Mit der Zunahme identitätsbasierter Angriffe stehen Sicherheitsverantwortliche vor der Notwendigkeit, ihre IAM-Strategie zu überdenken und Zugangsrichtlinien und Schutzmechanismen zu stärken. Um ein widerstandsfähigen IAM aufzubauen, ist es wichtig zu verstehen, wie Hacker gestohlene Identitäten ausnutzen, um in Unternehmen einzudringen. Im folgenden Abschnitt werden der Modus Operandi und die typischen Vorgehensweisen von Angreifer näher erläutert.

1. Diebstahl von Anmeldedaten, oft durch Phishing Der Angriff beginnt meist mit Phishing-Kampagnen. Hacker erstellen E-Mails oder Nachrichten, die legitime Quellen imitieren, fügen schädliche Links und Anhänge ein oder verleiten Benutzer zur Eingabe von Anmeldedaten auf gefälschten Websites. Malware wie Keylogger können auch eingesetzt werden, um Anmeldedaten direkt von den Geräten der Benutzer:innen zu stehlen. Auf diese Weise umgehen Angreifer Sicherheitsprotokolle und verschaffen sich unberechtigten Zugang, um in Unternehmenssysteme einzudringen, sensible Daten zu stehlen oder weitere Angriffe durchzuführen.

2. Erweiterter Zugang und Kontrolle über weitere Konten Nach dem ersten Zugriff erweitern die Hacker ihre Berechtigungen. Dies geschieht z. B. durch das Ausnutzen von Schwachstellen, die Verwendung gestohlener Anmeldedaten für den Zugriff auf weitere Konten (durch die Wiederverwendung von Passwörtern), durch das Ausführen von Befehlen oder das Täuschen von Benutzer:innen, damit diese weitere Zugriffe gewähren (Social Engineering). Ziel ist es, Zugang auf administrative Konten oder zu Server zu erhalten, um eine breitere Kontrolle zu erlangen. Eine starke IAM-Strategie für den privilegierten Zugriff ist an diesem Punkt unerlässlich.

3. Laterale Bewegung innerhalb des Netzwerks Sobald die Hacker einen höheren Zugriffsgrad erreicht haben, bewegen sie sich lateral innerhalb des Netzwerks auf der Suche nach wertvolleren Daten oder Systemen, die ihnen eine größere Kontrolle über die IT-Infrastruktur ermöglichen. Sie nutzen Vertrauensbeziehungen zwischen Systemen aus, um auf andere Rechner zuzugreifen, zusätzliche Anmeldeinformationen zu stehlen oder Netzwerkprotokolle wie SMB oder RDP zur Fernsteuerung zu manipulieren. Auf diese Weise können sie sich unbemerkt ausbreiten, ihren Aktionsradius vergrößern und nach und nach wichtige Ressourcen übernehmen.

4. Kompromittierung von Lieferantennetzwerken („Supply Chain Attack“) über vertrauenswürdige Kanäle Angreifer können es auf schwächer gesicherte Netzwerke von Anbietern absehen, die Teil der Lieferkette sind. Indem sie anfällige Lieferanten kompromittieren, nutzen Angreifer deren vertrauenswürdigen Status aus, um die Sicherheitsmaßnahmen größerer Ziele zu umgehen. Über Shared Access Points, Anbieter-Zugangsdaten oder Software-Abhängigkeiten dringen sie in stärker gesicherte Netzwerke ein, z. B. in die von größeren Unternehmen, kritischen Infrastrukturen oder staatlichen Stellen. So öffnen sie die Tür, um bösartige Codes einzuschleusen, Informationen zu extrahieren, die Infrastruktur zu beschädigen und zu stören sowie den Ruf und die Vertrauenswürdigkeit des Partners zu ruinieren. IAM ist daher eines der entscheidenden Elemente bei der Bewertung der Lieferanten-Sicherheit.

Datenexfiltration

Daten gehören zu den wertvollsten Vermögenswerten eines Unternehmens. Angreifer haben es oft auf sensible Daten wie geistiges Eigentum, Kundeninformationen oder Mitarbeiterdaten abgesehen, die auf dem Schwarzmarkt verkauft, für weitere Angriffe oder für Ransomware-Programme verwendet werden können.

Installation von Malware oder Ransomware

Hacker können Malware einsetzen, um dauerhaft im Netzwerk zu bleiben und weiteren Zugriff zu erhalten. Ransomware kann dazu verwendet werden, um Daten und Systeme zu verschlüsseln und eine Zahlung für den Entschlüsselungscode zu verlangen.

Einrichten von Backdoors

Die Installation von Backdoors ermöglicht es Kriminellen, zu einem späteren Zeitpunkt erneut in das Netzwerk einzudringen, selbst wenn die ursprünglichen Sicherheitslücken geschlossen wurden.

Interne Erkundung

Erkundungen innerhalb des kompromittierten Netzwerks können durchgeführt werden, um weitere Ziele zu identifizieren oder die Netztopologie für umfassendere Angriffe zu ermitteln.

Erweiterung von Berechtigungen

Selbst mit erhöhten Zugriffsrechten versuchen Angreifer, ihre Berechtigungen weiter auszudehnen, und streben häufig Domänenadministratorrechte an, die den uneingeschränkten Zugriff auf alle Systeme ermöglichen.

Löschen von Protokollen

Um ihre Spuren zu verwischen, löschen oder manipulieren Angreifer oft Protokolle, die ihre Aktivitäten aufdecken könnten, und erschweren es so dem Cyber-Sicherheitspersonal, den Verstoß zu verfolgen und zu verstehen.

Schaffung einer Insider-Bedrohung

In einigen Fällen können Angreifer neue Konten mit hohen Privilegien für sich selbst erstellen, wodurch sie im Wesentlichen zu „Insidern“ werden. Dadurch wird es sehr schwierig, zwischen legitimen und kriminellen Benutzeraktivitäten zu unterscheiden.

Ausweitung der Angriffe auf Partner oder Kunden

Mit den erlangten Zugangsdaten und Informationen können sie schließlich weitere Kunden oder Partner, die mit dem kompromittierten Netzwerk verbunden sind, anvisieren und den Infiltrationszyklus mit diesen neuen Opfern wiederholen.

Für die Entwicklung effektiver IAM- und Verteidigungsstrategien gegen identitätsbasierte Cyber-Bedrohungen ist es von entscheidender Bedeutung, die betrügerischen Taktiken zum Diebstahl von Anmeldedaten und die Wege innerhalb des Unternehmens zu verstehen. Eine robuste IAM-Strategie geht jedoch über die bloße Prävention und Reaktion auf Sicherheitsverletzungen hinaus. Um den mehrschichtigen Infiltrationsversuchen wirksam zu begegnen, ist eine ganzheitliche IAM-Strategie erforderlich, die eine Reihe von Aktivitäten und Technologien zum proaktiven Schutz des Unternehmens umfasst.