CRN-Interview mit Stefan Volmari von Citrix: »Das lokale Admin-Konto wird als Risikoquelle unterschätzt«

Weil sie auf jedem Rechner zu finden sind, sind lokale Administratorkonten der ideale Einstiegspunkt für Cyberkriminelle, von dem aus sie sich weiter ins Unternehmen vorarbeiten. Stefan Volmari, Director Systems Engineering Central Europe bei Citrix, empfiehlt automatisch wechselnde Zufallspasswörter als Schutz.

Stefan Volmari, Director Systems Engineering Central Europe bei Citrix
(Foto: Citrix)

CRN: Herr Volmari, welche Benutzerkonten stellen für die Sicherheit eines Unternehmens das größte Risiko dar?

Stefan Volmari: Als eines der am meisten gefährdeten Benutzerkonten eines Unternehmens gilt das lokale Administratorkonto. Es wird als Risikoquelle für die IT-Sicherheit oftmals unterschätzt, denn es sieht zunächst so aus, als habe es nur lokal begrenzte Zugriffsrechte. Allerdings existiert dieses Konto auf jedem Computer in einem Unternehmen – meist neben auch deutlich wichtigeren Konten, die mit sensiblen Daten gespickt sind. Problematisch ist vor allem, dass diese Admin-Konten selten zentral verwaltet werden, aber dennoch häufig mit ein und demselben Passwort an jeder Maschine angemeldet werden können. Mithilfe zentraler Methoden ändern einige Unternehmen das Passwort, um mehr Sicherheit zu gewährleisten, doch das Problem des einheitlichen Passworts bleibt bestehen.

CRN: Haben Unternehmen das Problem auf dem Schirm?

Volmari: Laut dem letzten Verizon Data Breach Investigations Report aus dem Jahr 2017 sind sich Unternehmen zwar der Gefahr durch Hackangriffe bewusst, haben jedoch nach wie vor noch nicht genügend Mittel zur Verteidigung ergriffen. Bei 81 Prozent der Angriffe von Cyberkriminellen haben diese sich mithilfe von gestohlenen oder schwachen Passwörtern Zugang zu den Unternehmenssystemen verschafft. Diese Schwachstelle ist weit verbreitet und fliegt dennoch in den Security-Abteilungen häufig unter dem Radar, während mehr Ressourcen in die Abwehr von extremen und seltener auftretende Angriffsszenarien gesteckt werden.

Auch das Bewusstsein der Mitarbeiter spielt eine zentrale Rolle, denn noch immer fallen Mitarbeiter auf bösartige E-Mails herein, bei der sie achtlos einem Link folgen oder einen Anhang öffnen.

CRN: Reicht es nicht, privilegierten Konten mit komplexen Passwörtern und/oder Mehrfaktor-Authentifizierung zu schützen?

Volmari: Es braucht dank online verfügbarer Cracking-Tools und spezieller Hardware wie Brutalis oder Invictus nur wenige Sekunden, um ein hochkomplexes Passwort zu knacken und sich Zugang zu einem Rechner zu verschaffen. Der Hacker kann sich dann mit dem lokalen Admin-Kennwort über die Pass-the-Hash-Technik Zugang zu jedem Domain-Account des betroffenen Computers verschaffen. Von Zugriffspunkt zu Zugriffspunkt können Cyberkriminelle so letztendlich Zugriff auf sensible Unternehmensdaten sammeln oder sogar das Netzwerk übernehmen.

Übersicht