Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Identity & Access: Warum gültige Accounts das größte Einfallstor sind
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Die meisten Angriffe beginnen nicht mit Malware. Sondern mit einem Login. In dieser Folge sprechen Michael und Andreas darüber, warum kompromittierte Zugangsdaten heute eines der größten Risiken für Unternehmen sind, und warum Angreifer oft gar keine Schwachstelle mehr brauchen.
Es geht um Phishing, Datenlecks und wiederverwendete Passwörter. Aber auch darum, warum ein einzelner Account schnell zum Einfallstor für das gesamte Unternehmen werden kann, vor allem, wenn Berechtigungen nicht sauber geregelt sind.
Was hilft wirklich? Passwortmanager, Multifaktor Authentifizierung und ein klares Berechtigungskonzept. Eine Folge über die unbequeme Realität: Wer seine Identitäten nicht im Griff hat, hat seine Sicherheit nicht im Griff.
Passend zum Thema eine Folge über eines der erfolgreichsten Geschäftsmodelle der Cyberkriminalität:
Ransomware as a Service: ein Geschäftsmodell. Cybercrime ist längst ein All-inclusive-Service
Hier könnt ihr eure E-Mail Adresse testen: Have I Been Pwned
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael: Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Heute wollen wir uns wieder einem extrem relevanten Thema annähern, und das heißt Identity and Access. Warum gültige Accounts das größte Einfallstor sind. Und darüber möchte ich heute sprechen mit Andreas Papadaniil, Stammgast hier im Podcast. Andreas, ich sage nicht guten Morgen. Wir nehmen mittags auf.
Michael: Hallo Andreas.
Andreas: Ja, moin, moin.
Michael: Moin, moin geht immer. Was denkst du denn über Identity und Access? Ich meine, jeder kennt das. Jeder nutzt Credentials. Würde mich auch mal interessieren: Wie viele Portale nutzt so eine Durchschnittsperson mit seinem privaten Mailaccount? Im Schnitt wahrscheinlich irgendwas um die 40, würde ich schätzen, wo du deine guten Credentials liegen hast. Wenn wir über Cyberangriffe sprechen, denkt man ja häufig an diese Ransomware Geschichten. Haben wir schon eine intensive Folge zu gemacht.
Michael: Zero Day Lücken, Exploits, Malware, all diese Dinge. Aber laut einer Studie von Verizon ist es tatsächlich so, dass 30 Prozent aller Angriffe mit kompromittierten, gültigen Zugangsdaten beginnen. Finde ich erstaunlich. Was denn?
Andreas: Schockt mich.
Michael: Nicht? Hättest du es gar nicht so hoch geschätzt, oder?
Andreas: Ja, ja. Ich glaube, E Mail ist immer noch einfacher, deswegen haben wir da mehr. Aber mir war schon klar, dass es eine ziemlich hohe Nummer sein wird.
Michael: Was das ja im Endeffekt bedeutet, ist, dass der Angreifer gar keine Schwachstelle ausnutzen muss oder sonstiges. Und du kannst es gar nicht so richtig verteidigen, weil ja ein legitimer Zugang zu deinem Netzwerk stattfindet. Das ist ja das Fiese an der Geschichte. Und ich glaube auch, deshalb ist diese Variante am Ende so attraktiv.
Michael: Jetzt sag du mir mal, wie kann das denn überhaupt sein, dass dann doch so viele Credentials, die einer Firma oder einem Firmennetzwerk gehören, für die Angreifer so zugänglich gemacht werden oder zugänglich sind?
Andreas: Eine ganze Menge Faktoren. Ich glaube, auf der einen Seite wird natürlich von Benutzern auch teilweise leichtfertig mit Daten umgegangen. Das heißt, wir haben immer noch so den Fall, dass oft simple Passwörter genutzt werden und dann ein Passwort für alle Zugangsportale, und dann eben sowohl im Privaten als auch in der Firma. Und das führt dazu, dass ich mein Passwort auf irgendeinem Portal benutze.
Andreas: Und dieses Portal wird dann gehackt und die Angreifer bekommen Zugriff auf dieses Passwort und diese Passwörter und E Mail Adressen in Kombination. Und auch hier gibt es natürlich Leute, die ihre Firmenmailadresse beispielsweise benutzen, um sich privat an Portalen anzumelden. Das vermischt sich alles so ein bisschen. Und die landen dann irgendwann auf Listen, und dein Passwort ist dann auch bekannt. Und die landen dann auf einer Liste.
Andreas: Auch die, die angewendet werden bei Hackerangriffen. Und das macht es natürlich leicht. Das ist natürlich eine ganze Menge. Der Zuhörer wird jetzt sagen: Warte mal, da ist ja einiges schiefgegangen. Exakt. Also in dem Unternehmen sollte es eine Passwortrichtlinie geben, wo man sein Passwort regelmäßig ändert. Es sollte doch auch einen Passwortmanager geben, der automatisiert komplexe Passwörter erstellt. Und dieser Passwortmanager legt diese dann auch verschlüsselt irgendwo ab, sodass kein Zugriff drauf geht und und und. Und ich will nicht schon zu viele Maßnahmen vorwegnehmen.
Andreas: Aber nichtsdestotrotz erleben wir diese Kompromittierung der Accounts immer wieder, weil eben das Realwelt Szenario nicht so aussieht wie das Szenario: So sollte es sein.
