Lehren aus Hackerangriffen

In der Corona-Pandemie stehen Kliniken, Labors und medizinische Zentren aktuell besonders im Visier von Hackern. Ende März berichtete das Bundesamt für Sicherheit in der Informationstechnik von Angriffen chinesischer Hackergruppen, die es auf ausländische Gesundheitseinrichtungen abgesehen haben. Im April nahmen Hacker eine der größten Kliniken in Tschechien ins Visier, die am Coronavirus forscht. Zuletzt konnten Hacker spanische Daten zu Corona-Impfstoffen stehlen.

Die Sicherheitsvorfälle dokumentieren komplexe Cyber-Angriffe, die IT-Abteilungen vor neue Herausforderungen stellen. 

 

Privileged Access Threat Report

Der „Privileged Access Threat Report“ zeigt, dass zwei von drei Unternehmen mit einer schweren Sicherheitsverletzung durch Drittanbieter oder Mitarbeiter rechnen. Die Zahl der Sicherheitsverstöße lässt sich indes deutlich senken, wenn IT-Verantwortliche die Kontrolle über die Verwendung von Anmeldedaten zurückgewinnen. Was sind also die Lehren aus den Hackerangriffen?

1. Vertrauen in Dienstleister ist gut, Sicherheitskontrolle besser
Externe Dienstleister sind in IT-Prozesse einer Organisation fest integriert und häufiges Sekundärziel von Hackerangriffen. Deshalb müssen IT-Verantwortliche wissen, welche IT-Systeme und Daten von welchen Nutzern aus mit welchen Zugriffsrechten abgerufen werden können. Neben klar definierten Benutzerrechteprofilen mit ActiveDirectory-Anbindung ist dafür eine revisionssichere Auditierung aller durchgeführten Vorgänge erforderlich. Auch eine durchgängige Verschlüsselung ist dafür unabdingbar Legacy-Lösungen mit VPN-Zugriff aussortieren.

2. Vom Einsatz von VPN-Verbindungen ist abzuraten.
Denn über kompromittierte End-to-End-Verbindungen können Unbefugte mit erfolgreich gehackten Nutzerprofilen sich unbeobachtet im Zielnetz bewegen. Zur Steuerung, Kontrolle, Protokollierung  und Gefahrenabwehr benötigen IT-Verantwortliche eine lückenlose Sicht auf alle Netzaktivitäten.

3. Keine Blankoschecks bei Zugriffsrechten
Wer darf auf welches System zu welchem Zeitpunkt zugreifen? Das sind die Fragen, die nachprüfbar geregelt werden müssen. In keinem Fall dürfen Personen einen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken erhalten. Die Best-Practice-Empfehlung ist, dass Nutzer über individuelle Zugangsdaten verfügen, damit sich alle durchgeführten Konfigurationen auch den jeweiligen Administratoren zuordnen lassen.

4. Zugriffe überwachen
Sicherheitsverantwortliche und IT-Admins setzen auf professionelle Passwortmanagementlösungen, um Passwörter sicher zu verwalten und gemeinsam genutzte Konten zu schützen. Passwörter werden zentral verschlüsselt gelagert, regelmäßig rotiert und bei Bedarf durch Credential-Injection-Technologie (direkt in Zielsysteme) eingespeist. Auf diese Weise erhalten autorisierte Anwender individuellen Zugriff auf Server und IT-Systeme, ohne dass die Passwörter offengelegt werden.

 

5. Sichere Passwörter
Neben der automatisierten Rotation oder Einmalverwendung von Kennwörtern gehört zu einem Sicherheitskonzept noch eine weitere Maßnahme. Fest kodierte Passwörter aus Applikationen und Skripten müssen entfernt werden, um Zugangsdaten von Applikation zu Applikation ohne manuelles Eingreifen sicher zu übertragen. Viele Service-Accounts bieten oft jahrelangen Zugriff auf kritische Systeme, so dass Hackeraktivitäten oft erst spät erkannt werden. Im Angriffsfall geht es oft um Minuten, sodass hier eine automatisierte Rotation Gold wert sein kann.

6. Least-Privilege-Policy
Anwender benötigen in der Regel keinen vollen und durchgängigen Zugriff auf alle Dienste, um ihre Aufgaben erledigen zu können. Als grundsätzliche Vorsichtsmaßnahme empfiehlt es sich daher, so wenige Berechtigungen zu vergeben wie nötig. So können Unbefugte weniger Schaden anrichten, wenn sie in den Besitz aktueller Anmeldedaten gelangen. Professionelle IT-Lösungen für Privileged Access Management erkennen und entfernen Administratorrechte und vergeben erhöhte Privilegien nur für geprüfte Applikationen und Aufgaben.