Kompromittierte Anmeldeinformationen: Ursachen, Beispiele und Abwehrmaßnahmen

Was sind Angriffe auf kompromittierte Anmeldeinformationen?

Angriffe auf kompromittierte Anmeldeinformationen erfolgen, wenn sich ein Angreifer mithilfe gültiger Anmeldeinformationen wie Benutzernamen und Passwörter unbefugten Zugriff auf ein System verschafft. Bei diesen Angriffen werden in der Regel gestohlene oder durchgesickerte Anmeldeinformationen ausgenutzt, die durch Datenlecks, Phishing-Betrug oder Malware-Infektionen erlangt wurden.

Cyberkriminelle nutzen diese kompromittierten Anmeldeinformationen, um unbemerkt in Systeme einzudringen, was eine erhebliche Bedrohung für die Unternehmenssicherheit und die Privatsphäre des Einzelnen darstellt.

Die Auswirkungen dieser Angriffe gehen weit über unbefugten Zugriff hinaus. Durch den Zugriff auf ein Konto können Angreifer vertrauliche Daten abgreifen, Berechtigungen erweitern oder Schadsoftware im Netzwerk verbreiten. Solche Sicherheitsverletzungen führen häufig zu finanziellen Verlusten, Reputationsschäden und rechtlichen Konsequenzen für betroffene Organisationen. Um Abwehrmaßnahmen zu implementieren, ist es entscheidend zu verstehen, wie Angriffe auf kompromittierte Anmeldeinformationen funktionieren.

Dies ist Teil einer Artikelserie über Insider-Bedrohungen.

Die Gefahren kompromittierter Anmeldeinformationen

Sobald ein Angreifer mit gestohlenen Anmeldeinformationen Zugriff erhält, kann er mit denselben Berechtigungen agieren wie ein legitimer Benutzer. Dies erschwert es herkömmlichen Sicherheitssystemen, böswillige Aktivitäten zu erkennen, insbesondere wenn keine Multi-Faktor-Authentifizierung vorhanden ist. Der Angreifer kann sich in das normale Benutzerverhalten einfügen und so längere Zeit unentdeckt bleiben.

Kompromittierte Anmeldeinformationen eröffnen oft die Möglichkeit, sich systemübergreifend Zugriff zu verschaffen. Ein Angreifer kann den ursprünglichen Zugriff nutzen, um Konten mit höheren Berechtigungen oder sensible Datenbanken zu finden und zu kompromittieren. In vielen Fällen verschafft er sich dauerhaften Zugriff, indem er neue Benutzerkonten erstellt oder Hintertüren installiert. So bleibt der Zugriff auch dann bestehen, wenn die ursprünglichen Anmeldeinformationen widerrufen werden.

Diese Angriffe führen häufig zu Datenschutzverletzungen, die vertrauliche Kundeninformationen, geistiges Eigentum oder interne Kommunikation betreffen. Die Folgen sind behördliche Sanktionen, Vertrauensverlust der Kunden und erhebliche Wiederherstellungskosten. In kritischen Umgebungen wie dem Gesundheits- oder Finanzwesen können die Folgen zu Betriebsstörungen oder Risiken für die öffentliche Sicherheit führen.

Der Missbrauch von Anmeldeinformationen ermöglicht zudem den Einsatz von Ransomware, bei der Angreifer Dateien verschlüsseln und Zahlungen verlangen. Alternativ können kompromittierte Konten für weitere Phishing-Kampagnen verwendet werden, bei denen sie sich als vertrauenswürdige Mitarbeiter ausgeben, um andere innerhalb oder außerhalb des Unternehmens zu täuschen.

Häufige Ursachen für kompromittierte Anmeldeinformationen

Phishing und Social Engineering

Phishing- und Social-Engineering-Angriffe missbrauchen Vertrauen oder Dringlichkeit, um Nutzer zur Preisgabe vertraulicher Informationen wie Anmeldedaten zu verleiten. Angreifer geben sich oft als vertrauenswürdige Instanzen wie Banken oder Führungskräfte aus, um ihre Anfragen authentisch erscheinen zu lassen. Diese Betrügereien erfolgen in der Regel per E-Mail, Nachrichten oder über gefälschte Websites und sollen Nutzer dazu verleiten, freiwillig ihre Anmeldedaten preiszugeben.

