Personendaten in der Cloud schützen: Abwehr des Passwortdiebstahls


SIRv20In der gerade veröffentlichten 20. Ausgabe des Microsoft Security Intelligence Report (Betrachtungszeitraum: zweites Halbjahr 2015) verarbeiten die US-Kollegen erstmals sicherheitsrelevante Daten, die aus der Microsoft-Cloud gewonnen wurden. Bislang steuerten hunderte Millionen Windows-Rechner die Daten für den Report bei, auf denen Anti-Malware-Software von Microsoft lief. Nun wird die Datenbasis erweitert: Unter anderem fließen die Daten von mehr als 13 Milliarden Loginvorgängen von mehreren hundert Millionen Nutzern der Microsoft-Onlinedienste in den Report ein. Über zehn Terabyte an Daten verarbeiten die selbstlernenden Sicherheitssysteme täglich.

Ziel der Analysen: Missbrauch von Microsoft-Konten sowie Azure Active Directory-Accounts zu verhindern durch automatisches Blockieren von betrügerischen Anmeldeversuchen. Es geht also um den Schutz von Konten der Nutzer unserer Online-Dienste wie Office 365, Bing, Outlook.com, OneDrive, Skype oder Xbox LIVE vor Datendieben oder anderweitigem Missbrauch der Anmeldedaten. Azure Active Directory bietet einen Single sign-on-Mechanismus zu tausenden von Cloud-Anwendungen (SaaS) wie Office 365, Workday, Box oder Google Apps sowie zu den genannten Microsoft-Diensten – insgesamt also eine überaus relevante Zahl an Angeboten, deren Anwender von den Schutzmaßnahmen profitieren.

Die große Reichweite der beobachteten Online-Dienste verschafft uns tiefgehende Einblicke in die Arten, auf denen Kriminelle sich der Konten von privaten und professionellen Anwendern bemächtigen wollen. Einige Zahlen hierzu:

  1. Ende des Jahres 2015 nutzten 8,24 Millionen Azure-Kunden, die zusammen 550 Millionen Anwender repräsentieren, Azure Active Directory
  2. Pro Tag verarbeitet Azure Active Directory im Schnitt 1,3 Milliarden Anfragen
  3. Pro Tag verarbeiten unsere Systeme 13 Milliarden Anmeldevorgänge von mehreren hundert Millionen Microsoft-Account-Inhabern

Um Angriffe auf diese Nutzerkonten zu unterbinden, setzen wir auf ein mehrschichtiges System aus Schutzmechanismen. Im Zentrum steht ein selbst lernendes System, das täglich zehn Terabyte an Daten verarbeitet, die unter anderem von den 13 Milliarden Loginvorgängen stammen. Diese Daten werden dann mit anderen Quellen kombiniert, wie beispielsweise unseren Phishing-Filtern oder der Microsoft Digital Crimes Unit sowie von Partnern aus Forschung, Strafverfolgung sowie anderen Unternehmen.

Mehrere zehntausend Angriffe täglich abgewehrt

Die Kombination all dieser Datenquellen hilft uns, täglich mehrere zehntausend betrügerische Loginversuche zu unterbinden, die auf gestohlene oder abgeflossene Anmeldedaten zurückgehen. Als kompromittiert eingestufte Microsoft-Accounts werden automatisch in den Kontenwiederherstellungsmodus versetzt, mit dem der rechtmäßige Besitzer die Kontrolle zurück erlangen kann. Insgesamt wehren unsere Systeme pro Tag mehr als zehn Millionen Angriffe ab.

Die Vorteile des selbst lernenden Systems

Unsere selbstlernenden Systeme entscheiden auf Basis diverser Daten, ob ein Anmeldeversuch bösartig ist – selbst wenn das korrekte Passwort verwendet wurde. Microsoft-Accounts werden dann solange gesperrt, bis ein zweiter Faktor zur Anmeldung verwendet wurde. Bei Azure Active Directory können Administratoren mittels Identity Protection Richtlinien erstellen, die genau das gleiche erreichen. Je nach Risikobewertung wird der Login gesperrt oder es wird ein zweiter Faktor verlangt.

Hier einige der neuen Daten aus dem aktuellen Security Intelligence Report (SIRv20):

  1. Dreiviertel aller unterbundenen bösartigen Loginversuche erfolgten von bisher unbekannten Orten aus
  2. Die Angreifer finden sich an verschiedenen Orten weltweit:
    1. 49 Prozent in Asien
    2. 20 Prozent in Südamerika
    3. 14 Prozent in Europa
    4. 13 Prozent in Nordamerika
    5. 4 Prozent in Afrika

Wenn wir wissen, woher die Angriffe stammen, können wir Angriffsmuster besser erkennen und so Kunden und Systeme besser schützen.

Hilfe zum Schutz

Mit unseren Security Intelligence Reports liefern wir jeweils auch Hilfestellungen zum Schutz von Menschen und Organisationen. So auch diesmal und zwar zum Thema Schutz von Konten vor Passwort-basierten Attacken:

  • Die Sicherheit Ihres Kontos ist vor allem dann wichtig, wenn andere Dienste als Nutzernamen eine E-Mail-Adresse verwenden. Dann verlassen sich diese Dienste auf diese Adresse, um Sie zu identifizieren. Übernimmt ein Angreifer Ihr E-Mail-Konto, kann er auch andere Konten unter seine Kontrolle bringen mittels eines Passwort-Resets per E-Mail.
  • Am besten verwenden Sie einen Passwort-Manager zum Erzeugen und Speichern von sicheren, einmaligen Passwörtern. Eine Übersicht kostenfreier Tools findet sich zum Beispiel hier.
  • Zwei-Faktor-Authentisierung schützt das Konto auch dann, wenn ein Angreifer das korrekte Passwort kennt. Informationen zum Aktivieren dieser Funktion für Ihr Microsoft-Konto finden sich hier.
  • Sollte Ihre Organisation vor dem Einsatz der Cloud noch zurückschrecken, weil Ihnen vermeintlich die gewohnte Kontrolle fehlt, dann ist es an der Zeit, dies zu überdenken. Denn die Möglichkeiten zum Schutz von Cloud-Diensten gehen sehr wahrscheinlich über das hinaus, was sich rund um lokal betriebene Dienste erreichen lässt.

Weitere Details zum neuen SIR finden sich im US-Blog von Tim Rains.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)

Skip to main content