Angriffswelle gegen deutsche Mittelständler

 In Allgemein, Firmen-News, Office 365, Security, Top Stories

Angriffswelle über Office 365 und Microsoft Azure gegen deutsche Mittelständler

Aktuell sehen wir vermehrt gezielte Angriffe gegen deutsche Office 365 Kunden. Meist handelt es sich hierbei um einen klassischen Identitätsdiebstahl eines Benutzers.

Dies kann oft mehrere Ursachen haben. Meist verwenden User ihre Kennwörter sowohl für Firmenkonten als auch private Accounts. Laut HPI verwenden 20% der Nutzer ein identisches Passwort für verschiedene Accounts. Wenn es hier zu einem großen Leak wie 2016 bei Yahoo mit 500 Millionen Konten kommt, ist die Wahrscheinlichkeit sehr groß, dass auch ein bei Office 365 verwendetes Passwort unter diesen Konten ist. Weitere Ursachen sind klassische Keylogger oder der berühmt berüchtigt verlorene Post-it. Meist ist die wirkliche Ursache für eine gestohlene Identität daher extrem schwer nachzuvollziehen.

Aktuell werden auch sehr gerne gezielte Angriffe per Mailanhang durchgeführt. Meist handelt es sich dabei um Bewerbungsdokumente, welche auf das jeweilige Ziel maßgeschneidert zugeschnitten werden. Dieser Anhang enthält dann beispielsweise ein klassisches Makro oder einen Link, über den die Zugangsdaten gestohlen werden. Office 365 ATP (Advanced Threat Protection) kann dies verhindern. Mehr dazu erfahren Sie hier: ATP: Schutz vor Ransomware und böswilligen Links

Die Angreifer, welche meist von einer IP-Adresse aus Nigeria oder den USA verschleiert zuschlagen, haben somit vollen Zugriff auf Mails sowie Dokumente in SharePoint, meist werden durch interne Mails auch weitere Informationen abgeschöpft sowie weitere Accounts gehijackt. Dies geschieht relativ unbemerkt, da die Angreifer versuchen möglichst unentdeckt zu bleiben und meist mehrere Monate verharren, ehe sie eine Aktion durchführen.

 

Was schützt dagegen:

Der einzige wirksame Schutz gegen Identitätsangreifer bei Clouddiensten jeglicher Art ist die Multifaktor Authentifizierung. Hierbei muss der Angreifer sowohl den Usernamen und das Passwort wissen, als auch das jeweilige Multifaktorgerät besitzen um eine Push-Benachrichtigung oder einen SMS Token/Telefonanruf zu bestätigen. Dies ist aktuell der einzig wirksame Schutz. Viele Endnutzer kennen das System auch schon von ihrem Bank-Account. Microsoft Multifaktor ist für alle Office 365 Dienste kostenfrei in den Office 365 Paketen enthalten.

 

Multifaktor ist nicht komfortabel

Multifaktor bietet uns die Möglichkeit unsere User Accounts bestmöglich gegen Identitätsdiebstahl zu schützen, dennoch kann es für einen Account nur aktiviert oder deaktiviert werden. Ideal wäre eine Überprüfung außerhalb des Unternehmensstandorts, aber eine Multifaktor-Prüfung innerhalb des Unternehmens ist nicht notwendig. Ebenso kann es sinnvoll sein, den Login für einige Usergruppen von außerhalb generell zu sperren. Genau für solche Fälle kommt das Azure AD Conditional Access ins Spiel. Hiermit können Bedingungen und Aktionen definiert werden.

 

Mögliche Bedingungen sind zum Beispiel: AD Gruppen, IP-Range oder Gerätetyp
Mögliche Aktionen sind zum Beispiel: Login möglich/gesperrt, Login nur mit Multifaktor möglich, Login nur von MDM-verwalteten Gerät möglich.

Risk-based Conditional Access

Beliebte Szenarien bei Kunden sind folgende:

1. Login für bestimmte Abteilungen (Personal, Buchhaltung…etc.) nur vom Firmenstandort und nicht von extern
2. Login von extern nur mit Multifaktor möglich, am Firmenstandort ist dies nicht notwendig
3. Login nur von einem verwalteten MDM-Gerät möglich.

Multifaktor spielt seine Stärken vor allem im Zusammenspiel mit Conditional Access aus. Hiermit kann die Sicherheit von Multifaktor ohne großen Komfortverlust umgesetzt werden. Für Conditional Access ist eine Azure AD Premium 1 Lizenz für jeden Nutzer notwendig.

Gerne kann Sie infoWAN hierbei unterstützen. Schreiben Sie uns an.

Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search