Der Erfolg von Phishing beruht auf der psychologischen Manipulation menschlichen Verhaltens und der Umgehung technischer Schutzmaßnahmen. Ob durch Spear-Phishing, das auf einzelne Personen abzielt, oder durch groß angelegte Kampagnen – diese Angriffe sind eine der Hauptursachen für die Gefährdung von Anmeldeinformationen. Mitarbeiter und Benutzer müssen geschult werden, um diese Taktiken zu erkennen und im Umgang mit ihnen Vorsicht walten zu lassen.

Keylogger und Malware

Keylogger und Malware sind bösartige Tools, die darauf ausgelegt sind, Benutzereingaben abzufangen oder Systeme zu kompromittieren. Keylogger überwachen und zeichnen Tastatureingaben auf und ermöglichen es Cyberkriminellen, Benutzernamen, Passwörter und andere vertrauliche Informationen abzugreifen. Malware hingegen kann auf gespeicherte Passwortdatenbanken oder Browser-Anmeldeinformationen zugreifen und diese so für Diebstahl anfällig machen.

Keylogger werden oft heimlich als Teil von Phishing-E-Mails, Schadsoftware-Downloads oder infizierten USB-Geräten installiert. Aufgrund ihrer Tarnung bemerken Benutzer dies möglicherweise erst, wenn erheblicher Schaden entstanden ist. Die Implementierung von Endpunktsicherheits- und Anti-Malware-Lösungen ist entscheidend, um diese Ursache für kompromittierte Anmeldeinformationen zu bekämpfen.

Dark Web-Marktplätze

Sobald Zugangsdaten gestohlen wurden, werden sie häufig auf Darknet-Marktplätzen verkauft. Diese Online-Foren ermöglichen es Cyberkriminellen, gestohlene Daten, einschließlich Anmeldedaten, relativ günstig zu handeln. Käufer können diese Zugangsdaten dann für betrügerische Aktivitäten wie Identitätsdiebstahl, Finanzbetrug oder weitere Verstöße verwenden, was Darknet-Marktplätze zu einem Zentrum der Cyberkriminalität macht.

Um den Teufelskreis der Anmeldedatenmissbrauchs zu durchbrechen, müssen Unternehmen das Darknet auf Anzeichen von Datendiebstahl überwachen und umgehend Maßnahmen ergreifen, um alle gefährdeten Konten zu sichern. Unternehmen müssen außerdem in Tools zur Erkennung von Sicherheitsverletzungen investieren, um ihre Anfälligkeit zu verringern, und ihre Benutzer über die Risiken von Datenschutzverletzungen aufklären.

Credential Stuffing und Brute Force

Credential Stuffing und Brute-Force-Angriffe zielen darauf ab, wiederverwendete oder schwache Passwörter auszunutzen. Cyberkriminelle automatisieren diese Angriffe und testen Tausende gestohlener Anmeldeinformationen auf mehreren Plattformen, um Konten mit demselben Passwort zu identifizieren. Brute-Force-Angriffe hingegen raten Zeichenkombinationen, bis die richtige gefunden ist, und zielen auf Konten mit schwachem Passwortschutz ab.

Der Erfolg solcher Angriffe ist oft auf mangelnde Passworthygiene zurückzuführen, beispielsweise die Verwendung allgemeiner Phrasen oder die Wiederverwendung von Passwörtern auf mehreren Websites. Die Durchsetzung strenger Passwortrichtlinien und die Nutzung einer Multi-Faktor-Authentifizierung sind wirksame Maßnahmen zur Abwehr dieser Bedrohungen, da sie die Durchführbarkeit automatisierter Angriffe einschränken.

Aktuelle Beispiele für Angriffe auf kompromittierte Anmeldeinformationen

Eine Reihe spektakulärer Angriffe in den letzten Jahren verdeutlicht die weit verbreitete Bedrohung durch kompromittierte Anmeldeinformationen. Nachfolgend finden Sie detaillierte Beispiele:

• Duo Security (April 2024): Duo, ein Multi-Faktor-Authentifizierungsdienst von Cisco, wurde Opfer eines Credential-Stuffing-Angriffs, der die Nachrichtenprotokolle von über 40.000 Kunden gefährdete.
• Microsoft (November 2023 – Januar 2024): Microsoft gab bekannt, dass es über einen Zeitraum von drei Monaten Opfer einer koordinierten Credential-Stuffing-Kampagne geworden sei. Der Angriff wurde Midnight Blizzard (auch bekannt als Nobelium) zugeschrieben, einem vom russischen Staat gesponserten Bedrohungsakteur.
• 23andMe (2023): Das Genetikunternehmen wurde Opfer eines Credential-Stuffing-Angriffs, bei dem rund eine Million Kundendaten offengelegt wurden. Die Angreifer nutzten zuvor durchgesickerte Anmeldeinformationen, um Zugriff auf Benutzerkonten zu erhalten, und umgingen Standardabwehrmechanismen durch die Wiederverwendung von Anmeldeinformationen.
• Norton LifeLock (2023): Bei einem auf Anmeldeinformationen basierenden Angriff auf den Cybersicherheitsanbieter wurden rund 925.000 Kundenkonten angegriffen. Die Angreifer versuchten, sich mit Anmeldeinformationen anzumelden, die sie aus anderen Datenlecks erbeutet hatten.
• Okta (2023): Ein Hacker nutzte gestohlene Anmeldeinformationen, um in das Kundensupportsystem von Okta einzudringen und sich unbefugten Zugriff auf sensible Backend-Umgebungen zu verschaffen.
• PayPal (Dezember 2022): Hacker haben die Anmeldedaten von 35.000 Benutzerkonten erbeutet und ausgenutzt. Obwohl PayPal keine finanziellen Verluste oder nicht autorisierten Transaktionen meldete, war das Unternehmen aufgrund des Datenlecks gezwungen, Passwörter zurückzusetzen und die betroffenen Konten zu überwachen.

Diese Vorfälle zeigen, dass kein Unternehmen vor Angriffen auf kompromittierte Anmeldeinformationen gefeit ist und dass Sicherheitsmaßnahmen eine robuste Benutzerauthentifizierung, Überwachung und Protokolle für eine schnelle Reaktion auf Vorfälle umfassen müssen.

Tools und Techniken zur Erkennung kompromittierter Anmeldeinformationen

Überwachung von Sicherheitsverletzungen und Dark-Web-Scanning

Tools zur Überwachung von Sicherheitsverletzungen und zum Scannen des Darknets durchsuchen kontinuierlich öffentliche Datenspeicher und Untergrundforen nach gestohlenen Anmeldeinformationen. Diese Tools vergleichen die gefundenen Daten mit internen Benutzeranmeldeinformationen und benachrichtigen Unternehmen, wenn Übereinstimmungen gefunden werden. Diese proaktive Erkennung ermöglicht eine schnelle Reaktion auf Vorfälle – beispielsweise das Erzwingen einer Passwortzurücksetzung –, bevor Angreifer die offengelegten Anmeldeinformationen ausnutzen können.

Sicherheitsdienste wie „Have I Been Pwned“, „SpyCloud“ und kommerzielle Threat-Intelligence-Plattformen integrieren automatisierte Warnmeldungen in Sicherheitsabläufe. Die Integration der Überwachung von Sicherheitsverletzungen in Identitätsmanagementsysteme trägt dazu bei, das durch offengelegte Konten verursachte Sicherheitsrisiko zu begrenzen.

Endpunkterkennung und -reaktion

Endpoint Detection and Response (EDR)-Systeme überwachen die Aktivität auf einzelnen Geräten, um verdächtiges Verhalten zu erkennen, das auf die Verwendung kompromittierter Anmeldeinformationen hindeuten könnte. Wenn ein Gerät beispielsweise mit bekannten Schadservern kommuniziert, unbekannte Software installiert oder ungewöhnlich auf vertrauliche Dateien zugreift, generieren EDR-Tools Warnmeldungen.

EDR-Plattformen zeichnen auch die historische Endpunktaktivität auf und unterstützen so forensische Untersuchungen. Diese Transparenz ist entscheidend, wenn kompromittierte Anmeldeinformationen in Kombination mit Malware verwendet werden oder um mithilfe nicht autorisierter Tools oder Skripte Persistenz zu gewährleisten.

Analyse des Benutzer- und Entitätsverhaltens

Lösungen zur Analyse des Benutzer- und Entitätsverhaltens (UEBA) erstellen Verhaltensgrundlagen für Benutzer und Systeme und erkennen Abweichungen, die auf einen Missbrauch von Anmeldeinformationen hindeuten können. Wenn sich beispielsweise ein Benutzer plötzlich aus einem anderen Land anmeldet oder außerhalb der normalen Arbeitszeiten auf große Datenmengen zugreift, kennzeichnet UEBA diese Anomalie.

Diese Systeme verbessern die Erkennungsgenauigkeit durch die Korrelation mehrerer Verhaltenssignale und reduzieren so Fehlalarme. UEBA ist besonders effektiv bei der Erkennung von Insider-Bedrohungen und komplexen Angriffen, bei denen kompromittierte Anmeldeinformationen heimlich verwendet werden.

