Was vor Cyberangreifern wirklich schützt
Wie sicher unsere Passwörter sind. Und warum auch ein derzeit angesagter Ansatz anfälliger ist als gedacht.
Von Haya Shulman, Michael Waidner
Passwörter sichern den Zugang zu unserem digitalen Gehirn. iStock
Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie“ – so fasste der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gerade den Lagebericht seiner Behörde zusammen. So klingen diejenigen, die sich um die Sicherheit der Deutschen im Internet kümmern, schon seit Jahren. Woran liegt das? Wieso gibt es so viele erfolgreiche Cyberangriffe? Wieso schaffen es Cybersicherheitsfachleute und -verantwortliche anscheinend nicht, unsere Cybersicherheitslage zu verbessern?
Auf diese Fragen gibt es viele Antworten, angefangen mit der Feststellung, dass die Angreifer merklich im Vorteil sind. Für einen Angriff genügt oft schon eine einzige Lücke, während die Verteidiger sich letztlich um alle Lücken kümmern müssen. Für die Praxis nutzbringendere Antworten ergeben sich daraus, wie kriminelle und staatlich unterstützte Cyberangreifer typischerweise vorgehen und wie sich daraus abgeleitet einzelne Organisationen und Ökosysteme besser schützen können.
Zunehmend beginnen Angriffe mit einem gestohlenen, geleakten oder gebrochenen Passwort, wie zahlreiche Beispiele von Angriffen gegen große Unternehmen in der jüngeren Vergangenheit zeigen, etwa gegen den amerikanischen Ölleitungsbetreiber Colonial Pipeline, den Internetdienstleister Okta, den Grafik-Prozessoren-Hersteller Nvidia, den Netztechnikanbieter Cisco, den Fahrdienstleister Uber oder die Handelskette Woolworth. In allen diesen Fällen standen am Anfang kompromittierte Passwörter oder gänzlich ungeschützte Zugänge zu den IT-Systemen dieser Unternehmen.
Nun ist natürlich schon lange bekannt, dass Passwörter allein nicht genügen, um wichtige Dienste ausreichend vor unbefugtem Zugriff zu schützen. Viele Organisationen setzen deshalb auf eine sogenannte Multifaktor-Authentifizierung (MFA). Damit ist gemeint, dass sich ein Nutzer auf mehr als eine Art ausweisen muss, zum Beispiel mit einem Passwort und zusätzlich noch mit einer PIN, die er auf sein Smartphone geschickt bekommt. Doch auch das reicht mitunter eben nicht. Wer die genannten Beispiele genauer ansieht, erkennt schnell, dass etwa die Unternehmen Okta, Cisco und Uber längst MFA eingesetzt hatten. Wie konnten Cyberkriminelle diesen häufig empfohlenen Schutz umgehen?
Wie kommen Cyberkriminelle an Passwörter?
Nun, es gibt eine Reihe von Möglichkeiten für Cyberkriminelle, um an Passwörter zu gelangen. Studien zeigen, dass sie zunehmend sogenannte „Infostealer“ nutzen. Infostealer sind eine spezielle Art Schadsoftware, die auf den mit ihnen infizierten Endgeräten Zugangsdaten wie Passwörter, Bank- und Kreditkartendaten oder sogenannte „Session Cookies“ einsammelt – Letzteres sind Informationen, die Webbrowser lokal abspeichern, damit der Nutzer beim nächsten Besuch einer mit einem Passwort geschützten Website nicht wieder neu sein Passwort eintippen muss. Im Darknet gibt es für Infostealer unterschiedliche Angebote: Wer will, kann entweder die Schadsoftware selbst erwerben oder deren Ergebnisse, also die eingesammelten Daten. Ransomware-Gruppen nutzen sehr häufig die Dienste solcher Infostealer-Gruppen.
Zweitens finden Cyberkriminelle Zugangsdaten für ihre ausgewählten Opferorganisationen häufig in entsprechenden „Data Dumps“. Das sind oft sehr umfangreiche Sammlungen erbeuteter Daten, die häufig nach erfolgreichen Einbrüchen von Cyberkriminellen teilweise sogar kostenlos zum Download angeboten werden im Darknet, über den Mitteilungsdienst Telegram oder auch von Websites einzelner Hacker-Gruppen. Ein aktuell besonders wichtiges Beispiel ist Rockyou2021, ein „Data Dump“ mit mehr als 8,4 Milliarden gestohlenen Zugangsdatensätzen, die teils aus früheren Einbrüchen, teils von aktuellen Infostealern stammen.
