Zur hippen Jugendsprache gehört der Lapsus sicherlich nicht. Oder wann sind Ihnen Sätze wie "Mir ist ein Lapsus unterlaufen" im heutigen Sprachgebrauch das letzte Mal begegnet? Und doch ist es interessant, dass sich ausgerechnet eine, mutmaßlich aus Jugendlichen bestehende Hackergruppe diesen, vom lateinischen Fehltritt abgeleiteten Namen gibt. Passend ist er allemal. Denn genau dieses eine Versehen, den kleinsten Fehler oder Unachtsamkeiten nutzen Cyberkriminelle, um sich Zugang zu firmeninternen Netzwerken und Systemen zu verschaffen.

Und das gelingt Lapsus$ immer wieder: Die rund 50.000 Abonnenten des Telegram-Kanals bekommen regelmäßig Berichte oder Screenshots erfolgreicher Hacks der Gruppe. Diese prahlt außer mit erbeuteten Daten oder Quellcodes auch immer wieder mit Admin-Passwörtern. Letztere Zugriffsrechte scheinen so lukrativ zu sein, dass Lapsus$ nun sogar "Stellenanzeigen" über Telegram veröffentlicht. Gesucht werden Angestellte, die der Gruppe über VPN oder Citrix Zugang zu Firmennetzwerken oder Remote-Desktop-Anwendungen verschaffen. Kann ein Unternehmen gegen solch vorsätzlichen Missbrauch kaum etwas unternehmen, gilt ansonsten die Prämisse: Phishing-sichere Multifaktor-Authentifizierung, kurz MFA, schützt.

Der Domino-Effekt
Der Grund, warum IT-Administratoren so gezielt ins Visier geraten, liegt auf der Hand: Wer Zugriff auf derart umfassende Rechte hat, kann im Unternehmen größtmöglichen Schaden anrichten. Oder anders ausgedrückt: Fällt der Admin, fällt das Unternehmen. Und dass auch Tech-Größen wie Nvidia, Microsoft oder Vodafone nicht davon verschont bleiben, hat Lapsus$ bewiesen. Das spannende daran: Phishing gibt es jetzt schon über 20 Jahre und doch starten mehr als 90 Prozent aller gezielten Cyberangriffe so – weil es nach wie vor funktioniert.

Was es Cyberkriminellen mittlerweile deutlich einfacher macht, sind die kaum noch vorhandenen Grenzen zwischen der privaten und beruflichen Nutzung. Und damit ist gar nicht unbedingt das "Bring-your-own-Device" gemeint. Laut dem Analyse-Haus Experian registriert sich der durchschnittliche User bei rund 40 Services und Apps mit nur einer einzigen E-Mail-Adresse – und nutzt dabei nur fünf spezifische Passwörter. Und die finden in der Regel sowohl für private als auch berufliche Zwecke Verwendung. Ein gezielter Credential-Phishing-Angriff auf die Privatperson X kann den Hackern somit unter Umständen auch Zugriff zum Netzwerk seines Arbeitgebers verschaffen.

Multifaktor-Authentifizierung sicherer als Passwörter?
Auch deshalb hat das Passwort als einziger Sicherheitsfaktor mittlerweile ausgedient – weil es eben selbst in einer komplexen Form alles andere als ein Sicherheitsfaktor ist. Abgelöst wurde es weitestgehend durch die Multifaktor-Authentifizierung, die vor allem als Heilmittel gegen die Phishing-Angriffe angepriesen wurde. Zahlen der Non-Profit-Organisation Anti-Phishing Working Group APWG zeigen jedoch, dass dies ein Trugschluss war. Denn im dritten Quartal 2022 verzeichnete man dort die größte Anzahl an Phishing-Angriffen seit ihrem knapp 20-jährigen Bestehen. Cyberkriminalität versus IT-Sicherheit ist eben ein Wettrüsten, wo beide Seiten immer wieder nachlegen – Hacker vor allem in puncto Penetranz und Dreistigkeit.

Das unterstreicht das Prompt Bombing, das vor allem in den letzten zwölf Monaten so manchen Mitarbeiter MFA-müde gemacht hat. Über Credentials wie E-Mail-Adresse und /oder Passwort, die erbeutet oder im Darknet eingekauft wurden, werden die Opfer über permanente Login-Versuche mit Aufforderungen zur Authentifizierung quasi bombardiert. Dass dabei versehentlich auch mal eine Anfrage bestätigt wird, liegt auf der Hand – der berühmte Lapsus. In vielen Fällen bekommen die User gar nicht mit, dass ein Account kompromittiert wurde oder man unfreiwillig Tor und Tür zum Unternehmensnetzwerk geöffnet hat.

