Risiken bei der Nutzung von Cloud Services – Gefahr: Identitätsdiebstahl

In der heutigen Zeit ist das Nutzen von öffentlichen Cloud-Diensten im privaten Bereich alltäglich geworden. So verwenden viele Anwender z.B. die Cloud-Dienste von Yahoo, Google, Microsoft oder Apple, für das Bewirtschaften von Emails, das Sichern von Daten auf Smartphones oder die Aufbewahrung von Office Dokumenten. Das ist auch nicht verwunderlich, denn die Dienste sind sehr günstig und dazu noch benutzerfreundlich.

Auch immer mehr KMU überlegen sich, Applikationen direkt aus der Cloud zu beziehen oder haben dies schon getan. Doch sowohl das beziehen von Diensten direkt aus der Cloud, als auch eine rein private Nutzung von Cloud-Diensten der Mitarbeitenden können für Unternehmen eine Gefahr darstellen.

Der folgende Blog Beitrag befasst sich mit der Nutzung von öffentlichen Cloud-Diensten im privaten Bereich und beleuchtet das Risiko des Identitätsdiebstahls:

Gefahrenlage gemäss aktueller Meldungen bekannt

Im August und im Dezember 2017 hat die Melde- und Analysestelle Informationssicherung MELANI, des Bundes über zwei Vorfälle informiert, bei denen Daten inklusive der Benutzernamen und Passwörter der registrierten Benutzer der Webapplikationen gestohlen wurden. Diese Fälle mit 70‘000, resp. 21‘000, betroffenen Nutzerdaten sind verhältnismässig zu anderen Vorfällen eher klein. Weitaus grössere Vorfälle wurden in der Vergangenheit von Unternehmen wie LinkedIn, DropBox oder Yahoo gemeldet. So wurden im Jahr 2012 bei LinkedIN Daten von 112 Millionen, bei DropBox 2012 68 Millionen und 2013 bei Yahoo nach aktuellsten Erkenntnissen sogar 3 Milliarden Nutzern gestohlen. Jetzt könnte man denken, dass dies ausschliesslich für die betroffenen Unternehmen ein Problem darstellt und dass solch heikle Daten ja nicht im Klartext gespeichert würden.

Es zeigt sich aber, dass dieses Diebstahlgut einen gewissen Wert hat und es im Internet gehandelt wird. Dies wurde auch bereits im Blog-Beitrag „Ist Ihr Passwort sicher genug?“ erwähnt. Cyberkriminelle haben also ein sehr grosses Interesse solche Daten anderen Akteuren zur Verfügung zu stellen und auch auszuwerten. So werden beispielsweise seit Dezember letzten Jahres Daten von insgesamt 1.4 Milliarden Nutzern mit Benutzernamen und Passwörtern im Internet zum Download angeboten.

Worin besteht nun die Gefahr für Unternehmen?

Wir stellen fest, dass praktisch sämtliche KMU ihre IT-Infrastruktur so aufgebaut haben, sodass Mitarbeitende die Möglichkeit besitzen via Fernzugriff auf die Unternehmensinfrastruktur zuzugreifen. Sei es ein Vollzugriff auf die gesamte Arbeitsumgebung oder lediglich einen Teil-Zugriff auf dem Webmail-Portal des Unternehmens, resp. die Möglichkeit E-Mails auf das Smartphone zu synchronisieren. Für einen Zugriff ist bei den Meisten die korrekte Web-Adresse und die gültige Benutzername/Kennwort Kombination des Mitarbeitenden notwendig.

Der Umstand, dass die Mitarbeitenden häufig gleiche oder ähnliche Passwörter im Internet, wie auch auf dem Unternehmenscomputer verwenden, stellt hier ein hohes Risiko dar. In einem solchen Fall kann es einem Cyberkriminellen möglich sein, dass er mit den heruntergeladenen Zugangsdaten aus dem Internet und der notwendigen Internet-Adresse für den Fernzugriff einen Zugriff auf das Mail-Postfach des Unternehmens erlangen kann. Die Informationen, welche Mitarbeitenden aktuell im Unternehmen arbeiten, könnte er sich über die Firmen Webseite oder ein soziales Netzwerk wie LinkedIn oder Xing beschaffen.

Sobald ein solcher Zugriff erfolgt ist, können sich Cyberkriminelle ein Bild über die Unternehmensstruktur und Abläufe im Unternehmen machen. Zudem können sie möglicherweise in Erfahrung bringen, welche Projekte aktuell am Laufen sind und welche Kundenbeziehungen existieren.

Mit diesem Wissen können Cyberkriminelle weitere Angriffe initiieren. Häufig sind Mitarbeitende des Unternehmens das Ziel von weiteren Angriffen. Erst im letzten Dezember wurde gemeldet, dass bei einigen Zentralschweizer Unternehmen die Betrugsmasche des CEO Fraud (Chefbetrugs) festgestellt wurde. Dabei wurden gezielt Mitarbeitende, welche für die Verarbeitung von Zahlungen verantwortlich sind, angeschrieben und sie aufgefordert Rechnungen zu begleichen. Die Vergütung sollte dann direkt auf die Konten der Kriminellen erfolgen.

Was können Sie als KMU tun?

Als KMU empfiehlt es sich einige Abklärungen zu treffen und wo notwendig ergänzende Massnahmen einzuleiten.

  1. Sollte es bei ihrem KMU möglich sein, die E-Mails ab dem Smart Phone oder dem Heimcomputer lediglich mittels der Benutzername und Kennwortkombination abzufragen, so sind ergänzende Schutzmassnahmen sinnvoll.
    So zum Beispiel:
    1. Fernzugriff ausschliesslich für einen eingeschränkten Personenkreis freischalten und ein komplexes Passwort mit regelmässigem Wechsel erfordern.
    2. Bei sämtlichen Fernzugangsmöglichkeiten durchsetzen, dass neben der Benutzername/Kennwort-Kombination noch ein weiteres Merkmal (z.B. SMS-Freigabeschlüssel) abgefragt wird.
  1. Stellen Sie Regeln für die Benutzung ihrer IT-Mittel auf. Beschreiben Sie darin, was erlaubt ist und was nicht.
  1. Schulen Sie die erlassenen Regeln den Mitarbeitenden. Diese Regeln dürfen keine Schikane sein, sondern müssen die aktuellen Gefahren, welche beim Umgang mit dem PC oder im Internet lauern, adressieren.
    Idealerweise lehnen sie eine solche Schulung an vergangene Vorfälle in vergleichbaren KMU an und zeigen, wie diese verhindert werden können.

Sollten Sie zum vorliegenden Bericht Fragen haben, oder wünschen Sie ergänzende Informationen, so können Sie uns gerne kontaktieren.

Übersicht über vergangene Datendiebstähle:

Portrait Philipp Zihler

Autor dieses Beitrags: Philipp Zihler

- Security Consultant und Partner bei B-SECURE GmbH - Seit 1997 in der IT tätig - Seit 2007, nach dem Abschluss des Informatik Studiums an der Hochschule Luzern im Bereich der Informationssicherheit tätig. Ausbildungen: - Dipl. Inf. Ing. FH Informatik, HSLU - CAS Information Security, HSLU