Thomas Ehrlich

ist Country Manager DACH und Osteuropa bei Varonis.

Geister im System

Sieht man von der lauten Ransomware ab, suchen Hacker in der Regel einen möglichst leisen und unauffälligen Weg in die Systeme ihrer Opfer. Und während Erpressersoftware in aller Munde ist, stellt eine wesentlich subtilere Angriffsart eine bedeutend größere Gefahr dar: die Nutzung veralteter, nicht mehr benötigter Konten.

Kürzlich zeigte eine Untersuchung, dass durchschnittlich 26 Prozent der Nutzerkonten veraltete, aber nicht deaktivierte Konten (sogenannte “stale accounts”) sind. Wie kommt es zu dieser erschreckenden Zahl und worin liegt eigentlich das Problem dieser Konten?

Log-in Nutzername Passwort (Bild: Shutterstock)

Der hohe Anteil an veralteten Nutzerkonten lässt sich oft auf einen Mangel an Kommunikation zwischen den einzelnen Abteilungen und der IT zurückführen. Die IT-Abteilung kann zwar Änderungen implementieren, aber sie ist auf Informationen anderer Stellen, etwa der Personalabteilung, angewiesen, um sicherzustellen, dass Konten deaktiviert werden. Genau an dieser Stelle hakt es oftmals.

Transparenz und Informationsflut sind weitere Herausforderungen, die es hier zu meistern gilt. Es ist zwar relativ einfach, ein Active-Directory-Skript auszuführen, um die Konten hervorzuheben, auf die für einen bestimmten Zeitraum nicht zugegriffen wurde, aber die bereits überlasteten Abteilungen haben möglicherweise nicht die Ressourcen, um die Aufgabe der Deaktivierung der Konten zu priorisieren. Denn lange nicht genutzte Konten einfach zu deaktivieren, kann auch zu Störungen im Betrieb führen, etwa in Fällen, bei denen Mitarbeiter nach längerer Krankheit wieder ins Büro zurückkehren. Hier sind IT-Abteilungen – oftmals zu Recht – eher vorsichtig.

Ausrangiertes Radarsystem Iris des Flughafens London Heathrow (Bild: The National Museum of Computing)

Unter dem Radar

Gleichzeitig sind diese Geisterkonten ideal für Hacker, denn ihre Nutzung fällt in aller Regel nicht weiter auf. Zum einen gibt es ja keinen aktiven Nutzer, der sich über vermeintlich von ihm selber durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Für Kriminelle sind sie perfekt, um sich in aller Ruhe und ohne Alarm auszulösen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Und je nach Zugriffsrechten können hierbei bereits auch schon Daten unauffällig entwendet werden.

Dabei ist es mittels Social Engineering gar nicht so schwer, entsprechende Nutzer zu identifizieren. Das Augenmerk liegt hier auf Mitarbeitern, die das Unternehmen verlassen haben. Das mag ein wenig Zeit für Recherche in Anspruch nehmen, lohnt sich aus Sicht der Kriminellen aber auf alle Fälle. Das Format und die Struktur von Nutzerkonten lassen sich oft erschließen, unsichere Passwörter sind auch hier leider häufig die Regel.

Und auch im Darkweb finden sich Business-Credentials zu einem gewissen Preis. Generell gilt: Je höher die Position des ehemaligen Nutzers, desto lohnender ist es, da sie in aller Regel legitimen Zugriff auf die “interessanten” Dateien haben, etwa Produktionspläne, Finanzdaten etc. Allerdings gibt es auch zahlreiche Unternehmen, bei denen auch “ganz normale” Angestellte Zugriff auf äußerst sensible Bereiche haben. So zeigte der Varonis Datenrisiko-Report, dass durchschnittlich 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich sind.

Oft komplett übersehen: Service-Accounts

Viele der stale accounts sind Dienstkonten, die von Systemdiensten wie Webservern, Mail-Transport und Datenbanken verwendet werden und in der Regel weitaus weniger kontrolliert werden als Benutzerkonten. Zudem sind sie oft auch privilegiert und können Zugriff auf sensiblere Daten sowie offenen Zugang zu allen Dateien im Netzwerk haben. Darüber hinaus werden sie oft wiederverwendet, was das Sicherheitsrisiko noch zusätzlich erhöht. Zwar gibt es Wege, auch diese Konten zu reglementieren, jedoch werden sie häufig einfach außer Acht gelassen.

Varonis Datenrisiko-Report 2017 (Screenshot: silicon.de)

Wie bekommt man nun dieses Problem in den Griff? Ein Weg ist die Einführung von “Data Ownern”, also Personen, die für die Daten eines bestimmten Bereichs zuständig sind. Sie sollten über eine entsprechende Position in der Abteilung oder bei dem Projekt haben und so in der Lage sein, zuverlässig einschätzen zu können, wer Zugriff auf die entsprechenden Daten benötigt. Außerdem wissen sie auch, wenn ein Mitarbeiter die Abteilung, das Projekt oder die Firma verlässt und können entsprechend die Löschung des Kunden anstoßen. Dieses System hat sich in der Praxis bewährt, erfordert aber einen gewissen (anfänglichen) Organisationsaufwand.

Generell führt kein Weg an der intelligenten Überwachung des Nutzerverhaltens vorbei. Wenn man weiß, welches Verhalten als normal einzustufen ist, erkennt man (genauer gesagt die eingesetzte Lösung), wenn bestimmte Konten auf einmal abnormales Verhalten an den Tag legen, beispielsweise auf Bereiche zugreifen, auf die sie normalerweise nicht zugreifen. Oder wenn ein Dienstkonto, das für Wartungen der Webserver eingerichtet wurde, nun auf sensible Kundendaten zugreift. Gerade im Hinblick auf die DSGVO ist es jetzt an der Zeit, aktiv zu werden.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

In einem ersten Schritt muss identifiziert werden, wo die entsprechenden Daten gespeichert sind. Wir reden hier von oftmals unstrukturierten Daten in den unterschiedlichsten Ordnern. Im Anschluss daran muss man die Datenströme des eigenen Unternehmens kennenlernen um “normales” Verhalten zu definieren und zu erkennen, wer auf welche Daten zugreift. Auf dieser Basis wird geprüft, wer tatsächlich Zugriff benötigt. Hier sollte man sich am “need-to-know”-Prinzip orientieren. Demnach erhalten nur diejenigen Mitarbeiter Zugriff auf Daten, die ihn wirklich für ihre Arbeit benötigen. Glücklicherweise gibt es hierfür Lösungen, welche das Management der Zugriffsrechte automatisieren und damit die IT-Abteilungen entlasten.

Der Versuch, Geisterkonten manuell aufzuspüren, ist aufwändig und mit den vorhandenen Ressourcen der meisten IT-Abteilungen kaum machbar. Auch dies ist ein Grund (neben dem geringen Problembewusstsein), warum diese Aufgabe oftmals hintangestellt wird. Durch Automation wird diese Hürde jedoch überwunden. Auf diese Weise sind die IT-Verantwortlichen in der Lage, fortlaufend nicht mehr benutzte Accounts zu identifizieren. Dadurch sind die Systeme nicht nur einfacher zu verwalten sondern gleichzeitig auch wesentlich weniger anfällig für Angriffe.