BLOG | BÜRO DES CTO

Sicherheit ist (immer noch) jedermanns Verantwortung

F5 Miniaturansicht
F5
Veröffentlicht am 28. April 2020


Ein Freund von mir erhielt vor Kurzem eine E-Mail mit seinem Passwort im Klartext in der Betreffzeile. Die Nachricht enthielt eine Forderung über 10.000 US-Dollar in Bitcoin. Um die Einhaltung der Vorschriften zu gewährleisten, lieferte der Angreifer Pläne, wie er den Empfänger hacken und zerstören würde. Derselbe Freund erwähnte, dass er zur Verwaltung seiner Passwörter eine Software zur Passwortverwaltung verwendete und dabei feststellte, dass er dasselbe Passwort für über 140 verschiedene Websites verwendet hatte.

Offensichtlich musste er bei allen sein Passwort ändern.

Es war schon immer günstig und einfach, an die Anmeldeinformationen eines Benutzers zu gelangen. Die beschleunigte digitale Expansion, die die meisten Organisationen und Mitarbeiter seit Beginn der COVID-19-Pandemie erleben, hat dies nur billiger und einfacher gemacht.

In der letzten Märzwoche war Zoom die am häufigsten heruntergeladene Anwendung. Zum Unglück der 3,2 Millionen neuen Benutzer (und aller bestehenden Benutzer) machten sich böswillige Akteure die plötzliche Popularität der App sofort zunutze und ermöglichten es Bedrohungsforschern, über 500.000 Zoom-Benutzernamen und -Passwörter für weniger als einen Cent pro Stück zu kaufen.

Zoom führt die wöchentlichen Download-Charts an


In diesem Fall hat niemand Zoom „gehackt“. Niemand hat eine bestimmte Schwachstelle in der Software von Zoom ausgenutzt. Die Angreifer haben lediglich einige der Milliarden zuvor offengelegter Anmeldeinformationen aus anderen Sicherheitsverletzungen bei Zoom ausprobiert und festgestellt, dass diese problemlos funktionierten.

Sie haben funktioniert, weil die Benutzer ihre Anmeldeinformationen wiederverwenden. Und die Menschen verwenden ihre Anmeldeinformationen immer wieder, da sie immer mehr digitale Aktivitäten durchführen. Jedes bei einem Streaming-Dienst, einer Social-Media-Plattform oder einer Unternehmensanwendung eröffnete Konto ist eine weitere Möglichkeit, Anmeldeinformationen wiederzuverwenden. Bereits 2015 ergab eine Dashlane-Analyse der Daten von mehr als 20.000 Benutzern, dass der durchschnittliche Benutzer über 90 Online-Konten verfügte . Allein in den USA lag dieser Durchschnitt bei 130. In den letzten fünf Jahren ist die Nutzung digitaler Dienste stetig gewachsen und damit auch der Bedarf an Anmeldeinformationen.

In der Unternehmenswelt ist die Anzahl der erforderlichen Anmeldeinformationen ebenso besorgniserregend. Eine Umfrage von LastPass ergab, dass in größeren Unternehmen mit über 1.000 Mitarbeitern der durchschnittliche Mitarbeiter voraussichtlich über etwa 25 einzigartige Logins verfügt. Bei den kleinsten Unternehmen steigt diese Zahl auf bis zu 85. Das sind viel zu viele Zahlen und Symbole, als dass der Durchschnittsmensch sie alle im Auge behalten könnte. Mitarbeiter, denen kein Passwort-Manager zur Verfügung steht, greifen fast zwangsläufig entweder auf wiederverwendete Passwörter oder auf gängige Passwörter zurück, die durch Wörterbuchangriffe leicht geknackt werden können.“

Anekdotische Belege besagen, dass sogar Benutzer eines Passwort-Managers ihre Passwörter für verschiedene Eigenschaften wiederverwenden.

Angreifer wissen das. Ihr Erfolg beim Zugriff auf Privat- und Unternehmenskonten beruht auf der weitverbreiteten Wiederverwendung von Passwörtern und einer Technik, die als „Credential Stuffing“ bekannt ist.

Credential Stuffing ist eine Angriffstechnik, bei der mithilfe von Anmeldeinformationslisten versucht wird, auf Anwendungen und Websites zuzugreifen. Durch die wunderbare Automatisierung können Angreifer innerhalb von Minuten eine Liste mit Tausenden von Anmeldeinformationen durchgehen und jede davon in einen Anmeldebildschirm „stopfen“, bis sie die funktionierenden finden.

Die Ausweitung der Anwendungen durch die digitale Transformation verschärft das Problem, da sie böswilligen Akteuren zusätzliche Angriffsflächen bietet. Die Pandemie hat Organisationen dazu veranlasst, digitale Funktionen anzubieten, wodurch sowohl der Pool an Anmeldeinformationen als auch die möglichen Ziele für Angreifer erweitert wurden.

Es gibt bewährte Methoden, die sowohl Unternehmen als auch Verbraucher davor schützen können, Opfer eines Credential-Stuffing-Angriffs zu werden.

  • Benutzer sollten bei der Kennwortverwaltung sowohl bei der beruflichen als auch bei der privaten Nutzung sorgfältig vorgehen. Durch die Verwendung einfacher Techniken, wie beispielsweise das Einfügen bestimmter Zeichen aus Website-Namen in eine allgemeine, komplexe Kennwortzeichenfolge, lässt sich die Angst vor dem Vergessen von Anmeldeinformationen, die zur Wiederverwendung von Kennwörtern führt, verringern. Beispielsweise wäre das Passwort für die Bank of America B<komplexe Zeichenfolge>A und für Wells Fargo W<komplexe Zeichenfolge>F oder ähnliche Variationen.
  • Standardkennwörter für die Infrastruktur – sowohl im Unternehmen als auch zu Hause – sollten sofort geändert werden. Zu Hause sind dies Router, Modems, Kameras, Hausautomationssysteme und drahtlose Zugriffspunkte. Im Unternehmen umfasst dies Infrastrukturen wie Router und Switches oder Betriebsanwendungen, die von Administratoren zur Verwaltung der Anwendungsinfrastruktur verwendet werden. (In den 90er Jahren war SSH zu Routern unter Verwendung der Standardadministratoreinstellungen ein gängiger Hack.)
  • Verwenden Sie für Finanz-, Geschäfts- und Freizeitaktivitäten unterschiedliche Browser, um die Gefährdung durch MITBs (Man in the Browser) zu minimieren. Ändern Sie Ihre Einstellungen, um Ihren Cache und Ihre Cookies beim Beenden zu löschen, und machen Sie es sich zur Gewohnheit, Ihren Browser bei jedem Abmelden zu schließen.

Da die Pandemie weiterhin die Art und Weise verändert, wie wir untereinander und mit Organisationen interagieren, wird die Anzahl der Anwendungen und Konten, auf die wir uns verlassen, auch weiterhin eine attraktive Gelegenheit für Angreifer darstellen. Die Realität ist, dass man keinen Angriff verhindern kann. Sie haben keine Kontrolle über die Handlungen von Übeltätern. Sie können jedoch Maßnahmen ergreifen, um einen erfolgreichen Angriff zu verhindern.

 

Weitere Hintergrundinformationen zum Thema Credential Stuffing finden Sie in „Die Credential-Krise“: Es passiert wirklich bei F5 Labs .