Wie gestohlene Credentials die Unternehmenssicherheit gefährden

80% der Datendiebstähle in Unternehmen basieren auf Fehlkonfigurationen und auf gestohlenen Zugangsdaten von überwiegend privaten sowie geschäftlichen Cloud-Diensten der Mitarbeiter.

Vor allem der milliardenfache Diebstahl von Credentials (Name und Kennwort für einen Internet-Dienst) ist zu einer massiven Bedrohung für Unternehmen geworden. Die Schadenssumme durch Cyberkriminalität belief sich 2019 auf über 500 Milliarden Dollar. Das sind rund ein Prozent der weltweiten Einnahmen.

Die Summe hat damit inzwischen die Dimensionen des weltweiten Drogenhandels erreicht.

Am meisten betroffen sind die USA mit 100 Milliarden, Deutschland mit 60 Milliarden und China mit einer Schadenssumme von über 45 Milliarden Dollar. Gemessen an der Wirtschaftsleistung ist Deutschland am stärksten betroffen: Der Schaden für die deutsche Volkswirtschaft beläuft sich auf fast 2 Prozent des Bruttoinlandsprodukts.

In der Regel stammen solche Account-Informationen von Internet-Diensten, wie zum Beispiel LinkedIn, Dropbox, Adobe, Uber, Facebook und vielen tausend weiteren Diensten, die in der Vergangenheit Opfer eines gezielten Datendiebstahls wurden. Die Mitarbeiter nutzen diese Dienste mit Ihrer Firmen-E-Mail-Adresse entweder (in der Regel unerlaubt) privat oder auch geschäftlich.

Ob es sich um private oder geschäftliche Dienste handelt, ist hierbei jedoch tatsächlich fast unerheblich, da ein gestohlener Unternehmens-Account häufig nur das „Sprungbrett“ ist und für Account Takeover und Social Engineering Angriffe genutzt wird.

47% der Mitarbeiter verwenden gemäß einer Studie des Hasso-Plattner-Institutes immer das gleiche Passwort

– oder varriieren dies nur leicht, wenn sie zum Beispiel durch einen turnusmäßigen Passwort-Wechsel dazu gezwungen werden. Dadurch ist unter Umständen auch ein Zugriff auf das Unternehmensnetzwerk möglich. Jedoch wird in den Unternehmen häufig über eine Mehr-Faktor-Authentifizierung vorgebeugt und dies ist auch meist nicht der Weg, den Angreifer gehen.

Wenn Mitarbeiter-Accounts (Name und Kennwort) durch einen Breach (Datendiebstahl) bei einem Internet-Dienst bekannt sind, werden die gestohlenen Accounts über Tools automatisiert gegen tausende weiterer Dienste im Internet verprobt. Ein gestohlener Account ist dadurch eine Art Generalschlüssel für die je nach Land 80 bis 150 weiteren privaten und geschäftlichen Online-Accounts, die der Mitarbeiter durchschnittlich besitzt.

Hier besteht häufig Handlungsbedarf, da mit diesen Informationen verschiedenste Angriffsmöglichkeiten gegen die Mitarbeiter und gegen das Unternehmen gegeben sind. Auch die gesetzlichen Vorgaben zum Datenschutz sowie die gesetzlichen Fürsorgepflichten des Arbeitgebers gegenüber der Arbeitnehmer unterstreichen dies.

Welche Gefahren resultieren daraus?

Durch eine unbemerkte Kontoübernahme ist zum Beispiel ein Identitäts-Betrug möglich.

Das sogenannte Social Engineering ist die bei weitem effektivste Methode und schlägt rein technische Ansätze in Sachen Geschwindigkeit um Längen. Als „vermeintlicher Vorgesetzter“ werden zum Beispiel vertrauliche Unternehmens-Informationen und -Daten abgefragt (= „Phishing“). Mitarbeiter nutzen sehr häufig private Dienste auch für geschäftliche Kommunikation und zur Datenspeicherung. In der Regel finden sich zum Beispiel Unternehmensdaten in privaten File Sharing Dienste, Social Media Services oder E-Mail-Accounts.

Sehr prominente Beispiele sind die Bundeskanzlerin Angela Merkel oder die Senatorin Hillary Clinton in den USA.

Der Missbrauch der Domain des Kunden für Spam-Mails oder DoS-Attacken, das Einschleusen von Schad-Software in das Unternehmen, eine Rufschädigung von Mitarbeitern in sozialen Netzwerken, eine Image-Schädigung des Unternehmens oder auch die Erpressung von Mitarbeitern sind nur Beispiele aus einer Vielzahl weiterer Gefährdungen.

Diese Probleme sind weit verbreitet.

Dies lässt sich technisch auch nicht grundsätzlich vermeiden. Die zu treffenden Maßnahmen können aber in Sofortmaßnahmen, organisatorische Maßnahmen und technische Maßnahmen unterteilt werden.

Es empfiehlt sich die Etablierung einer Überwachung gestohlener Zugangsdaten mit einem Alarmierungs-Service. Im ersten Schritt erhält das Unternehmen dann eine Übersicht aller betroffenen Dienste und Mitarbeiter und kann Sofort-Maßnahmen ergreifen. Bei Bekanntwerden von erneuten Breaches mit gestohlenen Credentials von privaten oder geschäftlichen Cloud-Diensten von Mitarbeitern des Unternehmens erfolgt dann zukünftig automatisiert ein Abgleich und eine unmittelbare Benachrichtigung.

Aber auch weitere Maßnahmen, wie zum Beispiel ein Security Awareness Portal oder ein Passwort Manager sollten diskutiert und gegebenenfalls umgesetzt werden.

Gerne beraten wir Sie in einem persönlichen Gespräch über mögliche Maßnahmen für Ihr Unternehmen. 

KONTAKTIEREN SIE JETZT IHREN “CEMA IT-SECURITY SPEZIALISTEN”!

KLICKEN SIE HIER, UM E-MAILS VON CEMA ZU ERHALTEN