Erstaunlich oft finden Cyberkriminelle Passwörter auch in Programmcode, Konfigurationsdateien, Systemhandbüchern oder auch in Daten und Rechnern, die in einer Cloud abgespeichert wurden. Prominentes Beispiel ist der schon erwähnte Angriff auf Uber. Dort fanden die Angreifer im Intranet des Unternehmens ein offenes Laufwerk mit einem Programm, welches das Passwort eines Super-Administrators enthielt.
Schließlich gibt es automatisierte Werkzeuge, die Cyberkriminelle verwenden, um Passwörter durch sogenannte Brute-Force-Angriffe zu brechen. Wörtlich bedeutet das „brutale Gewalt“ und meint, dass der Angreifer einfach alle möglichen Passwörter der Reihe nach durchprobiert, bis er das richtige gefunden hat. Das klingt mühsam, funktioniert aber leider sehr häufig.
Wie sicher sind unsere Passwörter?
Um die Gefahr durch geleakte Passwörter besser zu verstehen, haben wir untersucht, wie diese geleakten Passwörter aussehen. Die analysierten Passwörter stammen aus dem Zeitraum von 2018 bis 2022 und aus unterschiedlichen Quellen, etwa aus dem Darknet, Telegram-Kanälen und Data Dumps. Unsere Liste umfasst ungefähr vier Millionen unterschiedliche Einträge. Einige wichtige Ergebnisse: Die geleakten Passwörter sind zwischen 5 und 25 Zeichen lang, die große Mehrzahl bewegt sich zwischen 8 und 12 Zeichen. Ob Passwörter sicher sind, hängt entscheidend davon ab, wie sie gewählt wurden. Die Länge zwischen 8 und 12 Zeichen gilt für viele Anwendungen als ausreichend, wenn alle Zeichen zufällig aus der Menge aller Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gewählt sind. Die meisten geleakten Passwörter sind allerdings weit entfernt von dieser Qualität. Häufig bestehen geleakte Passwörter sogar nur aus Buchstaben. Viele Passwörter sind auch so einfach gewählt, dass sie in praktisch jedem „Wörterbuch“ der Cyberangreifer vorkommen, etwa „12345678“ oder „admin“. Diese Aussagen gelten im Wesentlichen über alle Sektoren hinweg. Leicht stärkere Passwörter findet man im IT-Sektor, leicht schwächere in der Wissenschaft.
Eine Länge von 8 bis 12 zufällig gewählten Zeichen gilt als ausreichend sicher, wenn der Angreifer keine andere Möglichkeit hat, als alle Passwörter der Reihe nach auszuprobieren. Das Sperren von Konten nach einer kleinen Anzahl an Fehlversuchen verhindert den Erfolg solcher Brute-Force-Angriffe – allerdings nur, wenn der Angriff zum Ausprobieren tatsächlich das echte System braucht, dies also online durchgeführt werden muss.
Sehr häufig erbeuten Cyberkriminelle aber auf kompromittierten Servern Listen von Passwörtern, meistens geschützt als Passwort-Hashes. Letzteres ist eine Technik aus der Kryptographie: Man leitet mittels einer sogenannten Hashfunktion aus einem beliebig langen Passwort einen Wert einer bestimmten Länge ab, den Passwort-Hash. Das gleiche Passwort liefert immer denselben Hash, aber zu einem gegebenen Hash soll es sehr schwer sein, ein dazu passendes Passwort zu finden. Gegen solche Passwort-Hashes kann der Angreifer nun beliebig viele Tests offline laufen lassen, also tatsächlich einen Brute-Force-Angriff durchführen. Zur Durchführung der Tests werden Programme eingesetzt wie zum Beispiel das frei zugängliche Programm „hashcat“, das automatisiert verschiedene Zeichenkombinationen gegen die Liste der erbeuteten Passwort-Hashes testet. Diese Zeichenkombinationen speisen sich meist aus früher erbeuteten Listen von Passwörtern, zum Beispiel dem schon erwähnten Rockyou2021. Meist probieren die Hacker nicht nur alle geleakten Passwörter durch, sondern auch einfache Variationen dieser Passwörter, etwa Zeichendreher und Nachstellen von Zahlen.
