Identity-Threat-Detection and -Response (ITDR) : ID-Gefahren behandeln : Bedrohungen durch digitale Identitäten erfordern spezielle Gegenmaßnahmen
Eine zuverlässige Nutzeridentifizierung ist ein wesentlicher Faktor digitaler Kommunikationssicherheit – Anzahl und Einsatz digitaler Identitäten steigen derzeit sprunghaft an. Die hieraus entstehende neue Bedrohungslage erfordert angepasste Maßnahmen zum Erkennen und zur Abwehr spezifischer Bedrohungen.
Die Zahl digitaler Identitäten wächst: Eine steigende Nutzung der Cloud, zunehmende Software-Automatisierung, die Verbreitung von maschinellen Konten und neue Remote-Work-Strukturen tragen zu ihrer breiten Verwendung und Verteilung bei. In dem Maße, wie Authentifizierungsprozesse für unterschiedliche Anwendungsfälle erforderlich sind, verändert sich auch die Dynamik des Identitätsmanagements. Identitätsprüfungen erfolgen zwar weiterhin primär über Benutzername und zugehöriges Passwort, aber Chipkarten, Token, Authenticator-Apps oder biometrische Daten werden ebenfalls nicht selten zur Nutzerverifizierung herangezogen. Der Einsatz unterschiedlicher IT-Systeme zum Identitätsmanagement erschwert jedoch die Erkennung, welche Benutzer zu welchen Zeiten ein Risiko für die Sicherheit eines Unternehmens darstellen können.
Organisationen sind in diesem Umfeld auf eine hohe Cyber-Resilienz angewiesen und benötigen die Fähigkeit zur rechtzeitigen und angemessenen Reaktion auf Attacken. Gartner kennzeichnet diesen Trend mit dem Begriff „Identity-Threat-Detection and -Response“ (ITDR, [1]), der Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammenfasst. Somit konzentriert sich ITDR auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen und Berechtigungskonten sowie anderer identitätsbezogener Bedrohungen.
Verschärfte Sicherheitslage
In der Marktstudie „2023 Trends in Securing Digital Identities“ [2] gaben 98 % der befragten Identitäts- und Sicherheitsexperten an, dass die Zahl der maschinellen und menschlichen Identitäten in ihren Unternehmen zunimmt. Mit der steigenden Anzahl und Komplexität personenbezogener und maschineller Identitäten erhöhen sich auch die Sicherheitsverstöße: Den vorgelegten Daten zufolge waren 90 % der Organisationen im vergangenen Jahr von mindestens einer identitätsbasierten Sicherheitsverletzung betroffen. Dies entspricht einer Steigerung von 7,1 % gegenüber den Vorjahreszahlen.
Die geschäftlichen und finanziellen Folgen einer identitätsbezogenen Sicherheitsverletzung spürten 68 % der betroffenen Unternehmen direkt. Negative Auswirkungen reichten von der kostenintensiven Wiederherstellung von IT-Systemen im regulären Geschäftsbetrieb bis hin zu nicht bezifferbaren Konsequenzen wie einer Rufschädigung.
Mehr digitale Identitäten
Die im Auftrag der Branchenallianz „Identity Defined Security Alliance“ (IDSA) erstellte Studie greift mehrere Trends auf, welche die Sicherheitslandschaft momentan prägen: Als Gründe für den Zuwachs digitaler Identitäten benennt sie Faktoren wie die Einführung neuer Cloud-Anwendungen (52 %), einen wachsenden Einsatz von Remote-Work (50 %), eine erhöhte Nutzung mobiler Geräte (44 %) sowie mehr Geschäftsbeziehungen zu Drittanbietern (41 %).
Eine statistische Auswertung der Zahlen belegt, dass es einen direkten Zusammenhang gibt zwischen der Anzahl der Verfahren, die für den Betrieb von Unternehmen erforderlich sind, und der Anzahl der Identitäten (Konten), die ein einzelner Benutzer in einem Unternehmen haben kann. Benutzer benötigen Zugriff auf mehrere Konten, Geräte oder elektronische Dienste – und jeder dieser Zugriffspunkte stellt einen neuen Angriffsvektor dar.
