Was ist eine Kontoübernahme?

Erlaubt eine böswillige Partei die Kontrolle über oder den Zugriff auf das Konto eines rechtmäßigen Nutzers, so spricht man von einem Kontoübernahmeangriff.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • „Kontoübernahme“ definieren
  • Die wichtigsten Angriffsvektoren für Kontoübernahmeangriffe auflisten
  • Verstehen, wie man Angriffe zur Übernahme von Konten verhindert und bekämpft

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist eine Kontoübernahme?

Eine Durchschnittsperson greift mit Dutzenden von Online-Konten auf private und geschäftliche Websites zu, auf Anwendungen und Systeme. Bei Kontoübernahmeangriffen erschleichen sich Angreifer, wie der Name schon sagt, Zugang zu diesen Konten. Wurde das Konto einmal übernommen, können sie Daten stehlen, Malware verbreiten oder den legitimen Zugriff und die Berechtigungen des Kontos für andere böswillige Zwecke nutzen.

Wie kommt es zu Kontoübernahmen?

Für einen Kontoübernahmeangriff benötigt der Angreifer Zugang zu den Authentifizierungsdaten des Zielkontos, z. B. eine Kombination aus Benutzernamen und Passwort. Angreifer beschaffen sich diese Informationen auf verschiedene Weise, unter anderem:

  • Credential Stuffing: Bei Credential Stuffing-Angriffen verwenden Angreifer Bots, die selbstständig versuchen, sich bei einem Nutzerkonto anzumelden. Dafür beziehen sie sich auf eine Liste gängiger oder bereits kompromittierter Passwörter. Möglich wird das, weil viele Nutzer ihre Konten nur durch schwache Passwörter schützen oder ein Passwort mehrmals verwenden – ein großes Sicherheitsproblem.
  • Phishing: Benutzerdaten sind ein häufiges Ziel von Phishing-Angriffen. Dabei werden Nutzer über böswillige Links auf eine gefälschte Anmeldeseite für einen bestimmten Dienst geleitet. Dort werden ihre Anmeldedaten abgegriffen.
  • Malware: Bei Malware-Infektionen auf dem Computer eines Nutzers können Angreifer Passwörter auf verschiedene Weise stehlen. Dazu gehören das Dumping von Authentifizierungsinformationen aus Browser- oder System-Passwort-Caches oder die Aufzeichnung der Tastenanschläge, während sich ein Nutzer gerade bei einem Konto authentifiziert.
  • Anwendungsschwachstelle: Nicht nur Nutzer verfügen über Konten in den Systemen und Netzwerken eines Unternehmens. Auch Anwendungen haben Konten. Ein Angreifer kann Sicherheitslücken in diesen Konten ausnutzen, um ihre Zugangsmöglichkeiten zu erhalten.
  • Gestohlene Cookies: Die auf dem Computer eines Nutzers gespeicherten Cookies können Informationen über seine Anmeldesitzung speichern, um den Zugriff auf ein Konto ohne Passwort zu ermöglichen. Mithilfe dieser Cookies kann ein Angreifer die Sitzung eines Nutzers übernehmen.
  • Festcodierte Passwörter: Anwendungen müssen in der Regel auf verschiedene Online-Konten zugreifen, um ihre Aufgaben zu erfüllen. Manchmal werden die Passwörter für diese Konten im Anwendungscode oder in Konfigurationsdateien gespeichert. Diese landen möglicherweise auf GitHub oder sickern auf andere Weise durch.
  • Kompromittierte API-Schlüssel: API-Schlüssel und andere Authentifizierungs-Token sind so konzipiert, dass Anwendungen über eine API auf Online-Konten und -Dienste zugreifen können. Wenn diese Schlüssel versehentlich in ein GitHub-Repository hochgeladen werden oder auf andere Weise durchsickern, können sie den Zugriff auf das Konto einer Organisation möglich machen.
  • Sniffing des Netzwerk-Traffics: Während der meiste Netzwerk-Traffic verschlüsselt und sicher ist, verwenden einige Geräte immer noch unsichere Protokolle, wie z. B. Telnet. Ein Angreifer, der diesen unverschlüsselten Netzwerk-Traffic einsehen kann, kann daraus Anmeldedaten extrahieren.

Auswirkungen von Kontoübernahmeangriffen

Nach einem erfolgreichen Kontoübernahmeangriff kann der böswillige Akteur genauso auf das Konto zugreifen wie der rechtmäßige Kontoinhaber und erhält die gleichen Rechte. Das erlaubt dem Angreifer verschiedene Handlungen, darunter auch:

  • Datendiebstahl: Kontoübernahmeangriffe können zu Datenschutzverletzungen und zur Exfiltrierung großer Mengen sensibler, vertraulicher oder geschützter Daten wie Kreditkartennummern oder personenbezogener Daten (PII) führen.
  • Verbreitung von Malware: Kontoübernahmen ermöglichen es Angreifern, Ransomware und andere Malware auf Unternehmenssystemen zu installieren und auszuführen.
  • Folgeangriffe: Sobald sich ein Angreifer Zugang zu einem legitimen Konto erbeutet hat, kann er diesen Zugang für weitere Angriffe nutzen – manchmal ist das auch der einzige Zweck des Angriffs – z. B. stehlen Angreifer Anmeldedaten in der Hoffnung, dass der Nutzer Passwörter über mehrere Konten hinweg wiederverwendet hat.
  • Laterale Bewegung: Ein kompromittiertes Konto kann einem Angreifer einen Einstiegspunkt in ein ansonsten sicheres Netzwerk bieten. Von diesem Ausgangspunkt aus dehnt der Angreifer seinen Zugriff auf andere Unternehmenssysteme aus oder erweitert Privilegien, ein Prozess, der als laterale Bewegung bezeichnet wird.
  • Finanzieller Profit: Anstatt das kompromittierte Konto selbst zu nutzen, kann der Angreifer den Zugang zu diesem Konto im Dark Web verkaufen.

