In der heutigen Bedrohungslandschaft zählen gestohlene Zugangsdaten zu den häufigsten Ursachen für Datenschutzverletzungen. Ein aktueller Bericht festgestellt, dass 61 % aller Datenschutzverletzungen betreffen den Missbrauch von Zugangsdaten.Angreifer nutzen Taktiken wie Phishing und Push-Bombing (schnell aufeinanderfolgende MFA-Push-Benachrichtigungen), um Benutzer zur Preisgabe von Zugangsdaten zu verleiten. Schon ein einziges kompromittiertes Passwort oder eine versehentlich genehmigte Anmeldung kann einem Angreifer ermöglichen, sich als legitimer Benutzer auszugeben und in das Netzwerk einer Organisation einzudringen.
Als CISO eines großen Unternehmens erlebte ich aus erster Hand, wie ein einziges gestohlenes Passwort verheerende Folgen haben kann. In diesem Fall hatte ein Angreifer die Zugangsdaten eines Mitarbeiters per Phishing erlangt und wochenlang unbemerkt auf sensible Systeme zugegriffen. Der Sicherheitsvorfall verursachte erhebliche Ausfallzeiten und Compliance-Probleme. Nachdem der Schaden eingedämmt war, arbeitete ich mit dem IT-Team des Unternehmens zusammen, um die Identitätskontrollen zu verbessern – wir führten die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer ein, verschärften die Richtlinien für Administratorkonten und implementierten eine kontinuierliche Überwachung. Diese Erfahrung verdeutlichte mir, dass solide Sicherheitspraktiken im Umgang mit Zugangsdaten nicht nur theoretische Best Practices sind, sondern echte Schutzmaßnahmen gegen Vorfälle, die wir hoffentlich nie wieder erleben werden.
Um sich vor Missbrauch von Zugangsdaten zu schützen, sollten Organisationen „gesunde Gewohnheiten“ pflegen. Identity-Security-LückenIn diesem Blogbeitrag beschreibe ich fünf wichtige Sicherheitsgewohnheiten, die dazu beitragen, den Diebstahl von Zugangsdaten zu verhindern, und erörtere, wie man die Fähigkeiten bewerten kann, die jede dieser Gewohnheiten unterstützen.
1. Implementieren Sie überall die Multi-Faktor-Authentifizierung.
Eine der wirksamsten Verteidigungsmaßnahmen gegen Credential-Angriffe ist Multi-Faktor-Authentifizierung (MFA)Gestohlene Passwörter allein reichen oft nicht aus, um ein Konto zu knacken, wenn ein zweiter Faktor (wie eine Authentifizierungs-App oder ein Token) erforderlich ist. Tatsächlich Microsoft bemerkte zur Abwicklung, Integrierung, Speicherung und Bei 99.9 % der kompromittierten Konten war die Zwei-Faktor-Authentifizierung nicht aktiviert.Das Fehlen von MFA war ein gemeinsamer Faktor bei vielen aufsehenerregenden Sicherheitslücken – kompromittierte Zugangsdaten In Kombination mit fehlender MFA war dies ein gemeinsamer Nenner bei mehreren schwerwiegenden Sicherheitslücken in den Jahren 2024/25..
Durch die Aktivierung der Multi-Faktor-Authentifizierung für alle Benutzer (insbesondere Administratoren) lässt sich die überwiegende Mehrheit der opportunistischen Angriffe, die auf gestohlenen oder erratenen Passwörtern beruhen, unterbinden.
Trotz dieser Vorteile, Vielen Konten fehlt immer noch der MFA-Schutz.Warum? Oft herrscht die Fehlannahme, dass MFA zu viel Aufwand bedeutet oder sich nicht lohnt. Manche IT-Teams stoßen auf Widerstand bei den Nutzern oder erhalten keine Unterstützung vom Management und haben daher keinen Anreiz, MFA flächendeckend einzuführen. In anderen Fällen haben Unternehmen MFA einfach nicht auf bestimmte Systeme oder ältere Anwendungen ausgeweitet und so unbeabsichtigt Sicherheitslücken geschaffen. Fakt ist: Auch wenn grundlegende MFA nicht unfehlbar ist, stoppt sie die allermeisten automatisierten Angriffe – und ist daher eine unverzichtbare Maßnahme für die Sicherheit von Anmeldeinformationen.