Michael: Exakt. Okay, also man kann schon mal merken, dass immer das gleiche Passwort benutzen sowieso keine gute Idee ist. Und man sollte, ich würde gern mit dir darüber sprechen: Welche Angriffsszenarien gibt es denn? Also wie kommen die Leute am Ende auch wirklich an diese Credentials? Und da ist natürlich auch, ich glaube das berühmteste, wage ich mal, das Thema Phishing, wo du ja oftmals mit Seiten konfrontiert wirst, die deine Identitätsabfragen. Du trägst die dann noch bereitwillig ein und schon hast du dein Geheimnis, sprich das Passwort, quasi rausgegeben.
Michael: Ja, sollte man nicht tun. Sollte man sensibilisiert für sein. Gerade im Firmenkontext. Da finden ja auch Sensibilisierungskampagnen statt. Das schaffst du natürlich zu Hause privat nicht. Da gibt es keinen, der dich prüft. Was könnten denn da auch Wege sein, um diese Awareness einfach immer hochzuhalten? Na ja, wenn du dann irgendwie hybride Passwörter nutzt, die du dann privat und auch beruflich im beruflichen Kontext einsetzt, ist das natürlich brandgefährlich.
Andreas: Ja, definitiv. Also du solltest eigentlich niemals deine Credentials angeben, wenn du dazu aufgefordert wirst, wenn eine E Mail kommt oder sonst was, wenn du halt eben auch nichts erwartest, und das erst mal zurückhalten. Also was ich schon auch manchmal mache ist, weil es gibt ja zwei verschiedene Angriffsarten. Du klickst auf den Link und dann gibt es zum Beispiel so einen Exploit, der deinen Browser infiziert und du dann über den Browser angegriffen wirst und du dann Vollzugriffsrechte auf das System bekommst. So ein Drive by Exploit.
Andreas: Damit kriege ich Vollzugriff, ohne deine Kundendaten zu kennen. Das ist die eine Gefahr. Die andere Gefahr ist natürlich: Du gibst Zugangsdaten an und der Angreifer kriegt die auf die Weise. Und du kannst schon aus einer sicheren Umgebung heraus mal so einen Link auch öffnen. Würde ich jetzt nicht dem Laien empfehlen, das zu tun, aber das gucke ich mir dann schon manchmal an, was dahinter ist, als Security Experte.
Andreas: Aber was du definitiv niemals tun sollst, ist deine Identität preiszugeben. Und ich habe zum Beispiel, also 95 Prozent meiner Passwörter kenne ich überhaupt gar nicht. So. Ich habe ein zentrales Tool, was ich benutze, als Passwortmanager für alle Accounts, sodass ich meine Passwörter automatisiert generiere, sicher generiere. Und die sind dann zentral abgelegt. Und dann musst du natürlich schauen, dass du diesen zentralen Datenspeicher entsprechend schützt und dass du für dein Masterpasswort ein möglichst komplexes nimmst und auch deine Multifaktor Authentifizierung einsetzt.
Andreas: Dass der natürlich nicht angegriffen werden kann, weil wenn dein zentraler Passwortspeicher geöffnet wird, hast du ein Thema.
Michael: Das Thema. Und wenn du nicht mehr reinkommst, hast du auch ein Thema. Ist mir schon passiert.
Andreas: Das Thema hast du auch.
Michael: Ich habe das Masterpasswort vergessen. Dann musst du in der Situation dir für viele Passwörter und Klicks auf vielen Portalen über Passwort vergessen helfen und musst dann in den Neuvergabeprozess einsteigen. Ist manchmal gar nicht so einfach.
Andreas: Das ist nicht so easy. Aber es ist auf jeden Fall eine bessere Art, deine Passwörter abzulegen, als das in einer Excel Tabelle auf dem Desktop zu tun. Nur dann, wenn einer Zugriff darauf bekommt, einfach diese Excel Tabelle öffnet. Und auch eine passwortgeschützte Excel Tabelle schützt dich nicht davor, diese Daten zu entwenden. Und das sehe ich halt noch oft bei Angriffen, die wir miterleben, dass es irgendwo eine Excel Tabelle gab, wo dann in Klartext die Passwörter drinstanden und der Angreifer dann Vollzugriff hatte auf die Accounts.
Michael: Was denkst du über Passwörter speichern im Browser? Also diese Passwort Wallets, die sind dann in der Regel sicher, weil komplett verschlüsselt. Ja, auch LastPass hatte schon das eine oder andere Datenleck, aber du bekommst ja dann nicht die Passwörter im Klartext daraus. Wie sieht das beim Browser aus?
Andreas: Das hängt so ein bisschen davon ab, welchen Browser du benutzt. Ich persönlich finde es aber besser, noch mal ein separates Tool zu haben, weil du mehr Kompatibilität hast. Vielleicht benutzt du verschiedenste Browser, verschiedenste Betriebssysteme und eben nicht nur einen Browser, sondern hast auch mal eine App auf dem Handy, wo du das machen möchtest. Und dann fängst du halt wieder an, wenn du es nur im Browser machst, dass du immer browserbezogen bist.
Andreas: Und wenn du es jetzt in einer App oder woanders anwenden möchtest, dann musst du wieder gucken: Wie kriege ich das Passwort jetzt daraus? Kopiere ich es irgendwo hin? Weiß ich nicht. Aber immer dann, wenn du so einen Bruch hast, führt das dazu, dass deine Credentials wieder exponiert werden können. Und deswegen versuche ich möglichst komplette Systeme zu finden und das da abzulegen.
Michael: Es gibt ja auch das Angriffsszenario, dass genau diese Daten aus den Browsern ausgelesen werden. Info Stealer als Stichwort. Wieso haben die eigentlich nicht den gleichen Schutz wie diese Portale?