Einfaches Schlösserknacken
Die Wahrscheinlichkeit, mit der ein Angreifer einen Passwort-Hash nach einer gewissen Zeit brechen kann, hängt nur von der Qualität der Passwörter, der Hashfunktion und den IT-Ressourcen der Angreifer ab. Nehmen wir an, als Hashfunktion wird die in der Kryptographie gemeinhin als sicher betrachtete Funktion „SHA256“ verwendet. Das Brechen eines einfachen Passworts wie „qwerty“ mittels Durchprobieren kostet dann praktisch keine Zeit. Aber auch das Brechen längerer Passwörter mit 8 bis 12 Zeichen ist oft praktikabel. Das Brechen eines Passworts mit 8 Zeichen, darunter mindestens ein Groß- und ein Kleinbuchstabe, sowie eine Ziffer und ein Sonderzeichen, dauert weniger als zwei Tage. Diese Zeit lässt sich beliebig reduzieren durch schnellere Hardware und durch Parallelisieren. Prinzipiell könnte man dafür auch Konstrukte wie Mining-Netzwerke für Bitcoins verwenden, wodurch selbst längere und komplexere Passwörter innerhalb von Sekunden gebrochen werden können.
Und auch wenn Nutzer alles richtig machen, können Passwörter geleakt werden, etwa weil IT-Dienstleister oder Server erfolgreich angegriffen wurden. Ein einzelner Nutzer hat darauf meist keinen Einfluss. Wir sollten deshalb immer davon ausgehen, dass auch unsere Passwörter früher oder später geleakt werden könnten. Organisationen sollten regelmäßig testen, wie einfach es ist, die Passwörter ihrer Mitarbeitenden und Kunden zu brechen, und zwar auf dieselbe Weise, wie Cyberkriminelle dies tun würden. Insbesondere sollten alle Passwörter regelmäßig gegen Data Dumps getestet werden. Ist ein Passwort leicht brechbar, oder erscheint es direkt oder mit einer kleinen Variation in so einem Data Dump, dann sollte es als kompromittiert betrachtet werden. Niemals sollte dasselbe Passwort für unterschiedliche Dienste verwendet werden, und Passwörter sollten niemals „recycelt“ werden, auch nicht mit kleinen Variationen, da die Werkzeuge der Cyberkriminellen auch solche Variationen ausprobieren. Passwörter sollten so gewählt werden, dass ein Angreifer sie nicht leicht erraten kann, etwa entsprechend der Empfehlungen des BSI. Allerdings halten wir die Empfehlung, dass bei gut gewählten Passwörtern 8 Zeichen ausreichen, für ungenügend, da im Falle von Cyberangriffen gegen Server wie beschrieben sehr häufig Passwort-Hashes erbeutet werden und dann das Brechen auch solcher Passwörter effizient möglich ist.
Die eigentliche Lehre lautet aber: Passwörter allein sind ungeeignet, um wichtige Dienste wirklich vor unbefugtem Zugriff zu schützen. Deshalb erfreut sich die Multifaktor-Authentifizierung (MFA) so großer Beliebtheit. Die eingangs erwähnten Beispiele erfolgreicher Angriffe zeigen aber, dass MFA allein das Problem auch nicht lösen kann. Wieso?
Erforderlicher Identitätsnachweis
MFA bedeutet, dass zur Authentifizierung eines Nutzers mindestens zwei Methoden mit unterschiedlichen, voneinander unabhängigen „Faktoren“ miteinander kombiniert werden. Ein Faktor meint dabei irgendetwas, mit dem der Nutzer seine Identität nachweisen kann, das kann ein Passwort oder ein persönliches Gerät sein. Theoretisch gibt es eine Vielzahl an sinnvollen Kombinationsmöglichkeiten. In der Praxis wird für die MFA heutzutage aber oft eine Kombination aus Passwort und Smartphone verwendet: Meist muss der Nutzer zur Vorbereitung zuerst eine Authenticator-App installieren und sein Smartphone und die Authenticator-App mit dem Konto verbinden. So oder so ist die Grundannahme stets, dass später der Authentifizierungsserver und das Smartphone eine beidseitig authentifizierte, sichere Verbindung aufbauen können. Möchte sich der Nutzer später auf seinem Konto anmelden, meldet er sich zunächst mit seinem Passwort beim Authentifizierungsserver an. Ist das Passwort korrekt, wird serverseitig der zweite Teil der Authentifizierung gestartet, der über das Smartphone des Nutzers läuft. Im einfachsten Fall erhält der Nutzer per Authenticator-App eine Nachricht angezeigt, die er nur quittieren muss. Komplexere Verfahren verwenden kurze Einmalcodes, die der Nutzer per Authenticator-App, SMS oder Sprachanruf erhält und dann zur Anmeldung wie zuvor sein Passwort eintippen muss.