Admin-Accounts besonders schützen
Was beim durchschnittlichen Angestellten schon in einer mittelschweren Katastrophe für die Unternehmen enden kann, potenziert sich bei Admin-Accounts natürlich noch einmal. Neben Credential-Phishing oder den passwortbasierten Attacken sind gerade Administratoren beliebte Ziele für die sogenannten Adversary-in-the-middle-Angriffe, kurz AitM. Hierfür wird ein Proxy Server zwischen dem User und der Internetseite aufgesetzt. Das Ziel: sowohl die Authentifizierungsinformationen als auch die Session Cookies abfangen, um erneute Anmeldungen, respektive die MFA zu umgehen.

Wo es privilegierte Nutzer wie IT-Administratoren besonders zu schützen gilt, sind Anwendungen wie Mircosoft365 oder Google-Workspace, aber auch sämtliche Zugangsdaten zu Firewalls oder VPNs. Dass die für Hacker genauso beliebt sind, wie Remote Access über Citrix und andere Services, hat Lapsus$ mit seiner Stellenanzeige noch einmal unterstrichen. Außerdem sollten Admins bei Remote-Control-Anwendungen wie TeamViewer oder dem Ticketing auf Phishing-sichere MFA setzen.

Phishing-sichere MFA für Admins
Um zu verstehen, was eine Phishing-sichere MFA von anderen MFA unterscheidet, lohnt es sich, auf die Schwachstellen und somit Angriffsflächen vieler Werkzeuge zu schauen. Und die sind auf den ersten Blick nicht immer ersichtlich – beispielsweise die Art, wie ein neues Gerät zur Authentifizierung hinzugefügt wird oder Konten im Falle verlorener Geräte wiederhergestellt werden.

Hier ist es ratsam, sich für Dienste zu entscheiden, die beim Login auf die Authentifizierungsschnittstelle des Endgeräts setzen – also die Kombination aus biometrischem Login und PIN. Wichtig hierbei: Die PIN darf ausschließlich auf dem lokalen Gerät funktionieren. Der Fachbegriff hierfür lautet "Same Device MFA". Neben dem hohen Sicherheitsstandard minimieren sich auch Kosten und Aufwand, sollte ein Gerät verloren gehen oder beschädigt werden. Zudem ist sie für die IT-Abteilung leicht zu implementieren und erleichtert das On-, respektive Offboarding von Angestellten deutlich.

Ein weiteres Indiz für Phishing-sichere MFA ist die Art und Weise, wie Private Keys gespeichert werden. Denn Cloudangebote, die die Keys zentral speichern, bieten keine ausreichende Sicherheit. Im Gegenteil: Sie stellen vielmehr einen weiteren Angriffsvektor dar. Auch hier ist die Speicherung der Keys direkt auf dem Endgerät weitaus sicherer, da sich mit einem dermaßen dezentrale Ansatz Attacken deutlich eindämmen lassen.

Und nicht zuletzt sollten Unternehmen für den gesamten Prozess der Authentifizierung – von der Kontoerstellung, über das Hinzufügen neuer Geräte bis hin zum On- und Offboarding – einen konsequenten Zero-Trust-Ansatz verfolgen. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.

Fazit
Die Multifaktor-Authentifizierung verhindert Brute-Force-Angriffe auf der Grundlage von Passwörtern, aber das reicht IT-Administratoren nicht aus. Hacker haben eindeutig bewiesen, dass sie auch alle MFA-Tools der ersten Generation austricksen können, die auf Push, OTP und QR-Codes basieren. Aus diesem Grund sind AiTM-Angriffe auf dem Vormarsch. Um die Sicherheit der Administratorkonten zu gewährleisten, sollten sich Entscheider für eine Phishing-sichere MFA entscheiden, die das Unternehmen in weniger als 15 Minuten gegen alle Phishing-Angriffe auf Anmeldedaten, passwortbasierte Angriffe und AiTM-Angriffe schützen kann.

ln/Al Lakhani, Gründer und CEO von IDEE