Andreas: Na, weiß ich gar nicht. Also ich glaube, dass da auch viele Fortschritte gemacht werden. Aber es ist natürlich so, dass die Angreifer immer cleverer werden in ihren Angriffsmechanismen. Und wenn du das schon mal in einer anderen Applikation weghältst vom Browser, dann ist das schon mal ein Schritt weiter, den du gehen musst. Weil wenn ich natürlich jetzt gerade von diesem Drive by Exploit gesprochen habe, so wird dann zum Beispiel auch so ein Info Stealer verteilt.
Andreas: Du gehst auf eine Webseite, vielleicht ist auf der Webseite noch gar nichts drauf, aber da ist noch ein Werbebanner, der eingeblendet wird. Und dieser Werbebanner enthält halt Schadcode. Dieser Exploit öffnet deinen Browser so, dass der Angreifer Zugriff darauf bekommt und kann dann eben diese kleinen Schätze, die im Browser sind, auslesen und weiterschicken. Das könnte er jetzt nicht, wenn die an einer anderen Stelle noch mal gespeichert werden.
Andreas: Aber natürlich gibt es da auch wieder Mechanismen. Es ist eigentlich immer nur eine Sache des: Wie viel Aufwand stecke ich rein, um an diese Daten zu kommen? Und natürlich möchte der Angreifer möglichst effizient sein und sucht immer die Angriffswege, die für ihn am nächsten liegen und am wenigsten Aufwand bedeuten.
Michael: Weiteres Szenario: größere Datenlecks, die zum Teil auch älter sein können. Kann man sich auf der Webseite Have I Been Pwned anschauen. Einfach private Mailadresse eingeben und dann kann man recht gut sehen, dass diese Datenlecks gar nicht so selten sind. Man sieht teilweise auch, wo man fälschlicherweise vielleicht noch einen Account hat, den man nicht gelöscht hat oder so, also Portale, die man gar nicht mehr kennt. Also Datenlecks passieren. Da werden größere Datenmengen abgegriffen.
Michael: Und da mal die Frage, weil ich es gelesen habe: Wieso können auch ältere Credentials quasi noch gefährlich sein?
Andreas: Also weil du halt das Thema hast, dass viele Leute ihr Passwort mehrfach benutzen für verschiedenste Services. Und du hast mittlerweile sogar schon dieses Checkpoint quasi als Service eingebaut, ich glaube sogar bei Apple, dass wenn du ein Passwort vergibst und der findet dein Passwort irgendwo auf diesen Listen, dann sagt er dir: Hallo, dein Passwort ist schon angreifbar oder zugänglich gemacht worden. Nimm das besser nicht.
Andreas: Also das ist teilweise schon integriert heute in Services, dass sie dir das sagen können. Und deswegen solltest du auch regelmäßig das mal überprüfen, also auf die Webseite gehen, dir das angucken. Und wenn da also deine Credentials Teil eines Leaks waren, meine waren es zum Beispiel vor zehn Jahren mal bei Dropbox, dann muss ich halt gucken: Okay, welches Passwort hatte ich bei Dropbox? Und musste in allen anderen Portalen, da war ich jetzt noch nicht so weit, wie ich das jetzt bin, hatte das für jedes Portal ein Passwort benutzt, hatte ein sicheres Passwort, habe das aber auf mehreren Portalen benutzt und musste dann hingehen, das überall verändern.
Andreas: Und ich wusste auch, dass eigentlich meine E Mail Adresse verloren war. Weil sobald die deine E Mail Adresse drin haben durch so ein Leak, ist halt schon die Spamanzahl, die du bekommst, und die Phishing Angriffe steigen dann relativ hoch, muss ich sagen. Und auch da, klar, kannst du dann Security Maßnahmen in Email Security einsetzen, die dafür sorgen, dass du weniger bekommst.
Andreas: Aber trotzdem wirst du zugespamt werden, weil du wirst auf Listen sein, die Angreifer benutzen, um Schadcode zu verschicken oder halt, was wir auch in den letzten Jahren immer mehr sehen, diese: Hallo, ich bin dein Sohn und ich bin irgendwo gestrandet und ich brauche dringend Geld und schick mir das hierhin. Da ist gar kein Schadcode involviert, sondern da nutzt man einfach so eine Panik oder Angstsituation.
Andreas: Und es gibt tatsächlich Leute, die dann so eine Kurzschlussreaktion haben und dann sagen: Ach nee, da schicke ich jetzt schnell Geld hin, weil mein Sohn ist in Not. Und das ist ein Problem. Und selbst wenn von fünf Millionen E Mail Adressen nur 0,1 Prozent reagieren, hat sich das für die Angreifer trotzdem schon gelohnt, weil dieser Angriff die halt kaum Geld kostet.
Michael: Ich habe das gerade mal gemacht. Ich habe meine private E Mail Adresse eingegeben und den Leak, den du gerade angesprochen hast, Dropbox, den habe ich hier auch drin. Ja, genau, aus dem Juli 2012. Älter ist tatsächlich wohl auch ein Datenleck bei LinkedIn aus dem Mai 2012. Dann sehe ich noch Dubsmash. Das war, glaube ich, so eine Videoplattform, um lustige Videos zu machen.
Michael: Dezember 2018. Also viele sind es dann zum Glück auch nicht. Ja, aber schaut es euch mal an, wenn ihr Interesse daran habt.
Andreas: Sony. Ich war bei meinem Playstation Konto bei Sony drin. Da gab es einen sehr großen Hack.
Michael: Damals gab es auch einen sehr großen Hack.
