2024 / Authentication / Datenschutz

Unsichtbare Bedrohung: Wie Stealer Logs die Sicherheit von Single Sign Ons gefährden

Bestimmt kennen Sie noch die Zeit, in der Sie sich eine ganze Reihe an komplizierten Passwörtern merken mussten. Jeder Dienst erforderte ein separates Login und jedes Passwort musste möglichst sicher sein, durfte also nicht einfach dem vorherigen gleichen. Doch in dieser Ära der wachsenden Cybergefahren, in der Stealer Logs und andere Bedrohungen lauern, ist die Sicherheit der Passwörter von entscheidender Bedeutung. Dann kam das sogenannte Single Sign On und plötzlich war es möglich, sich mit nur einem Login auf mehreren Seiten gleichzeitig anzumelden. Einfach so, ohne allzu komplizierte Passwortlisten. Dem Single Sign On sei Dank.

Das funktioniert auch heute noch hervorragend. Einmal via Single Sign On angemeldet, sind Sie bei gleich auf mehreren Diensten auf einmal eingeloggt und können diese ohne erneutes Login verwenden. Keine nervige Dateneingabe mehr, keine komplizierten Passwörter und vor allem auch mehr Bequemlichkeit. Doch halt! Bequemlichkeit bedeutet in Bezug auf die Cybersicherheit meist auch, dass es schnell sehr unsicher wird.

Das Single Sign On ist hier keine Ausnahme. Die Bequemlichkeit, die mit der Login-Methode einhergeht, besitzt auch gewisse Sicherheitsrisiken. Auf diese und weitere Details des SSO möchten wir hier nun etwas näher eingehen. Auch auf die Gefahren, die von sogenannten Stealer Logs ausgehen.

Vor- und Nachteile des Single Sign On

Wir brauchen vermutlich nicht näher darauf einzugehen, wie bequem der Login mittels Single Sign On für Sie wird. Durch die einmalige Anmeldung greifen Sie sofort auf mehrere Dienste auf einmal zu, ohne sich separat eintragen zu müssen. Das spart Zeit und ist zudem besonders effizient. Das SSO ist also primär deutlich schneller und gleichzeitig deutlich bequemer als der gewöhnliche Anmeldevorgang.

Auch das Thema mit der Passwortverwaltung und dem Passwortverlust wird mittels SSO geschickt umgangen. Hier braucht es keine umfangreiche Passwortverwaltung mehr, nur einen möglichst sicheren SSO, der dann wiederum Zugriff auf die anderen Dienste gewährleistet. Das vereinfacht die Handhabung mit den unterschiedlichen Logins um ein Vielfaches und erhöht dann abermals die Effizienz.

Gleichzeitig bestehen aber auch Nachteile, besonders wenn es um die Sicherheit geht. Denn der Single Sign On bedeutet zugleich, dass ein potenzieller Angreifer nur diesen einen Login stehlen muss, um sich damit anschließend Zugriff zu allen anderen verknüpften Diensten zu verschaffen. Das Sicherheitsrisiko ist demnach immens.

Die Bequemlichkeit des einzelnen Logins geht also immer auf Kosten der Sicherheit. Dies liegt in der Natur der Sache und kann nur dann umgangen werden, wenn eine biometrische Authentifizierung zum Single Sign On hinzugezogen wird, sodass ein Login ohne Passwort möglich wird. Doch schauen wir uns die potenziellen Stealer Logs noch einmal genauer an.

Stealer Logs und ihre Gefahren

Bei den sogenannten Stealer Logs handelt es sich um bösartige Tools oder Scripte, die versuchen persönliche Anmeldeinformationen zu stehlen. Also bösartige Software mit nur einem Zweck, nämlich Ihren Login zu ergattern und diesen dann für eigene Zwecke nutzen zu können. Auch wenn das Hauptziel die Login-Daten sind, so stehlen Stealer Logs für gewöhnlich alles, was sie in die Finger bekommen. Also auch persönliche Daten und Informationen, die im Zuge dessen besonders hilfreich sein können.

Klassischerweise bedienen sich die Stealer Logs an Passwörtern und Benutzernamen, Cookies sowie auch persönlichen Daten. Wenn es ihnen gelingt, sind sie auch an Kreditkarteninformationen interessiert, genau wie auch an Systemdaten und Informationen zur aktuellen Browser Session. Alles, was in verschiedenster Art und Weise nützlich sein könnte, um sich ein Login zu kapern, wird von den Stealer Logs entsprechend eingesammelt und zur Auswertung weitergeleitet. Auch Tastatureingaben können von Stealer Logs demnach mitgeschnitten werden.

Weitergeleitet, meint in diesem Fall das Senden der Daten an einen externen Server. Diese Remote-Server dienen den Angreifern als Datenarchiv, um die gestohlenen Daten für Angriffe direkt verfügbar zu haben und möglichst sofort nutzen zu können. 

Stealer Logs sind dabei überaus knifflig zu erkennen. Sie laufen oft versteckt im Hintergrund und schaffen es so, sich nahezu vollkommen zu verbergen. Da sie für gewöhnlich auch nicht viele Ressourcen für sich beanspruchen, sind sie kaum zu enttarnen. Genau das lässt Stealer Logs dann auch so überaus gefährlich für die Anwender werden.

Schutzmaßnahmen gegen Stealer Logs

Da stellt sich natürlich die wichtige Frage, wie Unternehmen sich vor den Stealer Logs schützen können. Gerade dann, wenn diese unbemerkt und gut getarnt im Hintergrund laufen, ist es nicht unbedingt trivial, sich davor in Acht zu nehmen. Schließlich gilt es, die Stealer Logs frühzeitig zu erkennen, bevor sie bereits aktiv im Hintergrund an ihrem Datendiebstahl arbeiten.

Im Grunde kann der Schutz vor Stealer Logs nur dann erfolgreich sein, wenn dieser vor dem eigentlichen Befall erfolgt. In Ihrem Unternehmen sollten Sie daher vorwiegend auf einen durchdachten Schutz mittels Firewall setzen. Diese muss dabei das gesamte Netzwerk durchgehend überwachen. Für lokale Scans kann Antivirensoftware eingesetzt werden. Regelmäßige Softwareupdates verhindern darüber hinaus, dass bereits bekannte Schwachstellen erneut ausgenutzt werden können.

Abgesehen vom konkreten Schutz vor den Stealer Logs selbst, sollten auch grundsätzliche Sicherheitsmaßnahmen eingehalten werden. Eine ordentlich eingerichtete Zwei-Faktor-Authentifizierung (2FA) beispielsweise oder auch grundsätzlich besonders starke Passwörter für das Single Sign On, welches ebenfalls zu mehr Cybersicherheit beiträgt.

Gefahr der Stealer Logs für SSOs

Wer Stealer Logs auf die leichte Schulter nimmt, begeht einen großen Fehler und unterschätzt die Gefahr, die von ihnen ausgeht. Während bereits Einzelpersonen stark betroffen sein können, ist der Schaden für Unternehmen noch einmal ungleich höher. Hier kann es zu einem Verlust wertvoller Daten kommen. Zum Teil werden sogar ganze Logins auf diese Weise gestohlen.

Bei einem Single Sign On bedeutet der Verlust des Logins, dass Hacker Zugriff auf das gesamte Single Sign On Netzwerk haben. Also nicht nur den Hauptdienst, sondern auch auf alle mittels Single Sign On verbundene Services. Auch hier zeigt sich wieder, dass der Single Sign On zwar unheimlich praktisch ist, jedoch auch äußerst gefährlich für die Cybersicherheit in Unternehmen werden kann.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.