsläufig über die privilegierten Zugänge. Solche Accounts mit erweiterten Rechten sind "die Schlüssel zum Königreich" und entsprechend das Top-Angriffsziel für jeden Angreifer, der Zutritt zum internen Netz samt "freier Fahrt" darin sucht. "Als erstes versuchen die Hacker, mit allen Mitteln einen Fuß in das Netzwork zu bekommen - oft, indem sie den Rechner eines Endanwenders unterwandern", heißt es im Thycotic-Report. Durch die Kompromittierung eines privilegierten Accounts erweiterten sie dann ihre Zugriffsrechte und könnten sich als vertrauenswürdigerIT-Administrator frei im Netz bewegen.
Was können Unternehmen dagegen tun? Sie sollten besondere Privilegien fallabhängig machen - und immer nur dann einräumen, wenn sie gerade erwiesenermaßen notwendig sind (Least-Privilege-Prinzip). Dadurch schwinden die Chancen für Angreifer, über solche Zugänge ein komplettes Netzwerk zu infiltrieren. "Least Privilege auf den Clients der Endanwender lässt sich erzwingen, indem alle User mit einem Standardprofil unterwegs sind und nur bei der Ausführung vorher geprüfter Anwendungen automatisch erweiterte Rechte zugewiesen bekommen", schreibt Thycotic. Die Accounts von IT-Admins sollten gesondert kontrolliert werden - zudem sei die Implementierung einer Superuser-Berechtigungsverwaltung für Windows- und Unix-Systeme ratsam, um die unerlaubte Ausführung von Schadcode sowie Fernsteuerungssoftware zu verhindern.
Die Administratoren selbst sollten ihre Zugänge mit den erweiterten Rechten nur nutzen, wenn sie sie auch tatsächlich benötigen - in allen anderen Fällen fahren auch sie mit Standardzugängen sicherer.
Die Nutzernamen der Hacker
Platz 1: administrator Der einfache "administrator" kommt in viele Systeme hinein ...
Platz 3: user1 Und sollte der Administrator nichts helfen, bleiben immer noch der einfache Nutzer...
Platz 4: admin ... und die Kurzform des Administrators.
Platz 5: alex Alexander der Große hätte vielleicht seine Freude gehabt - genau wie bei den Hacker-Passwörten ist "alex" auch bei den Nutzernamen vorne mit dabei.
Platz 6: pos Weil sich viele der Angriffe auf Point-of-Sale-Systeme (PoS) beziehen, kann man es ja mal versuchen ...
Platz 7: demo Vielleicht existiert ja so etwas wie ein Musterzugang zu Demonstrationszwecken ...
Platz 8: db2admin Der DB2 Administration Server der IBM lässt sich mit diesem Kommando verwalten. Kein Wunder also, dass dieser Nutzername in sämtlichen Hacker-Datenbanken auftaucht.
Platz 9: Admin Wie gehabt.
Platz 10: sql SQL ist eine Datenbanksprache unter anderem zum Bearbeiten von Datenbeständen. Viele Webserver arbeiten damit - also durchaus verständlich, warum dies auch ein beliebter Nutzername ist.
Die Passwörter zu privilegierten Zugängen schützen
Nicht nur Menschen nutzen Accounts mit besonderen Rechten - auch Maschinen können privilegierte Zugänge besitzen. In der Regel verwalten Unternehmen zwei- bis dreimal so viele dieser Zugänge wie sie Mitarbeiter beschäftigen. Joseph Carson, CISSP und Head of Global Alliances bei Thycotic, berichet, dass jedes integrierte System mit einem Standardkonto ausgeliefert und mit erweiterten Wartungs-Zugängen verbunden wird.
Auch jede eingesetzte virtuelle Maschine (VM) bekommt Privilegien zugewiesen, die selbst dann nicht auslaufen, wenn das System, auf dem die VM ihren Dienst verrichtet, abgeschaltet wird. Eine VM, die geklont wird, klont auch die Privilegien mit. Daraus folgt, dass sich Unternehmen sehr häufig mit einer unübersehbar großen Zahl von privilegierten Zugängen in ihrer IT-Landschaft konfrontiert sehen.
Im Report heißt es: "Wenn sie privilegierte Zugänge unterwandern können, sind Hacker in der Lage, sensible Unternehmensdaten abzugreifen und zu verfälschen, Malware zu distribuieren, bestehende Sicherheitsmaßnahmen zu umgehen und alle ihre Spuren zu verwischen, damit ein späterer forensischer Audit ins Leere führt." Wichtig seien deshalb die vorausschauende Verwaltung, Überwachung und Kontrolle privilegierter Zugänge.