Zusätzliche Cloud-Applikationen
Die meisten Unternehmen verfügen über mehrere Infrastructure- (IaaS), Software- (SaaS) oder Platform-(PaaS)-as-a-Service-Dienste oder betreiben ein Hybrid-Cloud- und On-Premises-Modell. Solche Cloud-Umgebungen erfordern eine Vielzahl von Berechtigungen und privilegierten Identitäten, von denen viele kurzlebig sind, aber dennoch verwaltet und geschützt werden müssen. Letztendlich führt dies zu einem komplexen Sicherheits-Framework, das tendenziell Lücken sowohl bei der IT-Sicherheit als auch in Sachen Transparenz aufweist.
Ende des klassischen Perimeters
Zu den wichtigsten Faktoren für den Zuwachs digitaler Identitäten zählen „Work-from-Anywhere“-Umgebungen (WFA). Gesetzliche Kontaktbeschränkungen hatten Homeoffice und mobilem Arbeiten während der Corona-Jahre zum Durchbruch verholfen. Wollten etwa vor der Pandemie nur 16 % der Mitarbeiter in der öffentlichen Verwaltung zumindest gelegentlich von zu Hause arbeiten, so waren es während des ersten Lockdowns im März 2020 fast drei Viertel aller Beschäftigten, wie eine Studie der Universität Potsdam in Kooperation mit PricewaterhouseCoopers (PwC) [3] festgestellt hat. Anwesenheitspflichten und Stechuhren waren passé und das Arbeiten außerhalb der Dienststelle wurde zum Trend.
Flexible Arbeitsumgebungen erfordern zusätzliche Möglichkeiten für Remotezugriffe auf Netzwerkressourcen, womit auch die Anzahl ungesicherter Zugangswege steigt. Ein rapider Anstieg von Auftragnehmern, Drittanbietern, Dienstleistern oder Partnern, die auf bestimmte Netzwerkressourcen zugreifen müssen, stellt Organisationen vor große Herausforderungen. Der klassische Perimeter mit eng abgesteckten Netzwerkgrenzen löst sich auf – und damit werden auch hierauf basierte IT-Sicherheitsmaßnahmen obsolet. In der Folge nehmen Identitätsverletzungen zu und dokumentieren eine vergrößerte Angriffsfläche, die Bedrohungsakteuren deutlich mehr Optionen für zielgerichtete Attacken bietet.
Sicherheit und Datenschutz spielen gerade im öffentlichen Sektor beim regelmäßigen Umgang mit sensiblen personenbezogenen Daten eine große Rolle. Durch den Einbezug privater Rechner und IT-Umgebungen müssen Behörden überprüfen, ob die geforderten Sicherheitsvorkehrungen beim Zugang zu IT-Ressourcen eingehalten werden oder verdächtige Aktivitäten auftreten. Die Erkennung von Sicherheitslücken und Anomalien bei der Nutzung von Benutzerkonten und Zugriffsrechten wird daher in Zukunft zu den zentralen Abwehrmechanismen in der Cybersicherheit gehören und zum Kern des Identity- and Access-Managements (IAM) werden.
Ließ sich die Grenzlinie zwischen unterschiedlichen Netzwerken bis vor Kurzem noch klar ziehen und durch Firewalls und Sicherheitslösungen schützen, verwischen mittlerweile die Grenzen – und Organisationen müssen ihre Verteidigungsmaßnahmen entsprechend anpassen. Der Zugriff auf Systeme und Ressourcen wird nun durch digitale Identitäten gesteuert, die viel dynamischer und „flüssiger“ sind.
Jetzt bilden digitale Identitäten den neuen Perimeter und geraten verstärkt in das Fadenkreuz von Bedrohungsakteuren. Kompromittierte Anmeldeinformationen und Benutzer mit zu weit gefassten Nutzerrechten stellen ein besonders lukratives, aber eben auch für Sicherheitsverantwortliche schwer zu erkennendes Angriffsziel dar. Die Ausnutzung hoher Berechtigungen hat direkte und zumeist gravierende Auswirkungen.
Typische Schwachstellen
Die sicherheitskonforme Verwaltung digitaler Identitäten erweist sich in der Umsetzung als schwierig: Viele Organisationen laufen Gefahr, nicht alle Identitätstypen sauber trennen zu können. Oft wird der Identity-Lifecycle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen fest definierte und praxiserprobte Prozesse. Bei maschinellen Konten mangelt es häufig an klaren Zuordnungen oder entsprechenden Passwortrichtlinien.