Andreas: Ja, und das geht dann irgendwann in der Presse auch in Vergessenheit. Du hast dann so einen Giga Hack, wo keine Ahnung wie viele Daten entwendet werden. Und dann heißt es wieder: Hast du gesehen, was bei Sony passiert ist? So viele Daten entwendet. Einen Monat später kräht kein Hahn mehr danach, aber es ist halt passiert. Und die holen die Daten ja nicht nur, um die Daten zu haben.
Andreas: Zum einen wird es monetarisiert, indem die die verkaufen, also Listen verkaufen, was andere kaufen. Und zum anderen wird das genutzt, um damit Angriffe zu starten. Und ich kann ja zum Beispiel auch, wenn ich jetzt Zugriff habe auf dein privates Postfach, Michael Lühmann, ist das nicht despektierlich, aber du bist jetzt vielleicht nicht der Präsident von irgendwas, oder?
Andreas: Keine Ahnung, was für eine super wichtige Person. Du bist irgendwie Milliardär. Du bist in einem wichtigen Amt oder in einer superwichtigen Position. Und ich komme an ein privates E Mail Postfach eines CEO von einem Milliardenkonzern. Ich komme jetzt da dran. Und das gibt mir ja die Möglichkeit, auch mal einen sehr wichtigen, nennt man das dann, also diese zielgerichteten Phishing Angriffe auf Individuen, die halt hochlukrativ sind, so anzupassen, dass ich halt durch dein Postfach gehe und mir angucke: Okay, was macht er denn so?
Andreas: Was sind seine Hobbys? Social Engineering. Was sind seine Interessen? Und dann schicke ich dir irgendwann mal eine Spear Phishing E Mail an deinen Firmenaccount mit etwas, weiß nicht, du fährst jetzt gerne Fahrrad Langstrecke, 100 Kilometer am Wochenende. Du liebst das. Und ich sage: Hier, ich habe hier das neue Super Hyper Fahrrad im Sonderangebot. Klick doch mal hier auf den Link. Dann ist die Wahrscheinlichkeit schon mal höher, als wenn ich sage: Ich bin der und brauche Geld für meine Nachkommen.
Michael: Ja, stimmt. Okay. Noch ein anderes Szenario habe ich gelesen: Session Token Diebstahl. Wie funktioniert denn das dann?
Andreas: Im Browser, wenn du auf eine Webseite gehst, erstellt so ein Session Token im Endeffekt auch die Kommunikation, um diese vom Prinzip aufrechtzuerhalten und auch dafür zu sorgen, dass keiner dazwischengeht, um Daten aus dieser Session rauszunehmen. Ich versuche es so ein bisschen simpel zu erklären. Und im Endeffekt kommst du an diese Token und hängst dich dazwischen wie so eine Man in the Middle Attacke, weil mittlerweile hat man ja auch keine mehr.
Andreas: Also ganz altes Szenario war: Du bist in einem Internetcafé, einer ist im WLAN mit drin und sniffed quasi den ganzen Netzwerkverkehr. Das war zu Zeiten von HTTP, wo eben Verkehr noch nicht verschlüsselt war vom Endpunkt aus. Und das war in Zeiten, wo es diese Token noch nicht gab in deiner Browser Session und und und. Und jetzt muss der Angreifer schon ein bisschen spezieller werden und muss per Man in the Middle Attacke quasi in den Verkehr reingucken können, den öffnen und ist dann aber in der Lage mitzusniffen.
Andreas: Das heißt, wenn du dich jetzt gerade in einem Account auf Office 365 einloggst mit deinen Credentials, dann ist er dadurch in der Lage, diese Zugangsdaten mitzunehmen und teilweise auch deine Faktor Authentifizierung, also auch da ein Token mitzunehmen. Und auch da gibt es viele Angriffsszenarien, wie ich eine Multifaktor Authentifizierung umgehen kann. Das ist ein bisschen komplexer, aber im Endeffekt muss man immer sagen: Jede Schutzmaßnahme kann man umgehen.
Andreas: Die Frage ist halt, wie gesagt, nur: Wie viel Einsatz stecke ich da rein, das tun zu können? Und wie nah muss ich dran sein an dir, um das zu machen?
Michael: Multifaktor wäre jetzt auch mein nächstes Thema, weil das ja schon so als Allheilmittel teilweise beschrieben wird. So, mach Multifaktor, dann bist du sicher. Aber wenn du Multifaktor machst, worauf musst du denn dann auch achten, damit es sicher ist? Und was da vielleicht auch, du hast ja jetzt schon gesagt, es ist dann vielleicht am Ende doch nicht zu hundert Prozent sicher.
Michael: Was sind dann noch mal speziell die Gefahren bei Multifaktor, wo ich meine Zugangsdaten vielleicht dann doch noch verlieren kann?
Andreas: Bei Multifaktor ist immer das Thema der Spagat zwischen Usability und Security. Ich sage mal, ganz am Anfang von Multifaktor hast du so ein One Time Passwort per SMS bekommen, weil jeder hat ein Handy. In der Usability super. Konnte jeder benutzen. Gar kein Thema. Das Problem ist aber nur: Eine SMS ist wie so eine Postkarte. Du schreibst was drauf, verschickst die, und jeder kann eigentlich mitlesen.
Andreas: SMS hat keine Verschlüsselungsmethodik, nichts dazwischen. Ist also super für den Angreifer. Einmal, wenn der weiß, wo die SMS landet, diese SMS aufzugreifen oder auch vielleicht ein bisschen komplizierter, aber gab es auch, in den Verkehr dazwischenzugehen und das mitzulesen. Und dann ist man irgendwann auch da hingegangen und hat das auf sicherere Wege gestaltet, dass man vielleicht ein bisschen besser ein anderes Device nimmt.