Doch damit nicht genug: Viele Firmen verlassen sich auf manuell bedienbare Systeme wie beispielsweise Tabellenkalkulationen, wenn es um die Verwaltung von Passwörtern zu privilegierten Accounts geht. Das ist nicht nur ineffizient, sondern auch gefährlich, weil diese Programme leicht gehackt werden können. Besser sei es laut Thycotic, auf spezialisierte Privileged-Account-Management-Software zu setzen, die privilegierte Passwörter abspeichert, ihre Änderungen automatisiert und sämtliche Login-Vorgänge überwacht.
Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline? Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Das Security-Awareness-Training ausbauen
Die meisten Sicherheits-Experten sind der Meinung, dass die Menschen das schwächste Glied in der Security-Kette eines Unternehmens sind. "Je mehr ausgefeilte Social-Engineering- und Phishing-Angriffe stattfinden, desto wichtiger ist es, dass Unternehmen ihre IT-Security-Awareness-Programme ausbauen. Sie sollten mehr sein als einfach Online-Fragebögen oder die Unterschrift unter die geltenden Policies", schreibt Thycotic. Gerade die steigende Verbreitung mobiler Geräte sollte mit einem Mitarbeitertraining für sicherheitsbewusstes Verhalten einhergehen.
Steve Durbin, Managing Director des Information Security Forum (ISF) meint sogar, dass Awareness-Programme Mitarbeiter vom schwächsten Glied zur ersten Reihe der Verteidigungsstrategie verwandeln kann: "Das Problem ist vielleicht eher der Prozess oder das IT-System, für das die die Mitarbeiter geschult werden sollen. Häufig ist das Ganze zu kompliziert, sodass auch keine Awareness entstehen kann. Fragen Sie sich daher selbst: Wenn wir komplett neu beginnen würden, wie würden wir die IT-Security dann einbauen, damit sich die Mitarbeiter besser damit zurechtfinden?"
An dieser Stelle muss erwähnt werden, dass die befragten White Hats größere Befürworter von Security-Awareness-Trainings sind als die kriminellen Black Hats. "Interessanterweise haben sowohl gute als auch kriminelle Hacker alle aufgeführten Security-Maßnahmen als wichtig erachtet - mit einer Ausnahme: Black Hats glauben nicht so stark an Mitarbeiter-Trainings", resümiert Carson. Das könnte damit zusammenhängen, dass Black Hats die Menschen tendenziell als unvorhersehbarer und damit schwächer in Bezug auf ihr Security-Verhalten einschätzen als technische Lösungen.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Die Zahl unbekannter Anwendungen einschränken
Sie können nicht etwas schützen, von dessen Existenz Sie nichts wissen. Sie müssen wissen, welche Anwendungen in Ihrem Netzwerk laufen dürfen und sicherstellen, dass deren Passwörter geschützt sind. "Die Zugänge zu Anwendungen müssen inventarisiert werden und mit strengen Richtlinien für Passwortstärke, Zugriffsrechte und Passwortwechsel versehen werden", steht dazu im Thycotic-Bericht. Ein zentralisiertes Management und Reporting dieser Accounts sei essenziell, um kritische Assets schützen zu können.
Nutzer-Passwörter durch Best Practices schützen
Zu guter Letzt geht es nicht nur um die privilegierten Zugänge, die es Angreifern ermöglichen, kritische Daten abzugreifen. Auch die Accounts der "normalen" Endbenutzer sind ein Einfallstor - mehr als drei Viertel der auf der Black Hat befragten Hacker gehen davon aus, dass kein Passwort sicher ist.
"Die Passwörter der Nutzer zu schützen, ist für die befragten Hacker von allen abgefragten Security-Maßnahmen die unbedeutendste. Für viele ist das aber auch eine gute Nachricht - denn bevor Unmengen an Energie darin gesteckt wird, dass die Mitarbeiter ihr Verhalten ändern und regelmäßig ihre Passwörter wechseln, können Unternehmen besser in die Anpassung ihrer Prozesse investieren", meint Carson.
Wer dennoch die Passwörter der Endbenutzer absichern möchte, sollte das Ganze so automatisiert wie möglich ablaufen lassen - die Passwortstärke, das Zurücksetzen und die regelmäßige Änderung des Passworts sollten durch eine Security-Policy gesteuert und so einfach wie möglich gestaltet werden, ohne das immer sofort der IT-Helpdesk einspringen muss.
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CIO.com.
Die Passwörter der Hacker
Platz 1: x Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen.
Platz 2: Zz Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend.
Platz 3: Start123 Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld.
Platz 4: 1 Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4.
Platz 5: P@ssw0rd Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation...
Platz 6: bl4ck4ndwhite "It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung.
Platz 7: admin Der Klassiker darf natürlich nicht fehlen.
Platz 8: alex Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex...
Platz 9: ....... Über sieben Punkte musst du gehen...
Platz 10: administrator ... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.