Um Authenticator-Apps mit einem Konto zu verbinden, also die MFA auf einem Smartphone einzurichten, verwenden viele MFA QR-Codes, die auf dem Endgerät nach der ersten Authentifizierung angezeigt und vom Nutzer dann per Authenticator-App auf dem Smartphone eingescannt werden. Auf diese Weise wird das Problem gelöst, dass Nutzer realistischerweise höchstens einige wenige Zeichen per Tastatur zwischen Endgerät und Smartphone übertragen können, was für eine kryptographisch gesicherte Einrichtung nicht ausreichen würde.
Viele populäre MFA sind nicht sicher
Die eingangs genannten Beispiele zeigen, dass viele dieser heute üblichen MFA-Methoden umgangen werden können. Der prinzipielle Grund dafür ist sehr einfach: Die beiden Authentifizierungen sind meist nur locker miteinander verknüpft, über eine Bestätigung oder einen kurzen Code, den der Nutzer eintippen muss. Die bekannten Angriffe gegen solche MFA fallen grob in vier Kategorien:
1Brute Force: Für viele MFA-Methoden muss der Nutzer für die zweite Authentifizierung lediglich einen zweistelligen bis vierstelligen zufällig gewählten Code in den Webbrowser eintippen. Erlaubt das System beliebig viele Fehlversuche, dann kann der Angreifer diesen Code schlicht raten und den Anmeldevorgang so lange wiederholen, bis er richtig geraten hat. Um diesen Angriff zu verhindern, sollte die Anzahl der Fehlversuche auf drei bis zehn begrenzt werden – genauso wie bei Passwörtern.
2Social Engineering und Phishing: Eine der häufigsten Angriffe gegen die MFA besteht darin, dass der Angreifer den Authentifizierungsvorgang mit dem Passwort, das er ja schon kennt, startet, und dann sein Opfer dazu bringt, den zweiten Authentifizierungsschritt für ihn durchzuführen. Erfordert dieser zweite Schritt nur eine einfache Bestätigung durch den Nutzer und erlaubt das System beliebig viele Fehlversuche, dann kann der Angreifer beliebig viele Authentifizierungsvorgänge anstoßen und so den Nutzer mit Bestätigungsanforderungen fluten. Irgendwann verliert das Opfer die Nerven oder wird unaufmerksam und bestätigt versehentlich eine der Anforderungen. Ansonsten kann der Angreifer nachhelfen und sein Opfer beispielsweise anrufen und sich als Support-Mitarbeiter ausgeben, der gerade dringend das MFA-System testen muss. Gegen das Fluten hilft wieder, die Anzahl der Fehlversuche zu begrenzen. Alle oben beschriebenen MFA-Methoden sind allerdings durch etwas aufwendigeres sogenanntes „Social Engineering“ angreifbar. Die Verknüpfung zwischen den beiden Authentifizierungsschritten erfolgt ja immer über den Nutzer, und damit kann ein überzeugender Angreifer den Nutzer auch immer dazu bringen, diese Verknüpfung für ihn vorzunehmen. Gegen „Social Engineering“ an sich hilft letztlich nur eine entsprechende Schulung der Nutzer.
3Man in the Middle: Für diese Art von Angriffen setzt der Angreifer eine gefälschte Anmeldeseite auf und lenkt sein Opfer auf diese gefälschte Seite. Es gibt verschiedene Methoden, um dies zu erreichen. Er kann dem Nutzer beispielsweise eine gefälschte E-Mail schicken, die einen Link auf die gefälschte Anmeldeseite enthält, also eine klassische Phishing-E-Mail. Oder er manipuliert den Nachrichtenverkehr im Internet so, dass, auch wenn der Nutzer auf den richtigen Link klickt, er trotzdem auf der falschen Seite landet. Die Erfahrung zeigt, dass die meisten Opfer diese Angriffsvariante nicht bemerken. Meldet sich der Nutzer nun auf der gefälschten Seite an, dann kann der Angreifer sich problemlos in die Kommunikation zwischen Nutzer und Anwendung einklinken und die Sitzung übernehmen. Keine der oben genannten MFA-Methoden ist gegen so einen „Man-in-the-Middle“ sicher. Um diese Art von Angriffen abzuwehren, braucht es eine sichere Ende-zu-Ende- Authentifizierung zwischen Server und Client, etwa mittels kryptographischer Zertifikate auf beiden Seiten.