Falsche Konfigurationen und mangelnde Transparenz verschärfen das Problem: Schatten-Administrator-Konten sind Benutzerkonten mit zu hohen Berechtigungen, die versehentlich oder gezielt zugewiesen wurden. Und auch unerkannte Systeme, Prozesse und Organisationseinheiten, die nicht in das IT-Service-Management eingebunden sind, stellen eine permanente Gefahr innerhalb einer IT-Umgebung dar.
Schwache Kennwörter und schlechte Verschlüsselungspraktiken erleichtern es Angreifern, in ein Netzwerk einzudringen und weitere privilegierte Konten zu kapern. Auch im Speicher hinterlegte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene Remote-Desktop-Protocol-(RDP)-Sitzungen zählen zu den häufig genutzten Einstiegspunkten.
Das größte Risiko geht jedoch nach wie vor von den Mitarbeitern selbst aus, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäß umgehen oder in eine Phishing-Falle tappen. Moderne ITDR-Systeme setzen daher auf Komponenten des maschinellen Lernens, die es ermöglichen, den Missbrauch von Identitäten und Zugriffsrechten zu erkennen.
Beispiel: Der Fall Okta
Unlängst sind mehrere koordinierte Angriffe auf Kunden des US-amerikanischen Identitäts- und Zugriffsmanagement-Anbieters Okta öffentlich geworden, die exemplarisch für die neue Gefahrenlage sind. Die Attacken folgen einem gemeinsamen Muster, das sich in vier Phasen unterteilt:
- Angriffe auf Super-Admins: In der ersten Phase nehmen Angreifer verschiedene Benutzerkonten ins Visier. Konten mit Super-Admin-Berechtigungen sind besonders wertvoll, wenn ihre Nutzerdaten und Passwörter durch Phishing oder Gerätekompromittierung gestohlen werden können.
- Social-Engineering-Attacken: Passwörter allein reichen für eine erfolgreiche Einwahl auf kompromittierten Konten allerdings nicht aus, wenn diese über Multi-FaktorAuthentifizierung (MFA) gesichert sind. Schwächere MFAMethoden lassen sich durch MFA-Fatigue/MFA-Bombing (vgl. [4]) oder SIM-Swapping austricksen. Bei stärkeren MFA-Verfahren, die beispielsweise FIDO2 einsetzen, gehen die Bedrohungsakteure anders vor: Durch SocialEngineering versuchen sie Helpdesk-Techniker dazu zu bewegen, die Authentifizierung eines Kontos zurückzusetzen.
- Missbrauch digitaler Identitäten: Mit höheren Zugriffsrechten oder als Superadministrator können Angreifer eine IT-Umgebung unauffällig ausforschen, einzelne Berechtigungen erhöhen und heimlich Hintertüren einrichten. Missbrauchsmöglichkeiten durch geraubte Identitäten sind praktisch endlos, weil lokale Netzwerkressourcen und in der Cloud verwaltete Dienste eng miteinander verzahnt sind.
- Zugriffe über falsche Identitäten: Die Kompromittierung eines Okta-Kontos als Identity-Provider (IdP) ermöglicht einen breiten Zugriff auf unterschiedliche Ressourcen und Services. Tarnen sich Angreifer erfolgreich als legitime Benutzer, können sie nachgelagerte Anwendungen einsetzen und so konfigurieren, dass sie als „IdentitätswechselApp“ fungieren. Fremdgesteuerte Konten erscheinen dann als rechtmäßige Benutzerkonten und ermöglichen es Angreifern sogar, Single-Sign-on (SSO) bei Anwendungen einzusetzen. Ist die Identitätsinfrastruktur mithilfe von Verbundvertrauensstellungen (auch als „Org2Org“ bezeichnet) kompromittiert, verlaufen die gängigen Reaktionen auf Sicherheitsverletzungen im Sand.