Allerdings sind nicht alle MFA-Verfahren gleichwertig. Angreifer nutzen zunehmend Sicherheitslücken aus. MFA-Müdigkeit durch das Bombardieren von Nutzern mit wiederholten Push-Benachrichtigungen (sogenanntes Push-Bombing). Angesichts dessen, dass die Menschen erhalten durchschnittlich 60–80 mobile Push-Benachrichtigungen pro TagEs kann leicht passieren, dass ein müder Benutzer versehentlich auf „Genehmigen“ tippt, wenn er eine betrügerische Anmeldeaufforderung erhält. Um dem entgegenzuwirken, sollten Unternehmen eine phishingresistente Multi-Faktor-Authentifizierung (wie FIDO2-Sicherheitsschlüssel oder Push-Benachrichtigungen mit Nummernabgleich) implementieren und Benutzer dazu anhalten, niemals unerwartete Zugriffsanfragen zu genehmigen.
Es ist außerdem unerlässlich, Lösungen zu finden, die Ihrem Team dabei helfen, den MFA-Schutz auf jede Ressource und jedes Protokoll in einer Umgebung auszudehnen.Dies schließt Systeme ein, die MFA nicht nativ unterstützen. Das bedeutet, dass Sie MFA nicht nur für Web- und Cloud-Anwendungen, sondern auch für ältere, lokal installierte Systeme (Datenbanken, Dateiserver, Kommandozeilentools usw.) erzwingen sollten, die MFA bisher nicht nutzen konnten. Indem die Multi-Faktor-Authentifizierung allgegenwärtig und schwer zu umgehen gemacht wird.Dadurch wird das Risiko, dass ein einzelnes gestohlenes Passwort zu einem Datenleck führt, drastisch reduziert.
2. Einen Zero-Trust-Ansatz für die Identitätsverwaltung einführen
Die Implementierung eines „Zero Trust“-Ansatzes in Bezug auf Identität ist eine gesunde Gewohnheit, die Hand in Hand mit MFA geht. In einem Zero-Trust-Modell, Kein Login oder keine Benutzersitzung wird implizit als vertrauenswürdig eingestuft. – selbst wenn sich der Benutzer im internen Netzwerk befindet oder bereits authentifiziert ist. Jeder Zugriffsversuch wird kontinuierlich kontextbezogen (Benutzerrolle, Gerätesicherheit, Standort, Zeit usw.) überprüft, bevor der Zugriff gewährt wird. Dies ist von entscheidender Bedeutung, da moderne Unternehmen die Grenzen ihrer Perimeter aufgelöst haben; Identität ist jetzt das Neue Angriffsfläche im Bereich der Cybersicherheit. Da sich Benutzer von überall aus einloggen und Angreifer geschickt darin sind, sich in die normale Benutzeraktivität einzufügen, ist es von entscheidender Bedeutung, „Vertraue nie, überprüfe immer“ jede Anmeldeinformationsnutzung.
Diese Gewohnheit zu pflegen bedeutet, … bedingte Zugriffsrichtlinien und kontinuierliche Überwachung Dies gilt für alle Konten. Meldet sich ein Benutzer beispielsweise plötzlich von einem ungewöhnlichen Standort oder einem nicht verwalteten Gerät an, sollten zusätzliche Überprüfungen oder Einschränkungen greifen. Viele Sicherheitslücken könnten durch solche kontextbezogenen Kontrollen verhindert werden. Eine Untersuchung ergab dass Hunderte gestohlener Zugangsdaten für Angreifer weiterhin nützlich blieben, einfach weil die Zielsysteme verfügten nicht über standortbasierte Zugriffsrichtlinien, um Anmeldungen aus nicht vertrauenswürdigen Netzwerken zu blockieren..
