Strategien gegen Identitätsdiebe

Daten gelten als das neue Öl, sie sind so wertvoll, dass Datendiebe und andere Internetkriminelle inzwischen mehr Geschäft machen als die Drogenmafia. Deshalb ist es nicht verwunderlich, dass neue Konzepte für Cybersicherheit mehrheitlich einen datenzentrierten Ansatz verfolgen. Daten müssen geschützt werden, ganz gleich, wo sie sind, auf den Endgeräten, in der Cloud, unterwegs im Netzwerk oder im Internet.

Die stärkere Konzentration auf die Datensicherheit hängt eng zusammen mit Entwicklungen wie Hybrid Cloud Computing und Hybrid Work. Die zu schützenden Daten können gefühlt überall sein, die Sicherheit muss deshalb unabhängig vom genutzten Endgerät, der verwendeten Cloud oder dem gewählten Netzwerk gewährleistet werden.

Eine Konstante dabei sind die Nutzerinnen und Nutzer, die auf die Daten zugreifen und diese in Applikationen verarbeiten lassen. Anstatt also Schwachstellen bei den Geräten, Netzwerken, Anwendungen und Clouds zu suchen, konzentrieren sich die Cyberkriminellen auf die Nutzer und damit auf die digitalen Identitäten. Denn wenn es bei Identitäten Sicherheitslücken gibt, ebnet dies den Weg zu den Daten auf allen Geräten, in allen Clouds und allen Netzwerken.

«Hacker haben es auf Lücken im Identitäts- und Zugriffsmanagement abgesehen, um in vertrauenswürdigen Umgebungen Fuß zu fassen und auf der Suche nach hochwertigen Zielen vorzudringen», erklärt Ed Goings, Cyber Response Services, KPMG, die Gefahr. «Angreifer sind sich bewusst, dass Active Directory (AD) das Kronjuwel des Unternehmens ist. Es kontrolliert die Berech­tigungen, den Zugriff und die Privilegien von Endbenutzern. Unbefugter AD-Zugriff gibt böswilligen Akteuren die Möglichkeit, Hintertüren zu instal­lieren, Daten zu exfiltrieren und Sicherheitsrichtlinien zu ändern.»

Auf den ersten Blick scheinen Identitätsdiebstahl und Identitätsmissbrauch eine untergeordnete Rolle zu spielen. So erklärt zum Beispiel das BSI, dass von Ransomware-Angriffen die derzeit größte Bedrohung ausgeht, sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen.

Doch zur Ausführung der Ransomware-Attacken nutzen die Internetkriminellen oftmals die Berechtigungen gestohlener Identitäten, die sie zum Beispiel über Phishing erbeutet haben. Damit nicht genug, ermöglichen es die infolge eines Ransomware-Angriffs erbeuteten Identitätsdaten den Angreifern, zusätzlichen Druck auf die Angriffsopfer auszuüben, indem sie drohen, die Daten auf dafür eingerichteten Leak-Seiten im Darknet zu veröffentlichen, so das BSI im Bericht zur Lage der IT-Sicherheit in Deutschland 2023.

Die Bedrohungen für digitale Identitäten und durch gefälschte Identitäten nehmen gegenwärtig stark zu. Ein wesentlicher Grund dafür ist die steigende Verbreitung von Künstlicher Intelligenz in der Cyberkriminalität. KI wurde bereits zur automatisierten Erstellung von Phishing-Nachrichten und für Desinformationskampagnen ausgenutzt. Eine weitergehende kriminelle Ausnutzung von KI-Methoden ist zu erwarten, prognostiziert das BKA im Lagebericht Cybercrime.

Dabei geht der kriminelle KI-Einsatz im Bereich digitaler Identitäten über die Optimierung der Phishing-Angriffe hinaus. Verfahren, mit deren Hilfe Fälschungen von Stimmen, Fotos und Videos erstellt werden können, haben sich in den letzten Jahren sowohl in ihrer Qualität als auch in ihrer Verfügbarkeit und Zugänglichkeit signifikant verbessert, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die als Deepfakes bezeichneten Manipulationen bewirken, dass man in Onlinemeetings in absehbarer Zeit nicht mehr sicher sein kann, ob man mit der realen Person oder einem Angreifer spricht, warnt das BSI.

IT-Sicherheitsfachleute empfehlen wegen der zahlreichen Identitätsbedrohungen eine Abkehr von «Data First» hin zu «Identity First» in den Cybersicherheitsstrategien. Das Analystenhaus Gartner zum Beispiel rät zu einer Erweiterung der Rolle des Identitäts- und Zugriffsmanagements (IAM). Richard Addiscott, Senior Director Analyst bei Gartner, empfiehlt Sicherheitsverantwortlichen, sich auf die Stärkung und Nutzung ihrer Identitätsstruktur zu konzentrieren und die Erkennung und Reaktion auf Identitätsbedrohungen zu nutzen, um sicherzustellen, dass die IAM-Funktionen optimal für die Unterstützung der Cybersicherheit geeignet sind. Der neue identitätsorientierte Sicherheitsansatz verlagert den Schwerpunkt von Netzwerksicherheit, Datensicherheit und anderen traditionellen Kontrollen hin zum IAM.

Doch das Erkennen und Reagieren auf Identitätsbedrohungen, auch Identity Threat Detection and Response (ITDR) genannt, ist bei den Unternehmen bislang nicht sehr verbreitet. Wenn es um Erkennung und Reaktion geht, stehen vielmehr Lösungen aus den Bereich EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) im Vordergrund.

