Das Geschäft mit gestohlenen Login-Daten
Sicher trotzt Datenleaks – 10 Grundsätzliche Maßnahmen
Geleakte Zugangs-Daten betreffen also nicht nur die Nutzer selbst, sondern auch Unternehmen aller Größen und über unterschiedliche Branchen hinweg. Um den Schaden sogenannter Compromised Credentials besser abwehren und eindämmen zu können, sollten Unternehmen einige einfache Grundregeln im Umgang mit Passwörtern, Accounts und bekannten Datenleaks beachten.
- Etablieren von Richtlinien, die klar vorgeben, welche externen Services über unternehmenseigene E-Mail-Accounts genutzt werden dürfen. Vor allem Social Media-Plattformen sowie Dating- und Gaming-Websites gehören dabei auf die rote Liste.
- Einführen einer unternehmensweiten Lösung für das Passwort-Management. Das erhöht nicht nur die Sicherheit für interne Storage- und Filesharing-Lösungen, sondern garantiert auch starke und sichere Passwörter.
- Erfassen und Überprüfen bereits genehmigter externer Services, die den firmeninternen Passwort-Richtlinien und -Formaten entsprechen. Das schafft ein besseres Risikoverständnis und bringt vorhandene Normen und Praktiken auf den kleinsten gemeinsamen Nenner.
- Proaktives Monitoring von Datenbanken, die geleakte Zugangsdaten zur Verfügung stellen (Credential Dumps). Unter Umständen ist auch eine Überprüfung von nicht-firmeninternen Accounts hochrangiger Mitarbeiter (Vorstände, Geschäftsführung, etc.) notwendig, da diese bevorzugt ins Visier von Angreifern geraten.
- Interne/externe Analyse von Credential Dumps. So lässt sich überprüfen, ob es sich bei den geleakten Login-Daten um tatsächlich neue beziehungsweise relevante Daten handelt oder um Duplikate vorausgegangener Datenleaks.
- Einrichten eines mehrstufigen Authentifizierungsprozesses für alle externen Services. Darunter fallen auch Microsoft Outlook Web Access, Secure Sockets Layer Virtual Private Networks (SSL-VPNs), SaaS-Services sowie Google-Anwendungen, Office365 und Salesforce.
- Identifizieren und dokumentieren von intern genutzten Services, die im Falle eines Angriffs nur ungenügend oder zu langsam reagieren.
- Etablieren eines Maßnahmenplans, um im Notfall Passwörter zurückzusetzen. Dabei ist es entscheidend, auch wirklich alle Nutzerkonten einzubeziehen und sich nicht nur auf Microsoft Active Directory-Accounts zu fokussieren.
- Informationen zu kompromittierten Zugangsdaten nutzen. Aktuelle Datenleaks können genutzt werden, um die öffentlich gewordenen Informationen mit im Unternehmen verwendeten Daten abzugleichen. So lassen sich verdächtige Aktionen aufdecken, zum Beispiel bei Zugriff auf bisher nicht genutzte Ressourcen. Voraussetzung dafür sind Lösungen, die eine Analyse des Nutzerverhaltens in Unternehmen ermöglichen.
- Regelmäßigen Mitarbeiterschulungen, um das Bewusstsein für die Gefahren wiederkehrender Logins zu schärfen. Gleichzeitig müssen Mitarbeiter dazu angehalten werden, Tools für ein effektiveres Passwort-Management zu nutzen (zum Beispiel 1Password oder LastPass) – nicht nur für unternehmenseigene, sondern auch für private Accounts.
Etablieren Unternehmen solche grundsätzlichen Richtlinien, sind sie und ihre Mitarbeiter besser auf eventuelle Cyberattacken vorbereitet. Eine umfassende Threat Intelligence –also detaillierte Informationen zu aktuellen Datenleaks, den gefährlichsten Akteuren sowie deren Taktiken und Methoden – hilft den Verantwortlichen ihre Abwehr effektiver aufstellen und im Falle eines Angriffs bessere und schnellere Entscheidungen zu treffen.