Als "Paradoxon der Identitätssicherheit" bezeichnen die Enterprise Strategy Group (ESG) und der Sicherheitshersteller Illusive in einem gemeinsamen Webinar die Ergebnisse der ESG-Stuie "Securing the Identity Perimeter with Defense in Depth". Gemeint ist damit, dass Unternehmen zwar ganz erheblich in Lösungen für das Identitätsmanagement investieren, aber dennoch für eine nicht unbeträchtliche Zahl von Identitätsrisiken anfällig bleiben.
IAM – mehr als Login-Daten
Eine der zentralen Erkenntnisse der Studie: Das Identity and Access Management (IAM) hat sich von einem Human-Resources-Prozess für das Onboarding von Beschäftigten zu einem betrieblichen IT-Prozess weiterentwickelt.
Über diesen Prozess wird zum einen der Zugriff auf Systeme gesteuert, gleichzeitig wird er selbst zu einem der Teil Sicherheitspraxis des Unternehmens. Aktuell ist das Identitätsmanagement etwa die Hälfte seiner Zeit ein betrieblicher IT-Prozess. Tatsache ist aber, Identität ist ein Sicherheitsprogramm.
Bei Ransomware-Angriffen werden fast immer anfällige Identitäten ausgenutzt wie beispielsweise zwischengespeicherte Anmeldeinformationen. Das Thema Identität verlagert sich also zwangsläufig in Richtung Sicherheit. Doch bisher fehlt ein transparenter Einblick in die damit verbundenen Sicherheitsrisiken. Laut ESG werden lediglich 41 Prozent der Zugriffberechtigungen in einem festen Rhythmus neu evaluiert. Und selbst wenn das der Fall ist, fühlen Administratoren sich selten wohl, wenn sie Berechtigungen widerrufen, ohne das damit verbundene Sicherheitsrisiko wirklich verstanden zu haben.
PAM ohne Plan
Die ESG-Untersuchung bestätigt weiterhin, dass die Verlagerung hin zur Identitätssicherheit immens gestiegen ist. 84 Prozent aller befragten Unternehmen stocken ihr Budget für das IAM auf, verglichen mit anderen Cybersicherheitslösungen. Zudem gehen die Analysten davon aus, dass Privileged-Access-Management-Lösungen (PAM) dabei den größten Investitionsanteil ausmachen werden.
Tatsächlich haben 90 Prozent der Befragten angegeben, dass PAM für sie zu den fünf wichtigsten Maßnahmen zählt. Aber lediglich vier Prozent sind davon überzeugt, dass PAM auch die effektivste IAM-Lösung ist.
Wie die Realität in dieser Hinsicht wirklich aussieht, hat die Studie "Analyzing Identity Risks" von Illusive untersucht. Demnach sind 87 Prozent der lokalen Administratoren nicht an einer PAM-Lösung registriert. Es existiert eine ganze eine Reihe von Szenarien, die zu solchen nicht verwalteten Administratoren führen können. Das ist beispielsweise der Fall, wenn ein lokaler Administrator sofort ein zweites lokales Administratorkonto als Backup einrichtet – eine ziemlich gängige Praxis, die zum Sicherheitsrisiko werden kann, wenn Hacker die verwahrlosten Konten ausnutzen.
Hier hapert es bei den meisten PAM-Lösungen, da es häufig an ausgefeilten Funktionen für die Bedrohungserkennung fehlt. Typischerweise beschränken sich die Funktionen auf einen einzigen Scan der Verzeichnisstruktur. Zu den gängigsten Anwendungsfällen für PAM hingegen gehören Monitoring, Auditing und das Erstellen von Berichten (58 %) sowie die automatisierte Erkennung, Orchestrierung und Verwaltung von Identitäten (39 %).
Das Risiko ungesicherter Identitäten
Nirgendwo werden die möglichen Auswirkungen einer ineffektiven IAM- oder PAM-Lösung deutlicher als bei zwischengespeicherten Anmeldeinformationen: Nur 20 Prozent der befragten Unternehmen überwachen ihre Endpunkte auf zwischengespeicherte Anmeldeinformationen. Im Umkehrschluss ist das häufigste Angriffsszenario der Diebstahl von Anmeldeinformationen aus dem Systemspeicher. Hier bekommen wir es mit dem besagten "Paradoxon der Identitätssicherheit" zu tun. Der ESG-Bericht zeigt auch: zwischengespeicherte Anmeldeinformationen finden sich auf 13 Prozent aller Endgeräte.
Aber das Paradoxon hat noch eine andere Seite. So wird generell sehr viel in Lösungen investiert, die Angriffe verhindern sollen, die vergleichsweise selten auftreten, wie etwa Zero-Day-Attacken. Doch wenn es um Identitätssicherheit geht, scheinen Unternehmen Probleme zu haben, effektive Sicherheitslösungen zu finden, während die Angrefer über großartige Tools wie "Mimikatz" verfügen.
Auch bei dem jüngsten Lapsus$-Angriff, bei dem über den Dienstleister Sitel zwei Kunden-Tenants des IAM-Anbieters Okta kompromittiert wurden, nutzten die Hacker Identitäten aus. Illusive analysierte den Vorfall und schreibt, dass es laut Sitel "keine Anzeichen für Malware, Ronsomware oder kompromittierte Endpunkte" gebe.
Übersetzt heißt das wohl eher, dass es Lücken in den bestehenden IAM- und PAM-Lösungen, oder in der Art wie sie eingesetzt wurden, gegeben hat, und diese Lösungen Sitel schlicht keinerlei Einblick in die Natur der Bedrohung geben konnten. So sehr man sogenannte "KI"-Lösungen für die Leistungsfähigkeit ihrer Verhaltensanalyse loben mag, so schwierig gestaltet es sich dennoch, Bedrohungen über einen privilegierten Zugriff zu erkennen. Denn legitime Benutzer brauchen nun Mal bestimmte Privilegien, um ihren Job zu machen.
Identitätsrisiken einen Schritt voraus sein
Herkömmliche IAM- und PAM-Bereitstellungen lassen Firmen immer noch über vieles im Unklaren. Dazu zählen etwa zwischengespeicherte Anmeldeinformationen, Dienstkonten, Legacy-Anwendungen und Schattenadministratoren.
Im Idealfall verfügen Unternehmen über die zusätzliche Möglichkeit, solche Identitätsrisiken zu beleuchten und automatisch Gegenmaßnahmen zu ergreifen. Nicht in jedem Fall lassen sich Identitätsrisiken beheben. Dann helfen kompensatorische Kontrollen hinsichtlich von irreführenden Anmeldeinformationen, die auf privilegierten Hosts hinterlassen wurden. Dies wiederum erlaubt eine hochgradig zuverlässige Erkennung.