Andreas: Jetzt kennt man ja auch noch diese Token, die man am Schlüsselbund hatte, wo man dann ein Passwort draufgeschickt bekommen hat. Das ist dann wieder ein Stückchen sicherer. Aber dann war wieder das Thema Usability. Die Token wurden verloren. Das war super nervig für den User, damit umzugehen. Und mittlerweile ist eigentlich so der Best Practice, dass es mit auf dem Smartphone drauf ist.
Andreas: Jetzt hat man wieder securitytechnisch natürlich das Argument: Also du loggst dich auf einem Device ein und hast den Multifaktor auf demselben Device. Wenn dann das Device kompromittiert ist, habe ich deinen Zugang und ich habe deinen zweiten Faktor. Deswegen dann, dass man eher sagt, securitytechnisch voneinander zu trennen. Aber man hat mittlerweile auch mit dieser App Authentifizierung viele weitere zusätzliche Sicherheitsmechanismen geschaffen, um das relativ unwahrscheinlich zu machen, dass das passiert.
Andreas: Aber es gibt immer ein Restrisiko dazwischen, was man auch verstehen muss. Also Multifaktor Authentifizierung, kann man sagen, ist ein sehr gutes Werkzeug, dich abzusichern. Aber es ist auch nicht hundertprozentig sicher, wie alles andere auch. Zumal du auch zum Beispiel mittlerweile die Möglichkeit hast, Multifaktor Authentifizierung, weil hier wieder Usability, du willst nicht jedes Mal einen Key eingeben, du hast vielleicht auch eine Push Benachrichtigung aufs Handy oder es wird vielleicht auch gesagt: Okay, du bist jetzt noch im selben Land, du hast vielleicht dieselbe IP Adresse, du kannst ja ein bisschen Kontext auch vom Gerät dir einholen und dann sagen, du brauchst den zweiten Faktor jetzt gar nicht zu verwenden.
Andreas: Da wird dann schon für aktiv gehalten und gesagt: Ja, da hat sich nichts verändert, für mich ist das okay. Das kann natürlich auch ein Angreifer ausnutzen. Es gibt immer so eine Restunsicherheit, muss man sagen. Auch wenn ich absolut Fan von Multifaktor Authentifizierung bin.
Michael: Es legt die Hürde auf jeden Fall ein ganzes Stück höher und es erschwert, zumindest einer Studie von Microsoft nach, auf jeden Fall den Anteil an automatisierten Angriffen, die darauf funktionieren. Also der Angreifer muss sich definitiv mehr Mühe geben. Trotzdem sollte man auch bei Multifaktor vorsichtig sein. Wie immer sensibel agieren, wenn ich irgendwie ganz viele Anfragen bekomme.
Michael: Ich habe aber gar keine gestellt. Oder vielleicht nur eine. Dann lieber noch mal genauer hinschauen, bevor ich die dann alle durchklicke. Exakt. Jetzt haben wir bei Identitäten, darum geht es in der Folge ja hauptsächlich, gibt es ja Identitäten, die sind ja zu verkraften, zu verschmerzen. Es gibt aber ja auch Identitäten, an denen hängen extrem viele Berechtigungen. Also teilweise ja der eine Superadmin.
Michael: Wenn die Credentials jetzt irgendwie gefangen werden, dann habe ich ein viel größeres Thema, weil mit den Zugangsdaten ist man dann quasi in der Lage, zum Beispiel alle anderen zu löschen oder so. Ja, was kann ich denn hier noch explizit tun, um diese Accounts gegebenenfalls noch viel, viel besser zu schützen? Gibt es da Dinge, die komplett sicher sind? Und wie kann ich verhindern, dass über einen normalen Account, das Szenario gibt es ja auch, dass ich dann privilegierte Zugänge draufpacke?
Andreas: Das ist ein sehr, sehr großes Thema.
Michael: Tatsächlich? Na verdammt.
Andreas: Da kann man schon fast eine eigene Folge draus machen. Also am Anfang steht eigentlich wieder die optimale Welt. Ein Berechtigungskonzept nach Best Practice, dass du eins hast. In der Realwelt ist es aber nicht so. Da gibt es teilweise wenig Konzept. Ich gehe mal jetzt von einem Extrembeispiel aus und erkläre mal, was da passieren kann. Ein Extrembeispiel, weil eigentlich alles falsch gemacht wurde, was falsch gemacht werden kann, aber trotzdem in der Realität sehr häufig noch stattfindet.
Andreas: Du hast zum Beispiel einen Administrator, der seit 20 Jahren im Unternehmen ist und alle Systeme aufgebaut hat. Und vor 20 Jahren war Ransomware und diese organisierte Kriminalität noch nicht so das Riesenthema. Und er hatte dann einen Domain Administrator Account. Ist wieder Usability, komfortabel. Ein Domain Administrator Account hat Zugriff auf alles und kann alles tun. Und er hat dann quasi im Unternehmen die ganzen Systeme Stück für Stück aufgebaut und immer wieder gesagt: Ja, einen Account nehme ich jetzt.
Andreas: Weil du hast dann zum Beispiel einen Application Server, wo eine Anwendung läuft, und der greift auf eine Datenbank dahinter zu, muss Daten reinschreiben, rausholen. Und dann fragt dich das nach einem Userkonto, um diese Verbindung zu etablieren. Und er sagt: Ja, ich nehme das Administratorkonto. Klar. Wenn er auf seinem Endgerät irgendwie arbeitet: Ja, ich nehme den Domain Administrator. Wenn er sich aus dem VPN in das Unternehmen einwählt, weil er von zu Hause weiter administrieren muss: Ja, den Domain Administrator. Und der Domain Administrator wird jetzt in 200 verschiedenen Systemen benutzt und ist überall da und sollte überhaupt gar nicht da sein, weil wir sagen ja immer Least Privilege Prinzip.
