Zugangsrechte als Achillesferse der IT

Die vielen Akquisitionen von Dell Technologies machen deren CEO Michael Dell zu einem “Hans Dampf in allen Gassen”. So tritt er nicht nur als Storage-Experte bei der Dell-EMC-World auf, sondern auch als Cloud- und Virtualisierungs-Experte bei VMware und soeben auch als IT-Security-Guru auf der RSA-Konferenz in San Francisco. “Die Digitalisierung der Wirtschaft schreitet rasant voran, doch die damit einhergehenden Technologien müssen mit dem höchsten Grad an Sicherheit implementiert werden”, lautete seine Forderung an die IT-Experten.

Das ist eigentlich keine neue Forderung an die IT-Welt. Das Problem ist jedoch, dass in keinem anderen IT-Bereich Anspruch und Wirklichkeit so weit auseinander klaffen, wie bei der Sicherheit. Zwar steigen die Security-Ausgaben kontinuierlich an, doch dämmt das die nicht Sicherheitsvorfälle ein – im Gegenteil. Ob Kreditkartenbetrug, Diebstahl von Personendaten auf den großen Online-Portalen, Verbreitung von Ransomware oder das Ausspionieren von Unternehmen und Ländern – alles nimmt weiterhin zu.

Das liegt aber weniger daran, dass es keine neuen intelligenten Schutz- und Sicherheitsmaßnahmen gibt, sondern vor allem daran, dass diese durch den Diebstahl von Zugangsdaten unwirksam gemacht werden. “Wer eine E-Mail von seinem Chef bekommt, in der dieser ihn auffordert, sich das beiliegende Dokument anzusehen, der wird die Datei sofort bedenkenlos öffnen. Doch diese E-Mail könnte eine geschickte Phishing-Mail sein, die den Leser täuscht und zum Öffnen der Malware verleitet”, sagt Roi Abutbul, CEO von Javelin Networks.

Das Start-up ist auf die Absicherung von Microsofts Active Directory (AD) spezialisiert und hat soeben fünf Millionen Dollar Wagniskapital erhalten. Laut Abutbol nutzen etwa 90 Prozent aller Unternehmen weltweit AD für Verwaltung und Management der gesamten IT-Infrastruktur. Doch laut einer Untersuchung von Skyport Systems ist AD bei den meisten Unternehmen nur unzureichend geschützt.

“Bei über der Hälfte der untersuchten Firmen nutzen die Administratoren denselben Log-in für AD, den sie auch für alles andere verwenden. Nicht einmal ein Viertel nutzt für den AD-Zugang eine mehrstufige Sicherung”, heißt es in dem Bericht. Die Lösung muss folglich eine bessere automatisierte Absicherung der Zugangsrechte sein.

“Die Cyber-Security-Branche konzentriert sich mit ihren Technologien zu sehr auf die Absicherung der PCs, der Anwendungen, des Netzwerks, der mobilen Endgeräte und so weiter, doch die wichtigste Komponente – das Active Directory – in dem sämtliche Informationen über alle Server und Endpunkte abgelegt sind, ist komplett ungeschützt”, so Abutbol weiter. Das bedeute, dass ein Angreifer, der einen AD-Zugang erreicht hat, alle Anwendungen und Server für sich nutzbar machen kann; er hat also unbegrenzten Zugang zu allen Informationen, ohne dass seine Aktivitäten irgendwo auffallen.

Die Javelin-Lösung besteht im Kern aus einer Scheinwelt. Sobald ein Angriff festgestellt wird, wird dem Angreifer ein falsches AD präsentiert, das der richtigen täuschend ähnlich ist, aber keinen weiteren Schaden verursacht. “Der Angreifer meint, es sei ihm gelungen, in das System einzudringen, doch das ist ein Trugschluss”, erläutert Abutol die Funktionsweise.

Auch andere Spezialunternehmen stufen das Risiko von Phishing und gestohlenen Zugangsdaten als besonders hoch ein. “Der Diebstahl von Zugangsrechten mittels ausgeklügelter Phishing-Attacken wird von herkömmlichen E-Mail-Programmen nicht ausreichend verhindert. Es genügt meistens schon ein einziges Log-in, um darüber schnell weitere Informationen über die Person und das Unternehmen auszuspionieren”, meint auch Kowsik Guruswamy, Cheftechnologe bei Menlo Security.

Guruswamy berichtete von einem Unternehmen, bei dem die Zugangsrechte schon vor geraumer Zeit gestohlen wurden, ohne dass das Unternehmen dies bemerkt habe. “Diese Attacke hatte einen neuen Grad an Komplexität. Die Angreifer prüften mehrmals die Kombination von IP-Adresse und Passwörtern, sie simulierten die Log-in-Screens von verschiedenen E-Mail-Providern – zum Beispiel Gmail – und installierten eine Reihe an Scripts, die alle Aktionen und Eingaben des Users protokollierten und an die Angreifer meldeten”, erläuterte Guruswamy seine Beobachtungen.

Menlo Security bietet zur Vermeidung solcher Mega-Diebstähle eine Cloud-basierte Lösung, bei der alle Webseiten-Aufrufe praktisch zwischengespeichert werden und somit ein möglicher Malware-Code nicht mehr in das Unternehmensnetz eindringen kann. Das kann man sich wie eine Art “dynamischen Thin-Client für Webaufrufe” vorstellen. Eine der Partner, der diese Lösung seinen Kunden anbietet, ist seit vergangenem Jahr etwa Fujitsu.

Andere Anbieter nutzen modernste Software-Technologien, um die Endpunkte sicherer zu machen. In diese Kategorie gehört unter Cylance. Das Unternehmen wurde 2015 von Dell als eines von 11 Unterenhmen aus dem Security-Bereich in die Liste der aus Sicht von Dell 50 vielversprechendsten Start-ups aufgenommen. Kurz darauf integrierte Dell die Cylance-Technologie auch in die Schutzmaßnahmen für seine Client-Systeme.

Die Cylance-Lösung analysiert mit Hilfe von Künstlicher Intelligenz und Deep-Learning-Algorithmen, ob ein File sicher oder unsicher ist – und das innerhalb von 100 Millisekunden. “Wir können heute bei jeder eingehenden E-Mail mit 99-prozentiger Sicherheit feststellen, ob es sicher oder gefährlich ist diese zu öffnen”, sagt Cylance-CEO Stuart McClue.