Zwischen 2020 und 2022 wurde der Webhoster und Registrar Godaddy mehrere Male von Cyberkriminellen angegriffen . Erst 2022 fand das Unternehmen jedoch heraus, dass Zusammenhänge zwischen den Angriffen bestehen.

Im Interview mit Alex Hoffmann, Senior Solutions Engineer bei 1Password, haben wir über den Angriff gesprochen und darüber, wie er vielleicht hätte verhindert werden können. Dazu erklärt der Experte, wie ein wirklich sicheres Passwort aussieht und wie ein Passwortmanager gegen Phishing hilft.

Wie kann ein solcher Angriff so lange unbemerkt bleiben? Diese Arten von Cyberangriffen sind schwer zu fassen. Es müssen verschiedene Systeme und potenzielle Angriffsvektoren überwacht werden. Häufig zielen solche Angriffe auf die Endnutzerinnen und -Nutzer einer Organisation ab und weiten sich von dort aus. Dabei ist es für Unternehmen besonders schwierig, eine vollständige und permanente Übersicht über alle Sicherheitsaspekte der eigenen IT-Infrastruktur zu haben. Deswegen ist es nicht ungewöhnlich, dass eine solche Attacke im Verborgenen bleiben kann.

Aber wenn so ein Vorfall bekannt wird, wird doch die gesamte Infrastruktur auf Schwachstellen untersucht? Ich bin mir sicher, dass das im Normalfall passiert. Und ich bin mir auch sicher, dass eine solche Untersuchung bei Godaddy stattgefunden hat. Nur nutzen Firmen heutzutage eine grosse Mischung aus potenziellen Einfallstoren, darunter interne Netzwerkressourcen, SaaS-Applikationen und andere Dienstleistungen.

So ist es ein enormer Aufwand, einerseits einen permanenten Überblick zu wahren und andererseits herauszufinden, welchen Weg Angreifer oder Angreiferinnen genommen haben, nachdem sie ins System eingedrungen sind. Solche Detektionsprogramme aufrecht zu halten ist sehr aufwändig und selbst Forschende aus diesem Bereich können keine 100-prozentige Sicherheit oder Detektion garantieren.

Kennen Sie Einzelheiten, wie die Angreifenden bei Godaddy vorgegangen sind? Ich habe mich ziemlich tief in das Thema eingelesen. Es war ein interessanter Vorfall, aber leider gibt es von der Firma selbst keine handfesten Informationen dazu – was wir für eine vollständige Analyse natürlich bräuchten.

Was haben Sie herausgefunden, als Sie sich in den Vorfall eingelesen haben? Scheinbar war das Einfallstor bei Godaddy tatsächlich ein oder mehrere Mitarbeitende, die auch Zugriff auf interne Systeme hatten. Von dort aus sind die Angreifenden dann tiefer in die Infrastruktur vorgedrungen. Das genaue Vorgehen ist aber nur sehr schwer abzuschätzen. Nach den Angaben von Godaddy passierte der ursprüngliche Cyberangriff bereits 2020. Danach hielten sich die Angreifenden in den Systemen versteckt.

Also kann man sagen, dass wohl ein Phishing-Versuch bei einem oder einer Mitarbeitenden erfolgreich war? Knapp 3 Jahre nach dem Vorfall ist das schwer zu beurteilen, aber damals gab es solche Vermutungen. Bei den meisten Breaches wird entweder ein Gerät kompromittiert und die Angreifenden können aufgrund der Zugriffsberechtigung in gewisse Systeme gelangen. Oder Phishing-Attacken sind erfolgreich und Cyberkriminelle kommen so an kritische Zugangsdaten.

Würden Sie dieses Vorgehen der Angreifenden als Standard bezeichnen? Definitiv ja. So zeigt zum Beispiel der Data Breach Investigations Report von Verizon, dass sich 80% aller Data Breaches auf irgendeine Fehlbehandlung von Passwörtern zurückführen lassen.

Also kann das jedem Unternehmen passieren? Ja, das ist auch der Grund, weshalb Firmen letztendlich so viel Geld für Cybersecurity ausgeben. So stellen sie sicher, dass sie ihre Arbeit verrichten können. Da gehören ganz einfache Dinge dazu, etwa wie die Software auf dem neuesten Stand gehalten oder welche Art von Virenschutzsoftware oder Firewall verwendet wird.

Hinzu kommt aber auch noch der Bereich, in dem Menschen mit solchen Sachen interagieren. Dort kommen dann Lösungen wie Passwortmanager oder Role-based access control (RBAC) auf verschiedenen Ebenen zum Zug. So wird mit rollenbasierten Zugriffsberechtigungen sichergestellt, dass alle Mitarbeitenden immer nur diejenigen Zugriffe besitzen, die sie tatsächlich für ihre Arbeit brauchen.

Sie haben die Zugriffsberechtigungen angesprochen. Lassen sich solche Vorfälle mit 2FA und einem Passwortmanager verhindern? In Kombination sind die beiden Tools eine der effektivsten Möglichkeiten, um zu verhindern, dass Kriminelle in irgendeiner Form in die Systeme eindringen und sich dort frei bewegen können.