Andreas: Also die User müssen so angelegt sein, dass die geringste Berechtigung vorhanden ist. Und jetzt hast du quasi so einen Master Key, ich kann alles, Benutzer. Und irgendwann siehst du diese Angriffe da draußen, also Cybercrime, und merkst: Scheiße, das ist ein großes Risiko, was ich hier gerade aufgebaut habe. Weil wenn der Angreifer Zugriff bekommt auf dieses Konto, dann kann er ja alles in der Umgebung umstellen, was er möchte.
Andreas: Jetzt hast du aber nur die Herausforderung, dass wenn du das Passwort veränderst dieses Kontos, oder das Konto kannst du gar nicht sperren, aber dieses Konto veränderst, hast du gar keine Transparenz mehr darüber, was das mit deiner Umgebung anstellt. Weil änderst du das Passwort auf einmal, führt das auch dazu, dass dieser Applikationsserver gar nicht mehr in die Datenbank reinschreiben kann und dein ERP System vielleicht zusammenbricht.
Andreas: Deswegen sollte man da auch ein separates Konto benutzen, auch ein Konto, was nicht diese Berechtigung hat. Wir sprechen da von Servicekonten, die für so was gemacht sind. Aber ich sehe genau dieses Thema in ganz vielen Umgebungen. Dass man nicht wusste, welche Berechtigungen Sinn machen, und was brauche ich eigentlich noch mal. Den Domain Admin, der funktioniert, und das ist für Administratoren bequem.
Michael: Zwischenfrage: Das heißt also, ein Domain Administrator, wenn ein solcher Zwang existiert, sollte immer nur dann benutzt werden, wenn er auch benötigt wird? Oder sollte er jetzt einfach gar nicht benutzt werden? Weil irgendwer muss ja am Ende Domain Admin sein.
Andreas: Am liebsten gar nicht.
Michael: Wie gar nicht? So einen Domain Admin gibt es bei uns.
Andreas: Nein, auf gar keinen Fall. Katastrophe. Diesen Domain Administrator hat man ja. Du hast das Konto, das ist so ein eingebautes Microsoft Konto, was es immer gibt, wenn du eine Domäne startest. Und am besten nimmst du ein extrem komplexes Passwort, schreibst das nur auf einen Zettel, legst es irgendwo in den Tresor und sagst: Auf Wiedersehen, Domain Administrator. Und dann erstellst du dir erst mal Administratoren Accounts, um mit diesen Administratoren Accounts, die sind dann schon mal eine Stufe runter, zu steuern.
Michael: Die können schon mal nicht alles kaputt machen.
Andreas: Die können schon mal nicht alles kaputt machen, weil du denen dann explizit sagen musst, was die kaputt machen können. Wir haben immer noch extrem viel Macht, aber du kannst es zumindest eingrenzen. Und dann kommst du in die nächste Hierarchieebene: Benutzerkonten, so wie du und ich im täglichen Arbeiten auf dem System. Und da gibt es immer noch mal eine Feinheit in deinem Benutzerkonto, nämlich ob du lokale Adminrechte hast oder nicht.
Andreas: Und lokale Adminrechte auf deinem Gerät ermöglichen dir zum Beispiel, Software zu installieren. Wenn du die nicht hast, so wie das bei uns ist und wie das in jedem Unternehmen Best Practice mäßig sein sollte, dann kannst du mir ein Virus auf meinen Rechner schicken. Wenn ich ihn öffne, kann er gar nicht ausgeführt werden, weil er sagt: Du hast keine lokalen Adminrechte.
Andreas: Diese Datei versucht dir gerade ziemlich viel Unfug zu machen, ist aber nicht zugelassen. Das ist schon mal eine sehr große Sicherheitsmaßnahme, die du etablieren kannst. Es ist aber wieder so historisch gewachsen. Berechtigungskonzepte, was brauchst du? Es gab natürlich Software, die so geschrieben wurde, dass wenn du sie ausführst als Benutzer, du lokale Adminrechte brauchst. Und dann schreien alle Benutzer: Na ja, okay, wir brauchen lokale Rechte, weil so funktioniert diese Software nicht.
Andreas: Und dann gibt es viele Unternehmen, die dann halt sagen: Ja, wir können gar nicht ohne lokale Adminrechte und wir brauchen das. Und glaub mir, aus meiner Erfahrung, ich habe sehr viele Projekte gemacht, wo wir genau das gemacht haben, du musst dann aber eine Transparenz herstellen, um dann zu sagen: Wir nehmen dem User jetzt diese lokalen Adminrechte wieder weg, weil das ist ein super großes Risiko.
Andreas: Wenn ich dir eine Mail zuschicke und ich kompromittiere dein Gerät und ich habe jetzt deinen User mit lokalen Adminrechten, dann heißt das, ich habe Vollzugriff auf dein System. Wenn zumindest das nicht vorhanden ist, dann muss ich erst mal, also dann gibt es auch Wege. Das nennt man dann Privilege Escalation. Ich führe dann Schadcode auf deinem System aus und verschaffe mir Adminrechte.
Andreas: Ist aber wieder ein weiterer Step, der nötig ist, wo auch wieder so eine Hürde dazwischengehen kann, was ich im Monitoring erkennen kann. Ich mache es dir ein bisschen schwieriger halt. Und das alles, worüber ich jetzt gerade mal so wirr geredet habe, ist zusammenzufassen in einem Berechtigungskonzept und in einem Unternehmen anzuwenden. Das führt dann schon dazu, dass du viel stärker geschützt bist gegen den Angriff und teilweise Dinge gar nicht funktionieren.