Weitere Angriffstechniken
Bei anderen Kampagnen versuchen Angreifer, über anonymisierte Proxydienste zum Ziel zu kommen, welche die tatsächliche IP-Adresse und ihren aktuellen Standort verschleiern. Der Datenverkehr wird über ein unverdächtiges Netzwerk geleitet, das sich scheinbar in der Nähe des (kompromittierten) Benutzers befindet. Auf diese Weise lassen sich Fraud-Detection-Sicherheitsverfahren umgehen, die auf der Geolokalisierung des IP-Standorts basieren und unbefugte Anmeldeversuche von Bedrohungsakteuren eigentlich unterbinden oder erkennen sollten.
Cloud-Konnektoren sind weitere Bestandteile der Identitätsinfrastruktur, die Angriffen ausgesetzt sind: Als Schnittstelle synchronisieren sie beispielsweise Konteninformationen einschließlich Kennwörtern zwischen lokalen Active-Directory-(AD)- und Cloud-Anwendungen. Damit stellen sie ein verlockendes Ziel für Angreifer dar, um Zugangsdaten in großen Mengen abzugreifen. Staatliche Bedrohungsakteure wie „Mango Sandstorm“ (ehemals „Mercury“) suchen gezielt nach lokal installierten Azure-Connector-Agenten, um privilegierte Anmeldeinformationen zu extrahieren, mit denen sie einen gesamten Azure-Mandanten übernehmen können.
Schutzmechanismen
Angesichts der neuen Bedrohungslage stehen ITSicherheitsverantwortliche vor der Aufgabe, ihre Abwehrmaßnahmen umzustellen und gerade für privilegierte Konten (ggf. erneut) zu festigen.
Als erste Maßnahme empfiehlt sich die Verwendung einer Phishing-resistenten Authentifizierung wie FIDO2. Schließlich sind nicht alle Formen der Multi-Faktor-Authentifizierung (MFA) gleich stark: So hat sich bei den jüngsten Angriffen gezeigt, dass eine telefonbasierte MFA wenig bis gar keinen Schutz gegen Bedrohungsakteure bieten konnte. Auch zeitbasierte Einmalpasswörter (One-Time-Password, OTP) können von modernen Phishing-Kits oder Token-Hijacking-Angriffen abgegriffen werden. Anmelderichtlinien und Vorgaben für den eingeschränkten Zugriff sollten daher sicherstellen, dass sich Benutzer für privilegierte Aktivitäten vom richtigen Gerät, Standort oder Netzwerk aus authentifizieren müssen.
Häufig erhalten einzelne Konten höhere Berechtigungen für eine einmalige Aufgabe, um beispielsweise eine neue App hinzufügen zu können. Nach Abschluss der Konfigurationsarbeit werden solche Berechtigungen indessen nur selten überprüft oder widerrufen. Zu viele Benutzer in einem Netzwerk verfügen deshalb über Administratorrechte für bestimmte Anwendungen, Systeme oder Netzwerke. Diese schleichende Rechteausweitung (Privilege Creep) stellt ein echtes Sicherheitsrisiko dar und bietet keinen wirklichen Mehrwert für den IT-Betrieb.
Es ist wichtig, einen umfassenden Überblick über alle Privilegien der IT-Umgebung zu haben, um Risiken im Rahmen einer Least-Privilege-Strategie proaktiv reduzieren zu können. Höhere Berechtigungen sollten sich auf diejenigen Anwender beschränken, die sie zur Erledigung ihrer Aufgaben auch tatsächlich benötigen. Privilegierte Zugriffsrechte sollte man also regelmäßig überprüfen und gegebenenfalls reduzieren oder entfernen.
Eine Sicherheitsüberprüfung interner Prozesse umfasst die Analyse, welche Personen zu welchem Zweck auf welche IT-Prozesse zugreifen dürfen. Ein besonders kritischer Blick muss dabei Konten mit hohen Berechtigungsstufen gelten, die zum Beispiel Kennwörter ändern oder MFA-Prüfungen steuern können – und in den Händen unbefugter Angreifer schwere Konsequenzen nach sich ziehen. Dabei kann es sich um privilegierte Accounts, beispielsweise für einen Okta-Superadministrator, oder Mitglieder der Unternehmensführung handeln.
