Was ist ein kompromittiertes Konto?

Ein Konto ist kompromittiert, wenn ein Bedrohungsakteur Zugriff auf die Anmeldeinformationen des jeweiligen Nutzers erlangt oder eine andere Möglichkeit findet, in dessen Namen zu handeln. Sind Zugangsdaten einmal gestohlen, macht das ein Konto anfällig für zahlreiche weitere Angriffe wie:

• Ransomware
• Malware, die Fernzugriff ermöglicht (sogenannte Rootkits)
• Keylogger
• Abhören und Diebstahl von Daten
• Rechteausweitung

Methoden, mit denen Bedrohungsakteure Anmeldedaten stehlen, um sich Zugriff auf Konten zu verschaffen, sind unter anderem Phishing, Social Engineering und andere Cyberangriffe.

Jeder Cyberangriff gegen einen Nutzer verfolgt ein Ziel. Die Kompromittierung des Accounts ist dabei meist nur der erste Schritt. Im zweiten Schritt erreicht der Angreifer nämlich sein eigentliches Ziel: Daten zu stehlen, zu zerstören oder Malware im Netzwerk zu installieren. Diese Phase macht je nach Umgebung und Autorisierungsebene des Kontos möglicherweise eine Rechteausweitung erforderlich.

Phishing ist ein beliebtes Tool, mit dem Cyberangreifer Daten ausspionieren. Hacking ist ein Geschäft und eine erfolgreiche Phishing-Kampagne kann Einnahmen in Millionenhöhe einbringen. Doch Datendiebstahl ist nicht die einzige Möglichkeit, Geld zu verdienen. Angreifer kompromittieren Konten auch, um Ransomware zu installieren.

Bei einem Ransomware-Angriff werden Daten mit einem kryptografisch sicheren Verschlüsselungsverfahren verschlüsselt. Besitzt eine Organisation keine oder schlechte Backups, hat sie keine andere Wahl, als dem Angreifer Geld als Gegenleistung für die Freigabe der eigenen Dateien zu schicken. Verweigert die Organisation die Zahlung, droht der Angreifer möglicherweise damit, die gestohlenen Daten der Öffentlichkeit zugänglich zu machen.

Wie kommt es dazu, dass ein Account kompromittiert wird?

Phishing. Phishing-E-Mails sind eine ernsthafte Bedrohung für jedes Unternehmen, denn sie sind immer dann erfolgreich, wenn Menschen Fehler machen. Sobald eine Phishing-E-Mail in einem Posteingang landet, muss der Nutzer erkennen, dass es sich um eine schädliche E-Mail handelt. Die meisten haben jedoch nicht immer die Zeit, eine Nachricht vollständig zu prüfen, bevor sie auf einen Link klicken oder einen Anhang herunterladen.

Menschliches Versagen ist das schwache Glied in der Sicherheit jeder Organisation. Phishing-Angriffe sind effektiv darin, Nutzer zur Preisgabe ihrer Anmeldedaten und anderer vertraulichen Informationen zu verleiten.

Ein Angreifer verfolgt bei einer Phishing-Kampagne meist eine von zwei Strategien. Die erste besteht darin, einen Link zu einer bösartigen Website zu senden, die wie eine offizielle Unternehmensseite aussieht. Nutzer werden dort aufgefordert, ihre Anmeldeinformationen einzugeben. Diese Strategie ist oft dann erfolgreich, wenn Mitarbeiter keine regelmäßige Cybersicherheitsschulung erhalten.

Bei der zweiten Phishing-Strategie sollen Nutzer schädliche Skripte oder ausführbare Dateien auf ihren Geräten ausführen. Für diese Art Angriff kommen häufig Microsoft-Office-Makros zum Einsatz. Nachdem ein Nutzer ein schädliches Dokument geöffnet hat, lädt das Makro Malware herunter. Bei der Malware handelt es sich möglicherweise um einen Keylogger, der die Tastatureingaben des Nutzers aufzeichnet, damit Passwörter abgegriffen werden können. Oder es installiert ein Rootkit, das dem Angreifer Fernzugriff auf das lokale Gerät des Nutzers ermöglicht.

Social Engineering. Diese Strategie nutzt den menschlichen Vertrauensinstinkt aus. Ein Angreifer gibt sich als vertrauenswürdige Person aus, beispielsweise als Mitglied des Operations-Teams, um einen Nutzer zur Herausgabe von Informationen zu verleiten. Es ist wichtig, dass Nutzer lernen, Social Engineering zu erkennen. Nutzer sollten die Identität aller Personen überprüfen, die auf sensible Daten zugreifen wollen, und nicht einfach ihre Zugangsdaten herausgeben, wenn sie danach gefragt werden.