Andreas: Wie oft haben wir zum Beispiel auch schon gehört: Ja, der Angreifer hat die Backups mitverschlüsselt. Ja, wie kann das passieren? Ja, indem alte Backups wohin geschrieben werden? Auf einen Dateiserver. Und hier wurde, oh Wunder, der Domain Administrator Benutzer mitgenutzt, um diese Backups wegzuschreiben. Weil da hätte zum Beispiel ein Servicekonto benutzt werden müssen, um diese Sachen wegzuschreiben.
Andreas: Dann würdest du es einem Angreifer wieder ein bisschen schwieriger machen, das durchführen zu können. Aber du hast teilweise Umgebungen, die total offen sind. Und das heißt natürlich, alles muss in der Windows Domäne sein. Deswegen ist auch schon mal, gerade wenn wir jetzt noch mal einen kleinen Schwenker Richtung produzierendes Gewerbe machen, du bist da in der Produktion unterwegs, dann möchtest du vielleicht auch Windows Systeme einsetzen, aber die hast du vielleicht nicht in deiner Domäne mit drin.
Andreas: Für Kommunikation, weil in der Regel kommen diese Angriffe ja so, dass ein Mitarbeiter eine E Mail öffnet oder irgendwo im Internet gebrowst hat und sich infiziert hat oder oder oder. Und wenn du in einer Domäne bist, kannst du sofort durchgreifen in alle Teilnehmer der Domäne. Hast du die aber schon mal daraus getrennt, ist wieder ein weiterer Schritt nötig, um das zu tun.
Andreas: Darum geht es eigentlich in der Security, sage ich mal. Dein Haus muss nur sicherer sein als das des Nachbarn. Dann lassen die Angreifer dich in Ruhe. Weil die meisten organisierten Angreifer, die gehen auf Masse, die benutzen Automatismen. Und wenn du ein bisschen anders bist, ein bisschen sicherer bist, dann greifen diese Automatismen nicht bei dir. Und dann muss der Angreifer sich schon überlegen, manuell: Wie muss er das Ganze tun? Und dann ist er schon so: Okay, dann gehe ich zum Nächsten. Mein Gott, soll ich mich denn damit aufhalten?
Michael: Wie wird man denn da Herr der Lage? Also ich sage mal, es gibt ja dann auch Mitarbeitende, die zum Beispiel, weil sie durch mehrere Abteilungen laufen, dann sage ich dem noch die Berechtigungen drauf und dann darf er da noch zugreifen und so weiter. Welche Methoden, welche Tools kann ich denn heranziehen, um zu sehen: Aha, okay, das ist die Liste der ganzen Mitarbeitenden bei uns und das sind die ganzen Berechtigungen, die die haben. Gibt es da so ein Monitoring?
Andreas: Das ist in Microsoft nativ eigentlich unmöglich. Weil das so verschachtelt und komplex ist, dass du es vergessen kannst. Und es ist so eine Herausforderung sogar, dass es halt Hersteller gibt, die nichts anderes machen als das, also Softwarehersteller. Du kannst beispielsweise auch einen Hersteller aus Amerika nehmen wie Varonis, die so was ermöglichen. Es gibt aber auch mittlerweile aus Deutschland Cyberdesk zum Beispiel.
Andreas: Mit dem Geschäftsführer habe ich gestern erst gesprochen, weil wir ziemlich smarte Lösungen dafür haben, auch in Deutschland gehostet, die die Möglichkeit haben zu sehen: Worauf können die Benutzer grundsätzlich zugreifen? Und kriegen den Gesamtüberblick an der Stelle. Und du kannst noch mal gegenhalten: Worauf wurde tatsächlich zugegriffen? Und das ermöglicht dir zum Beispiel auf der einen Seite, Berechtigungsstrukturen aufzuräumen, die historisch gewachsen sind.
Andreas: Du kannst dir das dann sogar grafisch visualisieren lassen und sagen: Hier, Michael, du als Benutzer, sag mir mal tatsächlich, auf was du alles Zugriff hast. Und die andere Seite der Medaille ist: Sag mir mal, worauf Michael alles zugegriffen hat. Weil wenn du zum Beispiel jetzt, das haben wir sehr oft in solchen Angriffen, wenn Daten entwendet wurden, dann wird die Frage gestellt: Welche Daten wurden denn eigentlich hier angefasst und entwendet vom Angreifer?
Andreas: Und da können wir gar keine Aussage zu treffen, weil das Microsoft Betriebssystem so etwas eben nicht hergibt. Mit so einem Anbieter wie Cyberdesk zum Beispiel könntest du dann sagen: Okay, diese Datensätze wurden in den letzten Wochen von diesen Benutzern kopiert, gelöscht und was auch immer. Und dann kannst du es ganz genau nachvollziehen. Aber built in in Microsoft, in Windows ist das unmöglich.
Michael: Was hätte ich jetzt eigentlich erwartet, dass vom Hersteller auch was kommt, was das ermöglicht. Eine Frage noch mal grundsätzlich zum Thema Identitäten: Wenn du jetzt einen neuen Account irgendwo erstellst, wo man mit dem Einzug von Cloud und Co. jetzt auch oftmals die Möglichkeit hat, dich mit Identitäten von einem anderen Portal woanders zu registrieren. Wie funktioniert das genau?