Sicherheitsinformations- und Ereignismanagement

SIEM-Systeme (Security Information and Event Management) aggregieren Protokolle und Ereignisse aus der gesamten Infrastruktur eines Unternehmens. Sie korrelieren Authentifizierungsversuche, Endpunktaktivitäten und Netzwerkverkehr, um Anzeichen kompromittierter Konten zu erkennen.

SIEM-Plattformen unterstützen Echtzeit-Warnungen und automatisierte Workflows und ermöglichen so eine schnelle Eindämmung von anmeldedatenbasierten Angriffen. Sie sind außerdem von entscheidender Bedeutung für die Compliance-Berichterstattung und die Analyse nach Vorfällen. Sie helfen Teams, Angriffsvektoren zu verstehen und zukünftige Abwehrmaßnahmen zu optimieren.

5 Best Practices für starke Anmeldeinformationssicherheit

1. Erzwingen Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene, die über einen einfachen Benutzernamen und ein Passwort hinausgeht. Indem sie Benutzer dazu auffordern, ihre Identität mit einem zweiten Faktor zu verifizieren – beispielsweise einem an ihr Telefon gesendeten Code, einem Hardware-Token oder einer biometrischen Überprüfung – erschweren Unternehmen Angreifern den unbefugten Zugriff erheblich, selbst wenn die Anmeldeinformationen kompromittiert sind. Dieser zweite Faktor schafft eine Barriere, die automatisierte Angriffe wie Credential Stuffing und Brute-Force-Versuche nicht so leicht umgehen können.

Eine effektive 2FA-Implementierung sollte alle Zugriffspunkte abdecken, einschließlich VPNs, Cloud-Diensten und internen Systemen. Es ist wichtig, 2FA konsequent durchzusetzen, ohne Ausnahmen für Benutzer mit hohen Berechtigungen, die häufig Ziel von Angriffen sind. Benutzerschulungen und eine nahtlose Integration in bestehende Arbeitsabläufe tragen zur Akzeptanz bei und reduzieren Reibungsverluste. Backup-Methoden – wie Wiederherstellungscodes – sollten sicher verwaltet werden, um Sperrungen zu vermeiden.

2. Implementieren Sie die adaptive Authentifizierung

Die adaptive Authentifizierung stärkt die Zugriffskontrolle durch eine dynamische Risikobewertung bei Anmeldeversuchen. Sie wertet Kontextsignale wie Geolokalisierung, Gerätefingerabdruck, IP-Reputation und Anmeldezeit aus, um zu bestimmen, ob eine zusätzliche Überprüfung erforderlich ist.

Bei Anomalien – wie etwa einer Anmeldung von einem ungewöhnlichen Ort oder einem neuen Gerät – kann das System eine Multi-Faktor-Authentifizierung anfordern oder den Zugriff vollständig blockieren. Durch die Reaktion auf Echtzeitbedingungen schafft die adaptive Authentifizierung ein Gleichgewicht zwischen Benutzerfreundlichkeit und erhöhter Sicherheit und erschwert Angreifern so den Missbrauch gestohlener Anmeldeinformationen.

3. Führen Sie regelmäßige Credential-Audits durch

Bei der Prüfung von Anmeldeinformationen werden regelmäßig Benutzerzugriffsrechte, Kennwortpraktiken und die Kontonutzung systemübergreifend überprüft und verifiziert. Diese Prüfungen helfen dabei, inaktive Konten, redundante Berechtigungen und veraltete Anmeldeinformationen zu identifizieren, die zu Sicherheitsrisiken führen können.

Automatisierte Tools können bei der Prüfung helfen, indem sie Unstimmigkeiten wie mehrere fehlgeschlagene Anmeldeversuche, veraltete Passwort-Hashes oder inkonsistente Zugriffsmuster aufzeigen. Der sofortige Widerruf ungenutzter oder unnötiger Anmeldeinformationen ist entscheidend, um die Angriffsfläche zu reduzieren. Darüber hinaus stellt die Durchsetzung des Prinzips der geringsten Privilegien sicher, dass Benutzer nur den für ihre Rolle erforderlichen Zugriff behalten.

4. Bieten Sie fortlaufende Schulungen zum Sicherheitsbewusstsein an

Mitarbeiter sind oft die erste Verteidigungslinie gegen Angriffe auf Anmeldeinformationen. Regelmäßige Sicherheitsschulungen helfen Benutzern, Phishing-Versuche zu erkennen, unsichere Praktiken zu vermeiden und die Bedeutung des Schutzes von Anmeldeinformationen zu verstehen.

