Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social-Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservicehosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten.
Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen „Cumulus“ den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.
Das Experiment: Ein Bankangestellter als Lockvogel
Um diese Fragen zu beantworten, nutzte das Bitglass Forschungsteam einen Lockvogel: Es kreierte die digitale Identität eines Bankangestellten einer fiktiven Bank. Dazu wurde ein funktionierendes Banking-Portal eingerichtet sowie ein Google-Drive-Account angelegt, in dem sowohl persönliche Daten wie Kreditkartennummern als auch Dokumente aus dem Arbeitsalltag deponiert wurden. Die Google-Anmeldedaten des Lockvogel-Accounts wurden vom Forschungsteam schließlich im Darknet veröffentlicht. Alle Dateien in dem Google-Drive-Ordner wurden zuvor jedoch mit einem digitalen Wasserzeichen versehen, sodass das Forschungsteam sämtliche Aktivitäten der „Datendiebe“, vom Login bis zum Dateidownload, verfolgen konnte.
In den ersten 24 Stunden nach dem Posting im Darknet hatten mehr als 1400 Besucher aus über 30 Ländern sich die scheinbar gestohlenen Nutzerdaten näher angesehen, die ersten Dateidownloads aus dem Google-Drive-Ordner erfolgten binnen 48 Stunden.
1. Datendiebe gehen selektiv vor
Unter den Besuchern war eindeutig eine gezielte Vorgehensweise erkennbar: So wurden Dateien, die augenscheinlich sensible Finanzinformationen enthielten, am schnellsten geöffnet. Die Aktivitätsprotokolle, die das Bitglass-Team aus der API-Integration der Google-Anwendung erhielt, zeigten zudem, dass in vielen Fällen unmittelbar nach Zugriff auf das Drive-Laufwerk auch der Dateidownload vorgenommen wurde. Dabei zeigten sich unterschiedliche Vorgehensweisen: Während manche scheinbar wahllos sämtliche Dateien herunterluden – darunter beispielsweise auch die Speisepläne der Kantine – konzentrierte sich ein Anteil von 12 Prozent ausschließlich auf die sensibelsten Inhalte, insbesondere Dokumente mit Kreditkartendaten und Unternehmensdokumente mit Bankkundeninformationen.
Eine Weitergabe oder Nutzung der Kreditkartendaten ist während des Experiments jedoch nicht aufgetreten. Es besteht dennoch keine Gewissheit, dass Hacker diese Daten in Zukunft nicht weiterverwenden werden.
2. Ein fataler Nutzerfehler: Bequemlichkeit bei der Passwortvergabe
Wie viele Internetuser benutzte auch der fiktive Bankangestellte dasselbe Passwort für unterschiedliche Webservices. Eine Tatsache, der sich Cyberkriminelle bewusst sind: Nachdem die Hacker mit den durchgesickerten Anmeldeinformationen erfolgreich auf das Google-Drive-Laufwerk zugegriffen hatten, bemerkte das Forschungsteam, dass die meisten von ihnen anschließend versuchten, dieselben Anmeldeinformationen auch auf anderen Websites anzuwenden. In dieser Hinsicht waren die Hacker äußerst unerbittlich: 36 Prozent der angelockten Cyberkriminellen stürzten sich auf das private Bankkonto des Opfers, auf das sie mit den Anmeldedaten einfach zugreifen konnten. Dabei beobachteten die Bitglass-Forscher auch mehrere wiederkehrende Logins derselben kriminellen User, einige innerhalb von Stunden, andere wiederum noch Wochen nach dem ersten Login. Ebenso wurde es häufig beobachtet, dass die Hacker die Passwörter änderten, um den Nutzer von seinen Accounts auszusperren.
3. Hacker wahren professionell ihre Anonymität
Bei einigen Zugriffen auf das Banking-Portal konnte ermittelt werden, dass die Cyberkriminellen aus den US-Bundesstaaten Wisconsin und Kalifornien, sowie aus den Ländern Österreich, den Niederlanden, den Philippinen sowie der Türkei kamen. Die deutliche Mehrheit jedoch – 68 Prozent – nutzten sowohl für den Zugriff auf das Banking-Portal als auch das Google-Drive-Laufwerk den Tor-Browser, um ihre IP-Adressen zu verschleiern. Ein Hacker der DarkWeb-Community ermutigte die Mitglieder sogar, einen mit Kryptowährung bezahlten VPN-Dienst in Verbindung mit Tor zu benutzen, um das Risiko einer Strafverfolgung nach dem US-Computerbetrugs- und Missbrauchsgesetz zu minimieren. Ein deutliches Indiz für die zunehmende Professionalisierung und Organisation unter den Cyberkriminellen.
Sicherheit in der Cloud erfordert einen mehrstufigen Ansatz
Wie das Experiment zeigte, sind sowohl Unternehmens- als auch persönliche Daten eine durchaus beliebte Ware, für die sich stets interessierte Abnehmer finden. Um ihre Daten wirksam zu schützen und sich nicht ausschließlich auf das Sicherheitsbewusstsein ihrer Mitarbeiter verlassen zu müssen, sollten Unternehmen auf mehreren Ebenen Kontrollmechanismen etablieren, die dem Verlust sensibler Daten vorbeugen können.
Für öffentliche Cloud-Anwendungen wie Google-Drive ist die Möglichkeit, den Zugriff kontextabhängig beschränken oder verhindern zu können, der Schlüssel zum Schutz sensibler Daten. In dem Bankbeispiel hätte die IT-Abteilung eine Cloud-Access-Security-Broker-Lösung (CASB) nutzen können, um verdächtige Anmeldeversuche zu identifizieren, das Herunterladen von Kundendaten aus der Cloud zu verhindern oder den Upload sensibler Daten in die Cloud zu blockieren. IT-Administratoren werden außerdem unmittelbar auf ungewöhnliche Aktivitäten – wie die im Google-Laufwerk des Bankmitarbeiters – aufmerksam gemacht, insbesondere wenn mehrere Anmeldungen von entfernten Standorten kommen, und können sofort Gegenmaßnahmen einleiten. Die im Experiment verwendete Wasserzeichentechnologie kann auch einen Einblick in den verdächtigen Umgang mit Daten aus Cloud-Anwendungen geben. Kombiniert mit maschinellen Lerntechniken, um das Nutzerverhalten zu erfassen und Abweichungen zu erkennen, können verdächtige Zugriffe umgehend aufgespürt werden – selbst, wenn sie menschlichen IT-Administratoren wie eine „Nadel im Heuhaufen“ erscheinen mögen.
Schließlich hätten die im Experiment erfassten erfolgreichen Zugriffe verhindert werden können, wenn die Wiederverwendung von Passwörtern untersagt und fortschrittliche Authentifizierungsmethoden genutzt worden wären. Eine integrierte Identitätsmanagementlösung mit Unterstützung für Single-Sign-On, Multi-Faktor-Authentifizierung, sowie Einmal-Passwörtern ist dafür unerlässlich. Bei verdächtigen Anmeldungen und Aktivitäten beispielsweise wendet diese stets eine Multi-Faktor-Authentifizierung an. Durch die Anwendung dieses mehrstufigen Ansatzes können Unternehmen schließlich nicht nur ihre sensiblen Daten schützen, sondern darüber hinaus ihren Mitarbeitern den Komfort, den die Arbeit mit Cloudanwendungen bietet, weiterhin bieten.
Von Michael Scheffler, Regional Director CEEU, Bitglass
#Netzpalaver #Bitglass
