Vorsicht bei Geisterkonten ausgeschiedener Mitarbeitenden

So kann das Unternehmen geschützt bleiben

Eine Gefahr bestehe dabei nicht nur darin, veraltete und unüberwachte Konten aktiv zu halten, sondern auch darin, Mitarbeitenden mehr Zugriffsrechte zu geben, als sie benötigen. »Unternehmen gehen fälschlicherweise davon aus, dass eine Person, die eine Führungsposition innehat oder für das Netzwerk verantwortlich ist, einen Domain-Admin-Account verwenden muss«, so Mackenzie. Sein Rat: »Kein Konto mit Privilegien sollte standardmäßig für Arbeiten verwendet werden, die diese Zugriffsebene nicht erfordern. Benutzer sollten die erforderlichen Konten nur bei Bedarf und nur für diese Aufgabe verwenden.«

Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Ein früherer Fall, zu dem das Rapid-Response-Team hinzugezogen wurde, bestätigt diesen Punkt. Hier habe sich ein Angreifer Zugriff auf das Netzwerk eines Unternehmens verschafft, legte einen neuen Benutzer an und fügte dieses Konto der Gruppe ›Domain Admin‹ in Active Directory hinzu. Da keinerlei Warnungen ausgelöst wurden, löschte das neue Domainadministratorkonto anschließend etwa 150 virtuelle Server und verschlüsselte die Server-Backups mit Microsoft Bitlocker.

Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern, so der Rat der Sophos Experten. Wenn das Konto nicht mehr benötigt wird, sollte es deaktiviert und regelmäßige Audits des Active Directory durchgeführt werden.

Das Rapid Response Team rät zu folgenden Schritten für eine sicher Kontenverwaltung:

• Nur die Zugriffsrechte gewähren, die für eine bestimmte Aufgabe oder Rolle benötigt werden
• Nicht mehr benötigte Konten deaktivieren
• Wenn Konten ausgeschiedener Mitarbeitenden aktiv bleiben müssen, sollte ein Dienstkonto eingerichtet und interaktive Anmeldungen verweigert werden
• Regelmäßige Audits des Active Directory: Active Directory-Überprüfungsrichtlinien können so eingestellt werden, dass sie die Aktivität von Administratorkonten überwachen oder melden, wenn ein unerwartetes Konto zur Domänenadministratorgruppe hinzugefügt wird
• Einsatz einer Sicherheitslösung, idealerweise mit Anti-Ransomware-Technologien

»Kontodaten im Auge zu behalten, ist eine grundlegende, wichtige Cybersecurity-Hygiene. Wir sehen viel zu viele Vorfälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche Geisterkonten sind ein bevorzugtes Ziel für Angreifer«, sagt Peter Mackenzie.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Vorsicht bei Geisterkonten ausgeschiedener Mitarbeitenden
2. So kann das Unternehmen geschützt bleiben

Lesen Sie mehr zum Thema

Weitere Artikel zu Sophos GmbH Fort Malakoff Park

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cybersicherheitslösungen für MSPs

Sophos und Pax8 kooperieren für optimiertes Sicherheitsmanagement

Sophos-Umfrage beim Security-Personal

Cybersicherheit? Absolut simpel, meint der Chef

Sophos-Studie

Ransomware-Angriffe im Gesundheitswesen auf Vier-Jahres-Hoch

Fernwartung als Einfallstor

Ransomware-Attacke nutzt Remote-Access-Programm

Weitere Artikel zu Betriebs-Sicherheit

Von Zero Trust bis Netzwerksegmentierung

Vier Sicherheitsstrategien für OT-Umgebungen

Schwachstellen wie Sand am Meer

Das sind die gefährlichsten ITK-Geräteklassen

Evolution der Cyberkriminalität

KI und ML als Katalysatoren für digitalen Betrug

E-Commerce kämft zunehmend mit Betrug

Lösungen gegen digitalen Ladendiebstahl gesucht

Aktualisierte Hologramme für Patronen

Brother verstärkt Schutz gegen Produktfälschungen