Unter EDR versteht man Erkennungs-, Untersuchungs- und Reaktionstechnologien, die sicherheitsrelevante Telemetriedaten von Endpunkten sammeln, Anomalien erkennen, nähere Analysen anhand gesammelter Telemetriedaten ermöglichen und das Eindämmen der Schäden bei den betroffenen Endpunkten erleichtern.
XDR wiederum kann man als Erweiterung von EDR sehen. Es vereint die Erkennung sicherheitsrelevanter Vorkommnisse bei Endpoints mit weiteren Funk­tionen wie Netzwerkanalyse und Netzwerksichtbarkeit, E-Mail-Sicherheit und Cloud-Sicherheit, um nur einige Beispielfunktionen zu nennen.

ITDR dagegen nimmt gezielt die Identitätsrisiken in den Blick. «Die Umstellung auf hybrides Arbeiten und die zunehmende Cloud-Einführung haben die Identität als neuen Perimeter etabliert und die Bedeutung der Transparenz der Benutzeraktivitäten hervorgehoben. Identity Threat Detection and Response (ITDR) ist das fehlende Glied in ganzheitlichen XDR- und Zero-Trust-Strategien», betont Nicholas Warner, COO von SentinelOne. Das Analystenhaus Gartner hat den Begriff Identity Threat Detection and Response geprägt und meint damit eine Sammlung von Tools und Prozessen zur Verteidigung von Identitätssystemen. Dabei geht ITDR über die Funktionen eines Identity and Access Managements hinaus.

Das klassische IAM beschränkt sich darauf, die Nutzerzugänge und ihre Berechtigungen über den Lebenszyklus von der Einrichtung bis zur Löschung zu verwalten. Dabei wird das User-und-Access-Management verschiedenen, angebundenen Applikationen bereitgestellt. Ein IAM kann zudem die Anmeldung über mehrere Sicherheitsfaktoren absichern und auch Zugänge mit höheren Privilegien wie Administratorzugänge unterstützen. Mögliche Bedrohungen im Umfeld der verwalteten Identitäten jedoch werden weder analysiert noch erkannt oder abgewehrt. Hier kommt ITDR ins Spiel. «Organisationen haben erhebliche Anstrengungen unternommen, um die IAM-Funktionen zu verbessern, aber ein Großteil davon konzentrierte sich auf Technologien zur Verbesserung der Benutzerauthentifizierung, was tatsächlich die Angriffsfläche für einen grundlegenden    Teil der Cybersicherheitsinfrastruktur vergrößert», erklärt Peter Firstbrook, Research Vice President bei Gartner. «ITDR-Tools können dazu beitragen, Identitätssysteme zu schützen, Kompromittierungen zu erkennen und eine effiziente Behebung zu ermöglichen.» Nur autorisierte Endbenutzer, Geräte und Dienste sollten Zugriff auf die Systeme haben. ITDR fügt IAM-Implementierungen eine zusätzliche Sicherheitsebene hinzu, so Gartner.

Bei ITDR-Lösungen geht es um die Identitätsinfrastruktur selbst und nicht um die von dieser Infrastruktur verwalteten Benutzer. Laut Gartner sollten ITDR-Lösungen mit spezifischen Funktionen für den Identitätsschutz versehen sein. Dazu zählen die Bewertung des Sicherheitsstatus der Active-Directory-Umgebung, die Echtzeitüberwachung von Indikatoren für eine Kompromittierung (IOCs), Analysen zur Erkennung anormaler Verhaltensweisen oder Ereignissen bei Identitäten und einer automatisierten Reaktion auf Vorfälle bei den digitalen Identitäten.

ITDR-Lösungen sollen Ransomware-Angriffe frühzeitig stoppen, wenn diese über einen Identitätsdiebstahl starten. Und sie sollen helfen beim Erkennen und Abwehren von Phishing, dem ver­suchtem Missbrauch privilegierter Identitäten und bei Insiderattacken, da das «Verhalten» digitaler Identitäten überwacht und auf Anomalien reagiert wird. Kurz: Ungewöhnliche Aktivitäten digitaler Identitäten werden ermittelt und gestoppt, so der Anspruch von ITDR. Inzwischen gibt es eine Reihe von Lösungen für Identity Threat Detection and Response auf dem Markt, entweder als eigenständige Lösung oder aber als Modul einer Security-Plattform (siehe Kasten).

Doch ITDR ist keine reine Frage der Technologie. «Die Erkennung und Reaktion auf Identitätsbedrohungen ist möglicherweise die größte Lücke in aktuellen Identitäts- und Zugriffslösungen», warnt Ken Foster, Head of Architecture bei Adient. «Obwohl ITDR eine entscheidende Innovation ist, liegt der Schlüssel nicht nur in der Technologie, sondern in der verfügbaren Intelligenz, um angesichts der Vorgänge im Unternehmen die besten Entscheidungen zu treffen.»

Aus diesem Grund setzen viele ITDR-Lösungen auf Verfahren mit KI, die dabei helfen soll, das «normale» Verhalten von Identitäten zu bestimmen, um so Missbrauchsversuche als Anomalien aufzudecken.

Der Schutz von Identitäten wird immer mehr als Prioriät der Cyberabwehr erkannt. Für die Identitätssicherheit ist es dabei entscheidend, nicht nur die Bedrohungen für und durch Identitäten mensch­licher Nutzer zu erkennen und abzuwehren. Auch Maschinen im Industrie 4.0-Umfeld, Geräte im IoT und nicht zuletzt auch KI-Systeme haben jeweils eigene Identitäten, die es zu überwachen und zu kontrollieren gilt.

KI-Verfahren helfen also nicht nur bei der Analyse und der Reaktion auf Bedrohungen von Identitäten, auch die KI selbst muss als Identität geschützt oder im Angriffsfall als bösartig erkannt und abgewehrt werden. ITDR-Lösungen sollten somit sämtliche Arten von Identitäten in den Blick nehmen, denn die Internetkriminellen tun dies in ihren Attacken bereits heute.