Transparente Sicht auf spezifische Bedrohungen
Zur Abwehr von Risiken und Angriffen auf die Identitätsinfrastruktur gilt es, einen zentralen Überblick über alle Identitäten, Konten, Berechtigungen und privilegierte Zugriffe in der gesamten IT-Landschaft zu bekommen. Das ermöglicht eine proaktive Risikominderung und frühzeitige Erkennung potenzieller oder aktiver Bedrohungen durch kompromittierte Identitäten oder missbrauchte Zugangsprivilegien. Neben der Überwachung spezifischer Identitätsangriffsvektoren können spezialisierte Lösungen beispielsweise auch Handlungsempfehlungen sowie Einblick in die Techniken und Verfahren aktueller Hackerangriffe geben.
So lassen sich akute Risiken identifizieren – etwa die Nichtverwendung von Multi-Faktor-Authentifizierung bei Admin-Konten oder das Hinzufügen neuer IdPs. Für Angriffsversuche besonders anfällige Konten mit schwachen MFA-Verfahren oder Fehlkonfigurationen kann man mit diesem Wissen rechtzeitig härten. Das unterstützt IT-Sicherheitsverantwortliche im hektischen Arbeitsalltag, um aussagekräftige Einblicke in Konten und Berechtigungen zu bekommen und identitätsbasierte Gefahren beheben zu können.
Organisatorische Sicherheitsmaßnahmen
Angesichts einer steigenden Zahl von Angriffen auf die Identitätssicherheit sowie unerkannten Sichtbarkeitslücken zwischen IAM-Tools und klassischen Sicherheitstools ist eine flexible und tiefgreifende Sicherheitsstrategie zum Schutz von IT-Umgebungen erforderlich. Besonders digitale Identitäten mit hohen Zugangsprivilegien stehen unter ständigem Beschuss, da Angreifer verstärkt auf kompromittierte Benutzerkonten und Social-Engineering, anstatt auf Exploits und Malware setzen.
Fazit
Richtlinienkonforme Sicherheitsregeln und interne Kontrollen sind notwendig, um riskanten IT-Praktiken und der Fehlnutzung von Benutzerkonten effektiv vorzubeugen. Die Verteidigungsaktivitäten dürfen sich in modernen Unternehmensumgebungen nicht mehr auf den Schutz der Netzwerkgrenzen beschränken, sondern müssen auch in der Tiefe wirksam sein. Das Versagen einer Einzelkontrolle oder eines singulären Prozesses sollte nicht zu einer Verletzung führen, sondern mittels Anmeldekontrollen und umfassender Identitätssicherheitsüberwachung über mehrere Kontrollebenen hinweg abzufangen sein.
Identitätsbasierte Angriffsversuche in komplexen Umgebungen sind mit Bordmitteln schwer nachvollziehbar. Die kontinuierlich wachsenden Herausforderungen für die Identitätssicherheit lassen sich letztlich nur mit spezialisierten Tools entschärfen, die für eine höhere Transparenz und Kontrolle von Identitäten und Berechtigungen sorgen, Risiken reduzieren und Bedrohungen frühzeitig erkennen. Notwendig ist aber auch ein organisatorischer Wandel, der veränderte Sicherheitsanforderungen für digitale Identitäten und Zugriffe in den Blick nimmt.
Mohamed Ibbich ist Director Solutions Engineering bei BeyondTrust.
Literatur
[1] Gartner, Gartner Identifies Top Security and Risk Management Trends for 2022, Pressemitteilung, März 2022, www.gartner.com/en/newsroom/press-releases/2022- 03-07-gartner-identifies-top-security-and-risk-management-trends-for-2022
[2] Identity Defined Security Alliance (IDSA), 2023 Trends in Securing Digital Identities, Whitepaper, Mai 2023, www.idsalliance.org/white-paper/2023-trends-in-securingdigital-identities/ (Registrierung erforderlich)
[3] Universität Potsdam, PwC, Die Verwaltung im Homeoffice, Erfahrungen, Grenzen und Chancen für die Zukunft der Verwaltung, Studie, März 2021, www.uni-potsdam.de/de/ls-puma/forschung/homeoffice bzw. www.pwc.de/de/branchen-und-markte/oeffentlicher-sektor/homeofficeim-oeffentlichen-sektor.html
[4] Roger A. Grimes, B52-Faktor-Authentifizierung, 2022# 5, S. 14