Wie man sich gegen Kontoübernahmeangriffe verteidigen kann

Unternehmen können die Auswirkungen von Kontoübernahmeangriffen durch verschiedene Maßnahmen verhindern und minimieren.

Prävention von Kontoübernahmen

Defense in Depth ist der beste Ansatz, um sich den Risiken von Kontoübernahmeangriffen entgegenzustellen. Bei Kontoübernahmeangriffen profitieren böswillige Akteure vor allem von mangelhaften Sicherheitspraktiken. Mit folgenden Präventionsmaßnahmen können sich Unternehmen vor Kontoübernahmen schützen:

  • Strenge Passwortrichtlinien: Bei vielen Kontoübernahmeangriffen machen sich Angreifer schwache und wiederverwendete Passwörter zunutze. Legen Sie strenge Passwortrichtlinien fest und setzen Sie diese durch. Prüfen Sie auch, ob die Passwörter Ihrer Nutzer bei einer Sicherheitsverletzung offengelegt wurden. Das erschwert Credential Stuffing und Passwort-Cracking-Angriffe.
  • Schutz vor Phishing: Phishing-Angriffe sind eine gängige Methode, mit der Angreifer Nutzerpasswörter stehlen. Filtern Sie riskante E-Mails oder blockieren Sie verdächtige Domains über Internetfilter. Das verringert das Risiko, dass Nutzer versehentlich ihre Anmeldedaten kompromittieren.
  • Multi-Faktor-Authentifizierung (MFA): Bei der MFA wird der Nutzer über mehrere Faktoren authentifiziert, z. B. über die Kombination aus einem Passwort und einem Einmalpasswort (OTP), das von einer Authentifizierungs-App generiert wird; oder man verwendet neben einem Passwort noch einen Hardkey. Wenn Sie die Verwendung von MFA für alle Konten erzwingen, kann ein Angreifer mit einem kompromittierten Passwort weniger anfangen.
  • Anwendungssicherheit testen: API-Schlüssel und Authentifizierungs-Token, die in APIs offengelegt werden, können Angreifern Zugang zu den Online-Konten eines Unternehmens verschaffen. Setzen Sie zum Schutz starke Authentifizierungspraktiken durch und scannen Sie Anwendungscode und Konfigurationsdateien auf Authentifizierungsmaterial.
  • Login- und API-Sicherheit: Credential Stuffers probieren viele verschiedene Kombinationen von Benutzernamen und Passwörtern aus, um gültige Anmeldedaten zu erraten. Login- und API-Sicherheitslösungen helfen, diese Angriffe zu erkennen und zu blockieren.

Kontoübernahmeangriffe bekämpfen

Die Prävention von Kontoübernahmeangriffen ist wichtig, um das Risiko in Schach zu halten, aber Prävention funktioniert nicht immer. Vielleicht erhält ein Angreifer Anmeldedaten eines Nutzers über einen Phishing-Angriff auf dessen persönliches E-Mail-Konto und kann sich daraufhin in das Unternehmenskonto desselben Nutzers einloggen.

Zusätzlich zu den oben aufgeführten Präventionsstrategien können Unternehmen den durch diese Angriffe verursachten Schaden mit den folgenden Ansätzen minimieren:

  • Behavioral Analytics: Erhält ein Angreifer Zugriff auf das Konto eines Nutzers, wird er wahrscheinlich anormale Aktivitäten durchführen, z. B. große Mengen sensibler Daten exfiltrieren oder Malware einsetzen. Überwachen Sie kontinuierlich die Kontonutzung nach der Authentifizierung. So können Sie erfolgreiche Kontoübernahmeangriffe erkennen und darauf reagieren.
  • Zero Trust-Sicherheit: Ein Zero Trust-Sicherheitskonzept mit Standardverweigerung macht es Angreifern extrem schwer, auf ihre Zielanwendung oder -ressource zuzugreifen, selbst wenn sie kompromittierte Anmeldedaten besitzen. Wenn der Angreifer eine Anfrage zum Zugriff auf Unternehmensanwendungen stellt, müsste diese dann anhand der Identität, des Gerätestatus und anderer kontextbezogener Signale überprüft werden, bevor der Zugriff gewährt wird. Ein Unternehmen mit strengen und granularen Zero Trust-Richtlinien kann verdächtige Signale erkennen – beispielsweise einen ungewöhnlichen Standort der Anfrage oder eine Infektion auf dem anfragenden Gerät. Daraufhin kann es die Zugriffsanfrage des Angreifers ablehnen.

Mit Cloudflare Zero Trust können Unternehmen den Remote-Zugriff auf Anwendungen und Systeme ermöglichen und gleichzeitig das Risiko von Kontoübernahmeangriffen kontrollieren. Mit Zero Trust Network Access (ZTNA) wird Nutzern der Zugriff auf bestimmte Ressourcen nur nach Verifizierung ihrer Identität, ihres Kontexts und der Einhaltung der Unternehmensrichtlinien gestattet.