Cyber-Security-Trends und To-dos in der Microsoft Cloud

Cyber-Security-Trends und To-dos in der Microsoft Cloud

26. Februar 2022 - Wer im eigenen Unternehmen Microsoft 365 einsetzt, tut gut daran, sich mit den darin vorhandenen Sicherheitsfunktionen auseinanderzusetzen. Ein Leitfaden.
Artikel erschienen in IT Magazine 2022/03
Der Umzug in die Cloud führt unweigerlich zur Konfrontation von IT- und Prozessverantwortlichen mit neuen Herausforderungen. Compliance-Themen wie Datenschutzkonformität oder die Vertragsgestaltung mit dem Cloud Service Provider und organisatorische Brennpunkte wie die Strukturierung der neuen File-Ablage mit Microsoft Teams und Sharepoint werden breit diskutiert. Auch Sicherheitsthemen dürfen in diesem Diskurs nicht vergessen werden: Microsoft 365 bringt von Haus aus einige Sicherheitsfunktionen mit, die zu berücksichtigen sind.

Der Angriff auf Solarwinds, ein auf Netzwerkmanagement-­Software spezialisiertes US-Unternehmen, zeigt eindrücklich, welchen Stellenwert angemessene Sicherheitsmassnahmen in der Microsoft-365-Umgebung haben: Beim Angriff Ende 2020 war der Befall der Microsoft-365-Umgebung ein wichtiger Schritt, der damals zur Kompromittierung von Solarwinds und zur Verbreitung von Schadsoftware an die Kunden des Unternehmens führte. Um aus Sicht eines Angreifers Zugriff auf eine Microsoft-365-Umgebung zu erhalten, wird zunächst ein gültiger Benutzeraccount benötigt. Dieser kann auf unterschiedliche Weise erlangt werden. Zu den häufigsten Methoden gehören heute verschiedene Formen von Passwortattacken wie beispielsweise Credential-Stuffing- und Password-Spraying- sowie Phishing-Angriffe.
Konnte ein gültiger Account kompromittiert werden, bestehen viele Möglichkeiten für weiterführende Angriffe, abhängig von den Eigenheiten der kompromittierten Organisation:

A) Stehlen von vertraulichen oder geheimen Geschäftsinformationen zur Erpressung.

B) Einrichtung von Weiterleitungsregeln, sodass der Mailverkehr auf einen Account des Angreifers weitergeleitet wird.

C) Versuch, mit Mails vom kompromittierten Konto aus Geldflüsse umzuleiten (zum Beispiel CEO Fraud).

D) Nutzung des kompromittierten Accounts für Phishing-Angriffe aus dem Inneren der befallenen Organisation – beispielsweise, um an einen Admin-Account heranzukommen.

E) Angriffe auf die Lieferkette der Organisation unter Verwendung des kompromittierten Accounts.

F) Die Verwendung des E-Mail-Postfachs, um Zugriff auf andere Accounts der betroffenen Person zu erhalten, beispielsweise Social Media, für den Zugriff auf Informationen mit Erpressungspotenzial.

Aktuelle Angriffe auf Microsoft-365-Umgebungen enthüllen zudem neue Tools und Taktiken, die Cyber-Kriminellen beim Befall helfen: Hauseigene Produkte wie Power Automate und Ediscovery wirken als Brandbeschleuniger im Fall der Kompromittierung einer unzureichend sicher konfigurierten Microsoft-365-Umgebung. Power Automate wird als «das neue Power­shell» bezeichnet. Solche Tools dienen Systemadministratoren zur Automatisierung von wiederkehrenden Abläufen, können in den falschen Händen aber beispielsweise auch dazu dienen, Daten effizient, automatisiert und ohne bemerkt zu werden an einen vom Angreifer kontrollierten Server zu übermitteln. Mit Ediscovery lassen sich wiederum einfach Suchabfragen über die ganze Microsoft-365-Umgebung starten. Ediscovery ist ein Feature von Microsoft 365 zur Ermittlung und Sicherung von Beweisen in E-Mails, Geschäftskommunikation und anderen Daten, um sie in Rechtsstreitigkeiten verwenden zu können. Cyberkriminelle können mit diesem Feature, sofern der Zugriff nicht eingeschränkt ist, gezielt sensitive Informationen suchen, beispielsweise intern ausgetauschte Passwörter.

Mit einigen elementaren Vorkehrungen lassen sich Angriffe auf eine Microsoft-365-Umgebung proaktiv unterbinden oder erkennen. Unter Berücksichtigung der nachfolgenden Punkte erschwert man Angreifern das Leben.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER