Steigende Cyberkriminalität: Einfallstor «Passwort»

Erleichtert werden dieses auch durch die stetig voranschreitende digitale Transformation und die damit einhergehende Verzahnung von Information Technology (IT) und Operational Technology weiter (OT) voran. Denn bei allen Vorzügen gibt es bei dieser Entwicklung eine Schattenseite: Weltweit nutzen Cyberkriminelle vermehrt diese enge Verknüpfung für ihre Attacken. Sind diese erfolgreich können die Folgen mannigfaltig sein: Vom Entwenden personenbezogener Daten, die jedes Unternehmen erhebt und deren Schutz gesetzlich geregelt ist, über den Diebstahl interner Daten beispielsweise aus der Forschungs- und Entwicklungsabteilung, bis hin zum Totalausfall der Produktion oder dem Entzug von Kapital durch CEO Fraud. Sie können also fatale wirtschaftliche Folgen für den betroffenen Industriebetrieb haben. Doch wie erlangen Cyberkriminelle Zugang und wie können sich Unternehmen dagegen schützen?

Erpressung und Produktionsausfälle durch Ransomware-Angriffe
Tagtäglich sehen sich Unternehmen mit hunderten bis tausenden Angriffen über Brute Force, Password Spraying oder Password Dictionary Attacks konfrontiert. Laut einer Studie des Beratungsunternehmens Ey haben 40 Prozent der Unternehmen in den vergangenen drei Jahren konkrete Hinweise auf Cyberangriffe beziehungsweise Datenklau erhalten, gut jedes vierte Unternehmen sogar auf mehrfache Cyber-angriffe beziehungsweise Datenklau. Tendenz stark steigend [2]. Angriffspunkt Nummer eins sind die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Passwörter.
Auch Ransomware-Angriffe bauen auf diesen Methoden auf, haben aber in erster Linie die (vorübergehende) Sabotage der IT/OT zum Ziel, die allein durch Zahlung eines Lösegeldes rückgängig gemacht werden kann. Im Unterschied zu anderen Cyberangriffen geht es daher primär nicht darum Schaden zu erzeugen, sondern «nur» darum Geld zu verdienen. Die Höhe des Lösegelds hängt von den Tätern, die den Angriff durchführen, und der bedrohten Organisation ab. Angestrebt ist seitens der Kriminellen ein möglichst grosses Schadensszenario aufzubauen. Worauf es diese abgesehen haben, verdeutlicht beispielsweise der Angriff auf die Schweizer Swissport International AG am 3. Februar 2022. Das Unternehmen mit Sitz in Zürich bietet Bodendienste wie Flughafensicherheit, Lounge-Betreuung, Check-in-Gates, Gepäckabfertigung, Flugzeugbetankung und Enteisung an. Die Ransomware-Gruppe BlackCat (alias ALPHV) hat die Verantwortung für den Angriff übernommen. Zu den abgeschöpften Daten gehörten Geschäftsdokumente, Steuerklärungen, Kopien von Pässen und Ausweisen, und persönliche Informationen sowie Aufzeichnungen zu Stellenbewerbern. Darüber hinaus war die Support-Website von Swissport einen Tag lang nicht erreichbar. Durch die System-Beeinträchtigungen kam es am Flughafen Zürich bei 22 Flügen zu Verspätungen. Ob weitere von Swissport betreute Flughäfen ebenfalls betroffen waren, ist unklar [3].
Die Auswirkungen eines Angriffs können also weitreichend und schnell sein. Unternehmen haben sofort keinen Zugriff mehr auf wichtige Dokumente und Systeme, in manchen Fällen sogar auf ihr gesamtes Netzwerk. Die Produktivität kann für einige Tage bis hin zu einigen Wochen zum Erliegen kommen.
Das kann sehr teuer werden, so zahlte das Management der Colonial Pipeline $ 4,4 Millionen [4] Lösegeld. Und dies ist nur ein Teil des verursachten Schadens. Die Auswirkungen eines Angriffs lassen sich an den finanziellen Kosten, dem Produktivitätsverlust, den zusätzlichen Aufwand für die Behebung der Schwachstelle und der Schädigung des Rufs ablesen. Sophos, ein weltweit führender Anbieter von Cybersicherheit, hat in seiner Studie «The State of Ransomware 2021» [5] herausgefunden, dass sich die durchschnittlichen Gesamtkosten für die Wiederherstellung nach einem Ransomware-Angriff innerhalb eines Jahres mehr als verdoppelt haben und von 761.106 US-Dollar im Jahr 2020 auf $ 1,85 Millionen im Jahr 2021.

Was tun? Passwortsicherheit an erste Stelle setzen.
Angriffspunkt Nummer eins sind nach wie vor die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Passwörter. Die Nutzung von Passwörtern, auch wenn schon lange totgesagt, ist immer noch die häufigste, und sofern starke Passwörter verwendet werden, eine sichere Methode, um sich im Netzwerk zu authentifizieren. Durch den Faktor Mensch, kann diese Methode zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette werden, wenn schwache oder kompromittierte Passwörter verwendet werden. Vor diesem Hintergrund gilt es im ersten Schritt für den IT-Sicherheitsbeauftragten zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System), den aktualisierten Empfehlungen des NCSCs beziehungsweise des neuen Informationssicherheitsgesetz (ISG), das auf international anerkannten Standards, insbesondere ISO 27001 und NIST: National Institute of Standards and Technology, basiert, Rechnung tragen.

Aller Anfang ist die Analyse des Ist-Zustands
Zunächst ist es wichtig eine Bestandsaufnahme, der im Unternehmen verwendeten Passwortrichtlinien zu machen. Für dieses Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf sämtliche passwortrelevanten Schwachstellen. Die Software scannt und überprüft die Passwort-Hashes der Benutzerkonten und gleicht sie gegen eine Datenbank mit kompromittierten Passwörtern, eine sogenannte Breached-Password-List, ab. Die Offline-Datenbank umfasst beispielsweise bei der kostenlosen Version des Specops Password Auditor mehr als 800 Millionen Passwort-Hashes (die in der Vergangenheit durch Datendiebstahl bekannt geworden sind). Bei kostenpflichtigen Angeboten sind die Datenbanken bedeutend grösser: So umfasst die Specops Gesamtdatenbank 3 Milliarden kompromittierte Kennwörter.
Die gesammelten Informationen werden anschliessend in einem Audit-Bericht, der anonymisiert werden kann, das heisst ohne Anzeige der Benutzernamen, ausgegeben. Dies ermöglicht es Unternehmen, die Sicherheitsrisiken zu bewerten und entsprechend zu handeln.

Im Mittel- und Knackpunkt: Starkes Passwort
Im Anschluss geht es darum technische und/oder organisatorische Massnahmen zu implementieren, die den Einsatz starker Passwörter im Idealfall unternehmensweit garantieren.
Um die Stärke dieser zu gewährleisten ist es wichtig, möglichst lange Passwörter zu nutzen. Denn wo in den vergangenen Jahren beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität empfohlen wurde, ist heute klar, dass man damit keine starken Passwörter mehr bilden kann. Im Gegenteil: starke Passwörter müssen heutzutage in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu verwenden.
Die Durchsetzung dieser und weiterer Richtlinien, wie zum Beispiel eine jährliche Passwortänderung, kann durch den Einsatz einer Third Party Password Policy beziehungsweise eines externen Passwortfilters für das Active Directory sichergestellt werden.
Um die Stärke der Passwörter noch besser zu gewährleisten, müssen zudem zwingend alle Kennwörter gegen Listen mit kompromittierten Passwörtern validiert und einfach zu erratene Kennwörter blockiert werden.

Fazit
Die Bedrohungslage durch Cyberkriminelle nimmt weiter zu, auch getrieben durch weltpolitische Krisenherde. Dabei haben Ransomware-Attacken einen hohen Anteil. Laut dem Magazin Watson hing 2021 fast jede zweite Cyberattacke mit Ransomware zusammen, sprich Angriffen von Erpressungshackern. Tendenz hinsichtlich Häufigkeit, Intensität und Auswirkungen steigend [6]. Gleichzeitig ist die Bedeutung der Durchsetzung von starken Passwörtern in einer zunehmend dezentral organisierten Unternehmenswelt, in der sich IT und OT mehr und mehr vernetzen, wichtiger denn je und sollte nicht dem Zufall überlassen werden.
Nötig ist es daher, die Schwachstelle Passwort in einen effektiven Schutz und aktiven Posten in der Gefahrenabwehr umzugestalten. Hilfreich, wenn nicht unentbehrlich, ist dabei der Einsatz von Third Party Passwort Filtern als technische Massnahme.

ZUM AUTOR
Stephan Halbmeier
Product Specialist
Specops Software GmbH
Gierkezeile 12
D-10585 Berlin
T +49 (0)761 6004 6503
www.specopssoft.de