Bei der Gewährleistung von Informationssicherheit geht es vor allem um den Schutz von Daten vor unbefugten Zugriffen – zum Beispiel durch Bedrohungsakteure, die gestohlene Daten für geopolitische und finanzielle Zwecke missbrauchen wollen. Seit Kurzem beobachten wir, dass immer mehr Cyberkriminelle Datenexfiltration nutzen, um gleich drei Mal abzukassieren. Sie lassen sich für die Rückgabe und die Vernichtung der gestohlenen Daten und dafür bezahlen, dass sie die Änderungen an den zurückgegebenen Daten preisgeben.
Stellen uns wir uns nun die Angriffskette vor. Wir fangen allerdings mit dem Ende an, also dem Zeitpunkt, an dem die kriminellen Akteure die Datenexfiltration verwirklichen. In Unternehmen liegen Daten nicht einfach irgendwo herum, sodass jeder darauf zugreifen kann. Stattdessen gibt es Zugriffsrechte, die von der Identität der Mitarbeiter abhängen. Ein Beispiel:
- Für eine Microsoft 365 SharePoint-Site gelten Zugriffsrechte, die festlegen, wer vertrauliche Dateien herunterladen kann.
- Über die Anmeldedaten eines Rechners ist festgelegt, wer auf die Dateien auf dem Gerät zugreifen kann.
Unabhängig vom Speicherort der Daten ist also die Identität der entscheidende Faktor für den Zugriff auf diese Daten. Cyberkriminelle wissen, dass sie mit Zugriff auf die richtige Identität Zugang zu den wichtigsten Assets eines Unternehmen erhalten. Sie planen also ihren Angriff und bewegen sich lateral von einer Identität zur nächsten, um ihre Berechtigungen zu erweitern und sich damit Zugang zu den Dateien zu verschaffen.
Bei diesen Schachzügen kann es auch dazu kommen, dass die Angreifer kompromittierte Anmeldedaten für lokale Administratorkonten nutzen und als Schattenadministrator mit umfassenden Berechtigungen auf vertrauliche Dateien zugreifen. In der Phase nach der Kompromittierung ist die laterale Bewegung über kompromittierte Identitäten die standardmäßige Vorgehensweise von Bedrohungsakteuren.
Die entscheidende Rolle von E-Mails bei der Verwirklichung von Angriffszielen
Wenn wir die Schachzüge in der Angriffskette zurückverfolgen, wirft das unter anderem folgende Fragen auf: „Was war der erste Zug der Angreifer?“ und „Wie konnten sie überhaupt in die Unternehmensumgebung eindringen?“
Wenn wir beim Thema Identität bleiben, dann ist die nach außen hin sichtbare Form der Identität die allgegenwärtige E-Mail-Adresse. Der vollständige Name im Verzeichnis, die Anmeldedaten für den Rechner, die Microsoft 365-Identität – all das ist miteinander verbunden und von außen durch die E-Mail-Adresse zugänglich.
Leider wissen das die Angreifer. Und daher gilt:
- Kriminelle Akteure nutzen weiterhin am häufigsten die E-Mail als Bedrohungsvektor.
- Nach wie vor verbreiten Angreifer Malware über E-Mails.
- BEC-Betrug (Business Email Compromise) ist weltweit ein milliardenschweres Problem.
- Auch Anmeldedaten-Phishing-Angriffe erfolgen über E-Mail.
- Die E-Mail ist und bleibt für viele Bedrohungsakteure der Erstzugriffsvektor bei einem Angriff.
Deshalb steht der Schutz der Menschen – Ihrer Mitarbeiter – bei Proofpoint im Mittelpunkt. Wenn Bedrohungsakteure Mitarbeiter angreifen, nutzen sie dazu ihre E-Mail-Adressen, Identitäten und die Daten, auf die mit diesen Identitäten zugegriffen werden kann.
Das unterscheidet uns von anderen Anbietern. Kein anderer Anbieter auf dem Markt ist in der Lage, die notwendigen mehrschichtigen Sicherheitsmaßnahmen zu bündeln und Unternehmen vor der gesamten Angriffskette der Bedrohungsakteure zu schützen.