Social Engineering und Phishing sind die beiden Hauptmethoden, mit denen Angreifer Konten gefährden. Es ist jedoch wichtig im Hinterkopf zu behalten, dass sich die Cybersicherheitslandschaft ständig weiterentwickelt. Weitere Methoden, mit denen Angreifer Nutzeranmeldeinformationen und vertrauliche Informationen stehlen, sind:

• Protokolle mit Klartext-Passwörtern
• Kompromittierte Datenbanken, die gespeicherte Passwörter enthalten
• Authentifizierung über Klartextkanäle

Konten in Unternehmensnetzwerken sind nicht die einzigen Ziele. Andere Konten können für Angreifer auf Umwegen ebenfalls nützlich sein. Sie können Angreifern beispielsweise unbeabsichtigt vertrauliche Daten zugänglich machen, was zur Kompromittierung eines kritischen Kontos führen kann.

• Geschäftliche E-Mail-Konten. Diese Konten eignen sich perfekt für eine Kompromittierung, da sie zum Zurücksetzen von Passwörtern in verschiedenen Geschäftsanwendungen verwendet werden. Sie können auch der Ausgangspunkt für eine Rechteausweitung sein. Dabei sendet der Angreifer über das kompromittierte Konto Anfragen für zusätzliche Berechtigungen oder bringt andere Nutzer mit weitreichenden Berechtigungen dazu, ihre Anmeldeinformationen herauszugeben.
• Private E-Mail-Konten. Über ein privates E-Mail-Konto sendet ein Angreifer meist allen gespeicherten Kontakten E-Mails zu senden und versucht sie dazu zu bringen, ihre Anmeldedaten preiszugeben. Diese Art der Kompromittierung wird häufig verwendet, um die Passwörter hochsensibler Konten wie Finanzanwendungen zurückzusetzen.
• Social-Media-Konten. Diese Konten sind oft eine Schatzkammer vertraulicher Nutzerinformationen. Beispielsweise kann ein Facebook-Konto Informationen über den Geburtstag, den Arbeitsplatz, Freunde, Kosenamen, Namen von Kindern und Verwandten eines Nutzers sowie andere persönliche Daten enthalten. All dies kann bei einem Brute-Force-Angriff nützlich sein. Denn Nutzer verwenden häufig persönliche Daten in Passwörtern, wodurch es einem Angreifer beim Kompromittieren von Geschäftskonten hilft, möglichst viele persönliche Daten zu sammeln.
• Finanzkonten. Hierzu gehören Kreditkartenkonten, Bankkonten, Handelskonten oder andere Konten, auf denen Geld abgewickelt wird. Angreifer können Kontoinformationen auf Darknet-Märkten verkaufen oder Geld an sich selbst überweisen. Bankinstitute verfügen über Betrugserkennungssysteme, um eine Kompromittierung ihrer Konten zu verhindern. Nutzer und Unternehmen sollten jedoch weiterhin wachsam sein, um den Diebstahl von Anmeldedaten zu vermeiden.

Angreifer werden ihr Bestes tun, um unerkannt zu bleiben. Sowohl die Nutzer selbst als auch die Monitoring-Systeme eines Unternehmens müssen deshalb stets auf verdächtige Anzeichen für eine Kompromittierung achten. Monitoring-Systeme sammeln kontinuierlich Daten und nutzen künstliche Intelligenz, um genau zu erkennen, wann ein Konto kompromittiert wird.

Es gibt mehrere beobachtbare Indikatoren für ein kompromittiertes Konto:

• Ungewöhnlicher ausgehender Datenverkehr. Wenn es Angreifer darauf abgesehen haben, Daten zu stehlen, senden Sie diese Daten oft Stück für Stück an ein externes Netzwerk, damit es nicht auffällt, wenn große Datenmengen bewegt werden. Wenn sie doch einmal größere Mengen übertragen, tun sie dies meist außerhalb der Hauptgeschäftszeiten.
• Ungewöhnliche Aktivitäten bei Accounts mit weitreichenden Berechtigungen. Nutzer mit weitreichenden Berechtigungen arbeiten häufig mit vertraulichen Daten, tun dies jedoch normalerweise nach einem bestimmten Muster. Zum Beispiel kann ein Mitarbeiter der Personalabteilung jeden Freitag auf Mitarbeiterdaten zugreifen. Wenn der Account dieses Nutzers plötzlich an anderen Tagen auf Mitarbeiterdaten zugreift, ist dies eine verdächtige Aktivität, die überprüft werden sollte.
• Netzwerkanfragen von unbekannten geografischen Standorten. Wenn alle Ihre Mitarbeiter in den USA ansässig sind, könnte ein VPN- oder Netzwerkzugriff von Offshore-IP-Adressen bedeuten, dass ein Konto kompromittiert wurde.
• Eine höhere Zahl fehlgeschlagener Authentifizierungsanfragen. Bei einem Brute-Force-Angriff kommt es zu einer hohen Anzahl fehlgeschlagener Authentifizierungsversuche. Durch Kontosperrungen werden diese Authentifizierungsversuche gestoppt. Ein Angreifer wird es jedoch so lange mit anderen Konten versuchen, bis er die richtigen Zugangsdaten gefunden hat, um einen Account zu kompromittieren.
• Anstieg der Datenbank-Lesevorgänge. Ein Angreifer, der nach anfälligen Daten sucht, durchsucht Datenbanktabellen und sendet dabei mehrere Abfragen.
• Ungewöhnlich hohe Zugriffsversuche auf wichtige Dateien. Bei der Unternehmensspionage sind die wertvollsten Dateien solche, die Geschäftsgeheimnisse und geistiges Eigentum enthalten.
• Verdächtige Konfigurationsänderungen. Ein Angreifer kann Systemkonfigurationen ändern, um eine Hintertür zu hinterlassen, die ihm zukünftigen Zugriff und eine Basis für weitere Angriffe ermöglichen.
• Massenhafter Traffic von einem Gerät zu einer bestimmten Adresse. Gehackte Geräte können als Teil eines Botnetzes für einen Distributed-Denial-of-Service-(DDoS)-Angriff gegen ein bestimmtes Ziel eingesetzt werden.

Manche Angreifer konzentrieren sich auf individuelle Konten, aber Business E-Mail Compromise (BEC) kommt häufiger vor. Denn dadurch erhalten Angreifer Zugriff auf hochsensible Geschäftsdaten. Insbesondere bei Spear-Phishing-Angriffen sind Nutzer mit weitreichenden Berechtigungen häufig die Hauptziele. Durch Zugriff auf das E-Mail-Konto des CEO oder Direktor der Personalabteilung kann ein Angreifer auf nahezu alle Daten im Netzwerk zugreifen.

Sobald Angreifer Zugriff auf das Konto eines solchen Nutzers mit hohen Berechtigungen erhalten haben, geben sie sich in der Regel als ihre Opfer aus. Bei CEO-Betrug gibt sich der Angreifer als CEO aus und sendet E-Mails an ahnungslose Mitarbeiter, um diese z.B. dazu zu bewegen, Geld auf das Konto des Angreifers zu überweisen. Der Angreifer nutzt einen Anschein von Dringlichkeit und die Position des CEO, um Mitarbeiter davon zu überzeugen, das zu tun, was er von ihnen verlangt.

Auch Rechnungsbetrug kommt häufig vor. Ein Angreifer kann sich beispielsweise als Buchhalter eines Unternehmens ausgeben und einen Finanzmitarbeiter anweisen, eine gefakte Rechnung zu bezahlen. Rechnungsbetrug nutzt häufig eine Kombination aus Social Engineering und kompromittierten E-Mail-Konten, um Nutzer gezielt zu täuschen.

Statt Mitarbeiter zu betrügen, kann ein Angreifer das kompromittierte Konto auch nutzen, um Daten zu stehlen. Mit einem Konto mit hohen Berechtigungen können Daten problemlos auf einen externen Server übertragen werden. Angreifer könnten dabei Hintertüren in weniger stark überwachten Standardnutzerkonten verstecken. Oder sie versuchen möglicherweise eine Rechteausweitung, um auf zusätzliche kritische Daten zuzugreifen.

Phishing ist die primäre Methode, mit der Angreifer Zugangsdaten stehlen und Konten kompromittieren. Unternehmen, die nicht über E-Mail-Sicherheits- und Schutzlösungen verfügen, sind einem hohen Risiko für diese Art von Angriffen ausgesetzt. Damit eine E-Mail legitim aussieht, fälschen Angreifer den E-Mail-Header oder registrieren Domain-Namen mit einem Buchstabenfehler, der nicht sofort auffällt. Nutzer, die diese subtilen Anzeichen übersehen, sind anfällig für diese Angriffe.

Menschen verwenden für ihre privaten und geschäftlichen Konten häufig dasselbe Passwort. Nicht jede Website verschlüsselt dabei die Zugangsdaten ihrer Nutzers. Angreifer, die Passwörter aus einer kompromittierten Datenbank stehlen, versuchen oft, diese Passwörter auf anderen Webseiten und in anderen Anwendungen zu verwenden, um zu sehen, ob sie auch dort funktionieren.

Malware kann Nutzer im Stillen ausspionieren und unbemerkt Informationen stehlen. Keylogger, Rootkits und andere Abhörtools ermöglichen es Angreifern, Zugangsdaten zu sammeln und an einen externen Server zu senden. Schädliche Dateien, die an E-Mails angehängt sind, installieren häufig automatisch Malware im Netzwerk, die Angreifern den Zugriff auf Anmeldeinformationen verschafft.

Außerdem erlangen Angreifer aufgrund von schlechten Firewall-Konfigurationen und einem kompromittiertes System Zugriff auf das interne Netzwerk. Einmal drin, kann ein Angreifer das Netzwerk nach anfälligen Daten durchsuchen. Nach einer Kompromittierung sind nahezu alle darin enthaltenen Daten anfällig für Diebstahl und Offenlegung.

Wenn Sie glauben, dass Ihr Konto kompromittiert wurde, haben Sie verschiedene Möglichkeiten. Es gibt mehrere Schritte, die Sie befolgen können, um die Bedrohung zu beseitigen und Ihr Konto wiederherzustellen. Die forensische Untersuchung von Datenverletzungen sollte zwar nur von einem Experten durchgeführt werden. Es gibt jedoch einiges, was Sie selbst tun können, um die unmittelbare Bedrohung einzudämmen und zu beseitigen. Der erste Schritt ist, sich in Ihr Konto einzuloggen und Ihr Passwort zu ändern. Anschließend sollten Sie die Kompromittierung den zuständigen Behörden melden.

Erste Schritte zur Wiederherstellung Ihres Kontos:

• Loggen Sie sich in Ihr Konto ein und ändern Sie Ihr Passwort. Einige Anwendungen (wie etwa die meisten E-Mail-Anbieter) erlauben es Ihnen, alle aktiven Sitzungen zu beenden, sodass Sie sichergehen können, dass Sie die einzige Person sind, die eingeloggt ist.
• Prüfen Sie Ihre E-Mails. Sehen Sie in Ihrem Papierkorb nach, ob andere Passwörter über Ihr E-Mail-Konto zurückgesetzt wurden. Stellen Sie sicher, dass Sie sich bei allen diesen Konten anmelden und auch diese Passwörter zurücksetzen.
• Setzen Sie alle Passwörter für kritische Konten zurück. Dazu gehören Ihre Bankkonten, Ihre Geschäftsressourcen (z. B. wichtige Anwendungen und Datenbanken) und Ihre Social-Media-Konten.
• Richten Sie Multi-Faktor-Authentifizierung (MFA) ein. Dieser Schritt kann eine weitere Kompromittierung verhindern. MFA macht die Eingabe einer zusätzlichen PIN notwendig, wodurch verhindert wird, dass sich ein Dritter bei Ihrem Konto anmeldet, selbst wenn er über Ihre Anmeldedaten verfügt.
• Ändern Sie Ihre Sicherheitsfragen. Wenn Sie nach Haustieren, Familie und anderen persönlichen Informationen gefragt werden, verwenden Sie falsche Angaben, die nichts mit Ihrem Leben zu tun haben.
• Ändern Sie Ihr Passwort alle 30 Tage. Je länger Passwörter bestehen, desto größer ist das Zeitfenster für Angreifer.
• Verwenden Sie für jede Anwendung ein einzigartiges Passwort. Dadurch verhindern Sie, dass nach einer Kompromittierung weitere folgen.
• Installieren Sie einen Cloud-Access-Security-Broker (CASB) oder einen Kontoübernahmeschutz. Suchen Sie nach einer Lösung, die die Untersuchung von Vorfällen beschleunigt und Bedrohungen wie böswillige Änderungen an Postfachregeln, Manipulationen von Drittanbieter-Apps sowie Datenexfiltration in E-Mail- und Cloud-Umgebungen behebt.

Proofpoint kann bei der Überwachung, Abwehr, Untersuchung und Behebung von Accountkompromittierungen und den häufig daraus resultierenden Datenverstößen helfen. Wir verfügen über einen umfassenden Cloud-App-Security-Broker, der Ihre Cloud-Anwendungen überwacht und Sie davor bewahrt, Opfer einer Kompromittierung zu werden. Lassen Sie uns Ihre kritischen Anwendungen sichern, Ihre Nutzer schützen und Ihnen die Tools an die Hand geben, mit denen Sie Angriffe auf Ihre Geschäftskonten vollständig überwachen und abwehren. Unsere Lösungen zum Informationsschutz bestehen aus Technologien sowie Prozessen und Richtlinien, mit denen Sie Ihre vertraulichen Informationen über alle Cloud-Dienste, E-Mails, Endpunkte und lokale Dateifreigaben hinweg schützen.