Moderne Plattformen für Identitätssicherheit Jede Authentifizierung wird kontinuierlich überwacht und risikobasierte Richtlinien werden angewendet.Weicht ein Anmeldeversuch vom normalen Verhalten ab oder erfolgt er unter Hochrisikobedingungen, wäre die richtige Vorgehensweise, eine Erhöhung der Authentifizierungssicherheit zu verlangen. AD-Authentifizierung (wie MFA) oder den Zugriffsversuch sogar blockieren. Indem Organisationen jeden Zugriff als nicht vertrauenswürdig behandeln, bis das Gegenteil bewiesen ist, können sie Angreifer, die gültige Zugangsdaten erlangen, eindämmen und abwehren.
3. Schützen Sie privilegierte und risikoreiche Konten mit besonderer Sorgfalt.
Alle Benutzerkonten sind wichtig und müssen geschützt werden, aber privilegierten Konten Administratoren, Servicekonten, Führungskräftekonten usw. verdienen aufgrund ihrer hohen Sicherheitsberechtigung besondere Aufmerksamkeit. Diese Konten verfügen oft über weitreichende Zugriffsrechte und können im Falle einer Kompromittierung erheblichen Schaden anrichten. Leider sehe ich immer wieder Fälle, in denen Administratoren oder andere Konten mit weitreichenden Berechtigungen unzureichend geschützt waren. Ein aktuelles Beispiel: Eine Regierungsbehörde wurde über das Konto eines ehemaligen Administrators gehackt – dieses Konto besaß weiterhin hohe Berechtigungen. und hatte MFA nicht aktiviert.Ebenso zeigte sich im Zuge eines Cloud-Sicherheitsvorfalls im Jahr 2024 (der Snowflake-Kunden zum Ziel hatte), dass einige Demo- und Service Accounts Es fehlte an SSO- oder MFA-Schutz, wodurch Angreifer ein leichtes Ziel darstellten. Die Lehre daraus ist klar: Jedes Konto mit erweiterten Zugriffsrechten sollte durch mehrere Sicherheitsebenen streng geschützt werden..
Organisationen sollten dies zur Gewohnheit machen. strenge Privileged Access Security (PAS) Praktiken. Dazu gehört die Verwendung dedizierter Administratorkonten (getrennt von den alltäglichen Konten). Benutzerkonten), indem bei jedem privilegierten Login eine Multi-Faktor-Authentifizierung (MFA) vorgeschrieben wird, die Nutzung dieser Konten eingeschränkt und ihre Aktivitäten kontinuierlich überwacht werden.
In der Praxis bedeutet dies, dass Administratorkonten stets einer Multi-Faktor-Authentifizierung (MFA) und Richtlinienprüfungen unterzogen werden, selbst beim Zugriff auf Systeme wie Datenbanken oder Remote-Server, die normalerweise keine MFA erzwingen. Zusätzlich können adaptive Richtlinien implementiert werden (z. B. die Anmeldung von Domänenadministratoren nur von einem gehärteten Jump-Host oder nur zu bestimmten Zeiten zulassen).
Für privilegierte Konten, die nicht von Menschen verwaltet werden (wie z. B. Dienstkonten ohne MFA), gibt es das Konzept des „virtuellen Zauns“ – im Wesentlichen die Beschränkung ihrer Nutzung auf erwartete Systeme und Verhaltensweisen. Durch die Absicherung privilegierter und sensibler Konten auf diese Weise wird die Wahrscheinlichkeit erheblich reduziert, dass ein Angreifer mit gestohlenen Administratorrechten sich frei in Ihrer Umgebung bewegen kann.