4Hijacking: Viele MFA-Methoden gehen fälschlich davon aus, das Mobiltelefonnetz sei sicher und etwa eine SMS lande stets nur beim beabsichtigten Empfänger. Tatsächlich gibt es aber eine ganze Reihe von Schwachstellen, die ausgenutzt werden können. Beispielsweise kann der Angreifer die für die MFA registrierte Mobiltelefonnummer des Nutzers „hijacken“ und so alle Authentifizierungsnachrichten auf sich selbst umlenken. Eine Methode hierfür heißt SIM-Swapping. Gemeint ist damit, dass der Angreifer die regulären Managementprozesse des Mobilfunkbetreibers ausnutzt, um sich eine SIM-Karte mit der Telefonnummer des Opfers zu besorgen. Unter gewissen Voraussetzungen kann ein Angreifer auch direkt, durch Ausnutzen des Kontrollprotokolls Signalling System #7 (SS7), Authentifizierungsanfragen auf sein eigenes Telefon umleiten. Dieser Angriff ist nicht trivial, aber praktikabel – und er wurde tatsächlich schon gegen Bankkunden in Deutschland durchgeführt. Für den Angriff müssen die Cyberkriminellen sich nur für etwa 1000 Euro einen Zugang zum internationalen Mobilfunknetz besorgen und dann mittels SS7 die Rufnummer ihres Opfers auf ihr Netz umleiten.
MFA oder nicht MFA?
Auch wenn viele der heute üblichen MFA-Methoden angreifbar sind, helfen sie gleichwohl dennoch dabei, die Cybersicherheit zu verbessern. Denn ohne die MFA genügt dem Angreifer ein Passwort, er muss über keinerlei technische Fähigkeiten verfügen. Mit der MFA muss der Angreifer deutlich mehr Aufwand treiben. Organisationen sollten deshalb auf jeden Fall für alle wichtigen Dienste eine MFA verwenden.
Geeigneter als die oben beschriebenen Verfahren mit Passwort und Smartphone sind indes Ansätze, die beispielsweise mittels client- und serverseitigen kryptographischen Zertifikaten eine echte Ende-zu-Ende-Authentifizierung erreichen. Und um „Social Engineering“ zu begegnen, sollten alle Nutzer eine entsprechende Schulung erhalten.
Cybersicherheit braucht natürlich sehr viel mehr als ein sicheres Login, denn die Erfahrung zeigt, dass alle Schutzmaßnahmen mit ausreichend Aufwand überwunden werden können. Kompromittierte Passwörter und umgehbare MFA sind dabei nur ein Problem. Innentäter spielen eine immer größere Rolle ebenso wie Schwachstellen bei Partnern, Dienstleistern oder Zulieferern – und gegen all das hilft kein Perimeterschutz.
Eine moderne Cybersicherheitsarchitektur muss diesem Umstand Rechnung tragen. Selbst wenn sich Cyberangreifer schon in der eigenen Infrastruktur befinden, müssen die nicht kompromittierten Teile der Organisation bestmöglich geschützt werden. Das ist der Grundgedanke des „Zero Trust“-Ansatzes: Es geht darum, erstens jederzeit ein möglichst umfassendes und detailliertes Bild der eigenen Cybersicherheitssituation zu haben. Welche Systeme, welche Schwachstellen, welche Hinweise auf erfolgreiche Cyberangriffe (sogenannte Indicators of Compromise) gibt es in der eigenen Organisation und bei Partnern und Dienstleistern? Zweitens müssen das Eindringen und das weitere Ausbreiten von Cyberangreifern erschwert werden. Hierfür gibt es eine ganze Reihe von Methoden, etwa die konsequente Verschlüsselung der Kommunikation und aller gespeicherten Daten, Zugänge zu Daten und Systemen stets auf das absolut Notwendige zu beschränken, die Rechte von Nutzern im Blick behalten und stets auf das Notwendige zu reduzieren, unterschiedliche Teilnetze strikt voneinander trennen. Drittens muss technisch und organisatorisch Vorsorge getroffen werden, damit kompromittierte Teile möglichst rasch wiederhergestellt werden können.
Dr. Haya Shulman ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.
Dr. Michael Waidner ist Professor für Sicherheit in der Informationstechnologie am Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und CEO des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
https://zeitung.faz.net/faz/unternehmen/2022-11-28/3b614885499b79d62f52631135e191ee/