Was macht ein gutes Passwort aus? Ein gutes Passwort sollte zufallsgeneriert sein, einen hohen Grad an Entropie aufweisen, über eine gewisse Länge verfügen und einen breiten Zeichensatz beinhalten. Dazu ist wichtig, dass es nicht wiederverwendet wird. Also sollte niemals ein Passwort für mehrere Dienste eingesetzt werden.

Zufallsgeneriert heisst letztendlich aber, dass es sehr schwierig wird, sich das Passwort zu merken? Dafür gibt es ja mittlerweile Passwortmanager, damit man sich diese nicht mehr merken muss. Das sind Standardprodukte, die sowohl auf dem Betriebssystem als auch auf dem freien Markt erhältlich sind.

Das Hauptpasswort für den Zugang zu einem Passwortmanager sollte ja auch diesen Kriterien entsprechen. Soll man jetzt ein zufälliges generieren und dieses auswendig lernen oder eines selber generieren, dass man sich merken kann? Es gibt viele Möglichkeiten, ein wirklich sicheres Passwort zu haben, das man sich auch leicht merken und entsprechend eintippen kann. Eine Methode nennt sich Diceware Password. Dabei werden einzelne zufallsgenerierte Worte mit unterschiedlichen Verbindungen verknüpft. Auf unserer Webseite bieten wir beispielsweise einen offline ablaufenden Passwortgenerator, bei dem man sich ein Passwort aus 3, 4, 5 einzelnen Worten zusammenwürfeln kann.

Das sind dann alles Wörter, die zwar für sich in einem Wörterbuch existieren, aber eine völlig zufällige Reihenfolge aufweisen. Der Endnutzer kann dann noch entscheiden, mit welchen Zeichen er die Wörter miteinander verbindet. Diese Würfelpasswörter sind einfach zu merken oder man kann sich eine Eselsbrücke dafür bauen. Ein weiterer Vorteil ist, dass sich die Passwörter als ganze Wörter natürlich leicht tippen lassen. Egal ob man vor einem Desktop oder an einem Smartphone sitzt.

Gleichzeitig bieten solche Passwörter eine enorme Sicherheit. Eindringlinge wissen nicht, was sie vor sich haben, wenn sie versuchen, den Code zu knacken. Sie wissen nicht, ob es sich dabei um einen Zeichensalat oder um einzelne Wörter handelt. Und selbst wenn die Angreifenden einzelne Wörter kennen, müssen sie die Reihenfolge herausfinden und welche Trennzeichen dazwischen stehen. Der Grad an Entropie ist somit riesig.

Glauben Sie, mit einem entsprechenden Passwortmanager hätte der Vorfall bei Godaddy verhindert werden können? Das ist schwierig zu sagen, ohne den genauen Einfallsvektor zu kennen. Das Einzige, was Unternehmen wirklich machen können, ist möglichst viele potenzielle Gefahrenquellen zu eliminieren. Das kann zum Beispiel die Nutzung eines Passwortmanagers oder die Verwendung von Multi-Faktor-Authentifizierung sein.

Es braucht aber auch gute Detektionsmechanismen. Wenn man also merkt, da loggt sich jemand mit bestimmten Zugangsdaten ein, mit einer IP-Adresse aus einer geografisch völlig anderen Region, muss man stutzig werden und sich fragen, weshalb wird das Login aus 600 Kilometern Entfernung durchgeführt oder weshalb passiert das gerade jetzt? Da kommt dann schnell einmal der Punkt, wo man den Login-Vorgang besser blockieren sollte.

Hilft ein Passwortmanager, um Phishing-Angriffe abzuwehren? Definitiv. Das ist eine der Grundfunktionen von 1Password. Wenn jemand ursprünglich ein Login-Objekt speichert, dann liegt in diesem Objekt der Benutzername, das Passwort, ein potenzieller Multifaktorcode und die konkrete Domain. Wenn ich jetzt in einer E-Mail auf einen Phishing-Link klicke, die mich auf eine täuschend echte Website weiterleitet und dort auf das Login-Feld klicke, dann erwarte ich von meinem Passwortmanager, dass er mir die entsprechenden Daten einfüllt.

Bei einer Phishing-Website wird aber das Login-Objekt gar nicht dargestellt, weil die richtige Domain im Passwortmanager gespeichert ist. Wer eine entsprechende Lösung bereits länger nutzt, merkt so schnell, dass irgendetwas nicht stimmen kann. Mir selbst ist das auch schon passiert. Meine E-Mail-Adresse war Teil des Paypal-Breaches. Seit damals habe ich viele täuschend echte Phishing-Mails erhalten.

Eine davon habe ich zufälligerweise nur wenige Minuten nach einem Bezahlvorgang mit Paypal bekommen. Einen kurzen Moment habe ich nicht nachgedacht und auch nicht so ganz genau hingeguckt. Und obwohl mich zwei, drei Zeichen hätten darauf hinweisen können, habe ich den Link geklickt und wollte mich entsprechend einloggen. Aber weil 1Password mir meine Zugangsdaten nicht angezeigt hat, wusste ich, dass ich gerade auf eine Phishing-Mail hereingefallen bin. Ich habe den Login-Vorgang rechtzeitig abgebrochen.