4. Sorgfältige Pflege der Zeugnisse gewährleisten.
Credential Hygiene bezieht sich auf die regelmäßige Pflege von Konten und Passwörtern um die „leicht zu erreichenden Ziele“ auszuschalten, die Angreifer oft ausnutzen. Eine ernüchternde Fallstudie Eine Studie aus dem Jahr 2024 zeigte, warum diese Gewohnheit so wichtig ist: Die Ermittler fanden heraus, dass 79.7 % der von Angreifern genutzten Konten waren bereits Jahre zuvor kompromittiert worden und ihre Passwörter wurden nie geändert.Tatsächlich waren Hunderte von Zugangsdaten, die bereits 2020 gestohlen wurden, im Jahr 2024 immer noch gültig, weil sie nie geändert oder deaktiviert wurden. Vernachlässigte Zugangsdaten – alte Passwörter, gemeinsam genutzte Logins, inaktive Konten – sind eine tickende Zeitbombe. Strenge Sicherheitsmaßnahmen erfordern regelmäßige Überprüfung. wechselnde Passwörter, die Stilllegung oder Aktualisierung von Anmeldeinformationen, von denen bekannt ist, dass sie gefährdet sind, und Deaktivierung nicht mehr benötigter Konten.
Ein weiterer entscheidender Aspekt der Zeugnishygiene ist die Pünktlichkeit Ausscheiden ehemaliger Mitarbeiter. Veraltete Benutzerkonten Diese bleiben auch nach dem Ausscheiden einer Person aus dem Unternehmen bestehen und stellen eine einfache Hintertür dar. Umfragen haben ergeben das ungefähr Die Hälfte der Unternehmen räumt ein, dass die Konten ehemaliger Mitarbeiter nach deren Ausscheiden weiterhin aktiv sind.Manchmal über Wochen oder Monate. Es ist daher nicht verwunderlich, dass zahlreiche Unternehmen aufgrund nicht deaktivierter Mitarbeiterkonten Sicherheitslücken erlitten haben. Deaktivieren oder entfernen Sie daher umgehend die Zugriffsrechte ausscheidender Mitarbeiter und überprüfen Sie Ihr Verzeichnis regelmäßig auf verwaiste Konten.
Eine wirksame Methode zur Überprüfung der Hygiene besteht darin, sicherzustellen, dass Kontinuierliche Transparenz aller Konten (menschlicher und nicht-menschlicher) und deren NutzungDie automatische Erkennung von Konten in Ihrer Umgebung – einschließlich Servicekonten und ungenutzter Logins – und die Kennzeichnung von Konten, die längere Zeit inaktiv waren, als „veraltete Benutzer“ trägt dazu bei, dass Sie stets über ein aktuelles Inventar der vorhandenen Identitäten verfügen. Sicherheitsteams können diese Konten dann schnell überprüfen und entweder entfernen oder Richtlinien anwenden, um jegliche Zugriffsversuche über diese Konten zu blockieren.
Diese Art von Identitätsinventar Die Bereinigung ist unerlässlich: Sie verschließt Angreifern eine der einfachsten Möglichkeiten, in Netzwerke einzudringen. Kurz gesagt: Aktuelle, sorgfältig verwaltete und bereinigte Zugangsdaten schränken die Möglichkeiten eines Angreifers drastisch ein, selbst wenn er Zugangsdaten erlangt.
5. Identitätsbedrohungen kontinuierlich überwachen und darauf reagieren
Selbst bei präventiven Maßnahmen wie MFA und guter Hygiene sollten Organisationen davon ausgehen, dass Berechtigungskompromittierungen auftreten können. kann Das kann immer noch vorkommen. Daher umfasst eine „gesunde“ Sicherheitslage eine robuste Erkennung und Reaktion mit Fokus auf die Identität.
Herkömmliche Sicherheitstools wie XDRs haben oft Schwierigkeiten, Angreifer mit legitimen Anmeldeinformationen zu erkennen – solche Aktionen fallen häufig nicht auf und bleiben unbemerkt. Daher ist es entscheidend, regelmäßig Sicherheitsmaßnahmen zu ergreifen. Überwachung von Authentifizierungsprotokollen und Benutzeraktivitäten Systemübergreifend werden Protokolle auf Anzeichen verdächtigen Verhaltens überprüft und lange genug aufbewahrt, um Vorfälle untersuchen zu können. Die zentrale Protokollsammlung mit einer angemessenen Aufbewahrungsrichtlinie gilt als grundlegende Sicherheitsmaßnahme, um Angriffe auf Zugangsdaten zu erkennen und zu analysieren. Viele Sicherheitslücken, die monatelang (oder jahrelang) unentdeckt blieben, hätten viel früher erkannt werden können, wenn Unternehmen Anmeldeprotokolle erfasst und bei Anomalien Alarm geschlagen hätten.
Um diese Gewohnheit umsetzbar zu machen, nutzen Sie Hilfsmittel, die Folgendes bieten Einheitliche Transparenz und intelligente Analysen von Identitätsereignissen. SilverfortDie Plattform von [Name des Unternehmens] fungiert beispielsweise als zentrale Steuereinheit zur Überwachung des gesamten Authentifizierungsverkehrs in Echtzeit. Sie nutzt maschinelles Lernen und Verhaltensanalyse (UEBA), um Abweichungen im Zugriffsverhalten eines Nutzers von der Norm zu erkennen, was auf ein kompromittiertes Konto hindeuten kann. Wenn sich ein Mitarbeiterkonto plötzlich von ungewöhnlichen Orten aus anmeldet oder auf ungewöhnliche Ressourcen zugreift, Silverfort Diese Aktivität wird gekennzeichnet oder automatisch blockiert, wodurch eine weitere Eskalation durch den Angreifer verhindert wird. Darüber hinaus SilverfortDie Konsole von bietet Sicherheitsteams eine Live-Übertragung. Identitätsinventar und Aktivitätsfeeddamit sie verdächtige Kontonutzungen schnell erkennen und untersuchen können.
Durch die Förderung dieses Bewusstseins und das Üben von Notfallplänen für Szenarien mit Zugriffsberechtigungsverletzungen wird sichergestellt, dass Sie selbst bei einem Versagen einer Verteidigungsebene die Bedrohung schnell erkennen und eindämmen können, bevor sie sich zu einer ausgewachsenen Sicherheitsverletzung ausweitet.
Die 5 wichtigsten Gewohnheiten in die Tat umsetzen
Der Diebstahl von Zugangsdaten stellt weiterhin eine der größten Cyberbedrohungen dar, doch die Übernahme dieser fünf Sicherheitsgewohnheiten kann die Abwehrkräfte Ihres Unternehmens deutlich stärken.
Durch die universelle Einführung der Multi-Faktor-Authentifizierung wird jeder Zugriffsversuch als … behandelt. Zero TrustDurch die Sperrung wichtiger Konten, die Sauberhaltung Ihres Identitätsspeichers und die kontinuierliche Überwachung schaffen Sie mehrere Schutzebenen, die Angreifer überwinden müssen.
Keine dieser Gewohnheiten ist „einzustellen und dann zu vergessen“ – sie erfordern ständige Sorgfalt und die richtigen Hilfsmittel.
Hier können einheitliche, identitätsorientierte Sicherheitsplattformen einen entscheidenden Unterschied machen.
Sie wurden speziell entwickelt, um Ihnen dabei zu helfen, diese bewährten Sicherheitspraktiken in Ihre Umgebung zu integrieren: Durchsetzung von MFA und bedingtem Zugriff überall, Schutz privilegierter und älterer Konten, Aufdeckung von Schwachstellen wie inaktiven Benutzern und kontinuierliche Überwachung auf Bedrohungen..
Durch das Zusammenspiel von soliden Gewohnheiten und identitätsorientierten Sicherheitsfunktionen können Unternehmen das Risiko von auf Anmeldeinformationen basierenden Sicherheitslücken drastisch reduzieren und sicherstellen, dass ein gestohlenes Passwort niemals ohne Weiteres zu einem erfolgreichen Angriff führt.
Um mehr darüber zu erfahren, wie Sie diese gesunden Gewohnheiten in Ihre Cybersicherheitsstrategie integrieren können, laden Sie unseren Leitfaden herunter.Das Identity Security Playbook"