Schulungsprogramme sollten simulierte Phishing-Kampagnen, aktuelle Bedrohungsbeispiele und klare Protokolle zur Meldung verdächtiger Aktivitäten beinhalten. Die Anpassung der Sitzungen an bestimmte Rollen oder Abteilungen erhöht die Relevanz und das Engagement. Die Vertiefung durch Microlearning oder monatliche Tipps kann das Bewusstsein langfristig aufrechterhalten.

5. Achten Sie auf anomale Anmeldemuster

Eine effektive Überwachung umfasst die kontinuierliche Analyse der Anmeldeaktivitäten auf Unregelmäßigkeiten, die auf kompromittierte Konten hinweisen können. Dazu gehören Anmeldungen aus verschiedenen Regionen innerhalb kurzer Zeiträume, übermäßige Anmeldeversuche oder der Zugriff auf ungewöhnliche Ressourcen.

Security Operations Center (SOCs) sollten automatisierte Erkennungstools einsetzen, um verdächtiges Verhalten zu melden und zu untersuchen. Die Integration mit SIEM- und UEBA-Plattformen verbessert die Transparenz im gesamten Netzwerk und ermöglicht eine schnellere Erkennung und Reaktion auf Bedrohungen. Warnmeldungen sollten umsetzbar sein und Kontextinformationen wie den Verlauf des Benutzerverhaltens und Bedrohungsinformationen liefern, um zeitnahe Entscheidungen zu ermöglichen.

Schutz kompromittierter Anmeldeinformationen mit Exabeam

Die UEBA-Engine von Exabeam in New-Scale Analytics wurde entwickelt, um Bedrohungen durch gestohlene oder missbrauchte Anmeldeinformationen zu erkennen. Sie lernt das normale Verhalten jedes Benutzers und Systems in der gesamten Umgebung. Sie können sie als Teil der vollständigen Exabeam New-Scale Fusion SIEM-Plattform einsetzen oder New-Scale Analytics unabhängig nutzen, um Ihr bestehendes SIEM zu erweitern. Anstatt sich auf statische Regeln oder vordefinierte Warnmeldungen zu verlassen, analysiert sie kontinuierlich Aktivitäten, um Abweichungen wie Anmeldungen zu ungewöhnlichen Zeiten, Zugriffe auf sensible Systeme, die zuvor nicht berührt wurden, oder große Datenübertragungen außerhalb des erwarteten Musters zu identifizieren. Diese Verhaltensanomalien helfen dabei, Angriffe aufzudecken, die sich mit legitimen Zugriffen tarnen, einschließlich Insider-Bedrohungen oder externer Akteure mit gültigen Anmeldeinformationen.

Die Engine unterstützt Smart Timelines, die Vorfälle automatisch rekonstruieren, ohne dass manuelles Zusammenfügen der Protokolle erforderlich ist. Dadurch werden Routineaufgaben um 30 % reduziert. Analysten profitieren von einer klaren und kontextbezogenen Ansicht verdächtigen Verhaltens, was die Untersuchungszeit um bis zu 80 % verkürzt. Durch die Identifizierung der relevantesten Bedrohungen und die Ausblendung von Störsignalen reduziert Exabeam die Alarmmüdigkeit um 60 % und ermöglicht es Teams, Vorfälle im Vergleich zu herkömmlichen Tools 50 % schneller zu erkennen und darauf zu reagieren.

In der Praxis sind kompromittierte Anmeldeinformationen für die meisten schwerwiegenden Sicherheitsverletzungen verantwortlich. Laut Delta Airlines half Exabeam dabei, Angriffe auf Anmeldeinformationen zu identifizieren, die monatelang unbemerkt geblieben waren. Die Plattform analysiert das Verhalten aller relevanten Datenquellen, um diese subtilen Bedrohungen frühzeitig zu erkennen, selbst wenn es keine offensichtlichen Anzeichen gibt. Sicherheitsteams, die Exabeam nutzen, konnten innerhalb von Minuten erfolgreich auf Vorfälle reagieren, Service-Level-Agreements einhalten und ihre Fähigkeit verbessern, komplexe Bedrohungen zu stoppen, bevor Schaden entsteht.

Um zu erfahren, wie Exabeam Angriffe auf kompromittierte Anmeldeinformationen in jeder Umgebung erkennt und durch Verhaltensanalysen und Automatisierung eine schnellere Reaktion ermöglicht, Lesen Sie diese Lösungsübersicht zu kompromittierten Anmeldeinformationen. Sie enthält Beispiele aus der Praxis, wichtige Erkennungstechniken und Best Practices, um Ihre Abwehr noch heute zu stärken.

Demo anfordern und sehen Sie Exabeam in Aktion