Michael: Und wird dann mein Passwort, was ich jetzt zum Beispiel wirklich bei meinem Google Account habe, dann bei Spotify hinterlegt? Oder verifiziert die Plattform Spotify dann gegen Google, fragt: Ist es ein berechtigter Zugriff? Also wie funktioniert das? Und schaffe ich damit überhaupt eine neue Identität? Oder nutze ich eine schon bestehende Identität, um mich in einem neuen Portal zu registrieren?
Andreas: Ja, also Letzteres. Apple beispielsweise wird oft genutzt, wird dann als Authentifizierungsdienst genutzt. Und der Vorteil, den du dadurch bekommst, ist halt, dass deine Daten an weniger Stellen gespeichert sind. Wir hatten ja gerade schon die Thematik Hacks oder Leaks, die stattfinden. Früher hast du dann deine Credentials bei Dropbox hinterlegt, bei Sony hinterlegt, bei was weiß ich was hinterlegt.
Andreas: Wenn die gehackt worden sind, waren deine Daten geleakt. Heute ist es dann in dem Beispiel so: Du kannst Spotify hacken, deine Identität ist ja trotzdem da. Du hast ja trotzdem einen Benutzeraccount bei Spotify, wo ich sehen kann: Auch der Andreas hört diese Musik, das gefällt dem gerne und so weiter. Von der Identität her. Aber von der Authentifizierung her sind diese Daten quasi dann bei Apple an einer zentralen Stelle. Und du würdest diese Credentials dann bei Spotify erst mal nicht rausbekommen.
Andreas: Also könnte ich meine Identität quasi nicht klauen, kann mich aber trotzdem mit meiner Identität auseinandersetzen.
Michael: Also wann immer möglich lieber so tun, als einen neuen Account zu registrieren, weil ich dann wieder eine Möglichkeit habe, dass dort ein Datenleck passiert und damit die Credentials am Ende auch der Öffentlichkeit zugänglich gemacht werden.
Andreas: Genau. Auch worüber wir bisher jetzt in dieser Folge wenig gesprochen haben, ist ja das Thema Kreditkartendaten, die natürlich auch im Internet gehandelt werden und regelmäßig entwendet werden. Da ist es bei mir auch immer so, dass ich früher viel auf PayPal geachtet habe. Heute mache ich viel mit Apple Pay zum Beispiel. Aber ich meine Kreditkartendaten eigentlich auf keiner Webseite angebe, also seit vielen Jahren.
Andreas: Als diese zentralen Zahlungsdienstleister es noch nicht gab, dann hast du in einem Onlineshop was gekauft und da musstest du deine Kreditkartendaten angeben. Die haben das in ihrer Datenbank gespeichert. Und was ist früher oder später passiert? Natürlich wurden die gehackt und deine Kreditkartendaten waren in den Händen des Angreifers. Und das kann natürlich, also klar, kannst du auch PayPal hacken, kannst du Apple hacken, die Wahrscheinlichkeit ist aber wesentlich geringer als bei irgendeinem Onlineshop mit überschaubaren IT Kapazitäten, was da passiert.
Andreas: Und deswegen achte ich immer eigentlich darauf, dass es irgendwelche zentralen Anbieter sind, Amazon ist mittlerweile auch so einer, dass meine Daten bei so wenigen Anbietern wie möglich liegen und ich die auf gar keinen Fall in irgendwelchen Internetportalen angebe, die ich nicht kenne.
Michael: Dann kommen wir langsam zum Ende der Folge. Also wir haben uns jetzt damit beschäftigt: Das ist ja quasi der Haustürschlüssel ins Unternehmen, in meiner Firma, für den Shield. Und haben darüber gesprochen, wie die zu einem Risiko werden können, dass sie vielleicht auch grundsätzlich ein Risiko sind. Dass es aber ein paar Dinge gibt, die darauf einwirken, dass das Risiko reduziert wird, wie zum Beispiel eine phishingresistente MFA Lösung.
Michael: Wir haben über das Management beziehungsweise das Monitoring von Accounts gesprochen. Also wie gehe ich mit Berechtigungen um, Berechtigungsmanagement? Du hast es erwähnt, Least Privilege Prinzip. Also ich gebe den Nutzern immer nur die Berechtigungen, die sie halt brauchen, um ihren Job machen zu können. Darauf muss ich achten. Ja, das wären so die Dinge, die ich mir jetzt notiert hatte aus unserem Gespräch.
Michael: Vielleicht mal zusammenfassend: Hast du noch Dinge, die du ergänzen möchtest? Natürlich, was immer wichtig ist: Mit einem gesunden Menschenverstand und immer ein bisschen kritisch an E Mails herangehen. Schauen, ob ich was erwarte, ob ich einen Anhang erwarte, bevor ich was öffne. Und einfach die Firmenaccounts nicht dazu nutzen, irgendwelche privaten Dinge zu organisieren.
Andreas: Kann ich nur so bestätigen. Und für jeden, der mal Interesse hat, seine Zugriffsstrukturen von uns überprüfen zu lassen, stehen wir dafür natürlich gerne zur Verfügung. Weil wir wollen natürlich, dass Unternehmen nicht gehackt werden. Und ich weiß, dass das Ganze aufwendig ist und oftmals so: Das kann man nicht machen und das alles aufzuräumen ist super viel Arbeit und so weiter. Aber es ist absolut notwendig, weil die meisten Cyberangriffe, die ich hier miterlebe, basieren genau auf den Praxiserfahrungen, die ich jetzt gerade in dieser Folge geteilt habe.
Andreas: Und das muss nicht sein. Da gibt es ein Mittel gegen: Aufräumen.
Michael: Exakt. Gut. Damit schließen wir die Folge für heute. Ich sage danke fürs Zuhören und ihr bleibt sicher und gesund. Bis zum nächsten Mal.