Was sind Datenlecks?
Datenlecks, die Ihre Mitarbeiter betreffen, werden auf zwei verschiedene Arten angezeigt, je nachdem, ob ihr Ausnutzungspotenzial bestätigt ist oder nicht.
🆕 Datenlecks mit bestätigtem Ausnutzungspotenzial
Schwachstelle „Gültige Benutzeranmeldeinformationen in einem Datenleck gefunden/MO365/Fortinet“
Wie bestätigt Stoïk das Ausnutzungspotenzial des Lecks?
Datenlecks mit zu bestätigendem Ausnutzungspotenzial
Verstehen der Ergebnisse
Warum erscheint ein ehemaliger Mitarbeiter im Reiter Datenleck?
Warum betrifft eine Warnung einen Arbeitsplatz, der nicht zu uns gehört?
Warum entspricht das Benachrichtigungsdatum eines Lecks nicht immer dem Datum der Kompromittierung?
Warum zeigen einige Datenlecks eine unbekannte Quelle an?
1. 🆕 Datenlecks mit bestätigtem Ausnutzungspotenzial
Dies sind die kritischsten Datenlecks, was bedeutet, dass ein Angreifer sie direkt verwenden könnte, wenn er sie erlangt. Aufgrund ihrer Kritikalität wird für jedes dieser Lecks in den Stoïk External Scan-Ergebnissen eine eigene Schwachstelle erstellt.
1.a. 🆕 Schwachstelle „Gültige Benutzeranmeldeinformationen in einem Datenleck gefunden/MO365/Fortinet“
Unser External Scan alarmiert Sie, wenn die von unserem Datenleck-Reiter gefundenen Anmeldeinformationen noch aktiv sind.
Konkret werden Kundenanmeldeinformationen, die im Dark Web veröffentlicht wurden, dank einer internen Stoïk-Entwicklung mit generativer KI nun automatisch auf der relevanten URL getestet, um ihre Gültigkeit zu überprüfen.
Wenn die Gültigkeit bestätigt wird, wird während der Stoïk External Scan-Analyse eine „hohe“ Schwachstelle erstellt, die die Benutzer auffordert, ihre Anmeldeinformationen zu aktualisieren.
Der Benutzername und die URL werden dann in Stoïk Protect angezeigt (das Passwort kann auf ausdrückliche Anfrage an [email protected] mitgeteilt werden).
Da es sich um eine „hohe“ Schwachstelle handelt, werden Sie die CERT-Analysten von Stoïk proaktiv per E-Mail benachrichtigen, wenn eine Warnung dieses Typs erscheint.
1.b. Wie bestätigt Stoïk das Ausnutzungspotenzial des Lecks?
Die von Stoïk getesteten Datenlecks stammen hauptsächlich aus zwei Quellen:
Lecks aus Passwortdatenbanken (Combolists): Diese Datenbanken sind Sammlungen von Anmeldeinformationen (E-Mails, Passwörter), die aus mehreren früheren Lecks zusammengestellt wurden und ohne klaren Kontext aggregiert sind. Beispiel: [email protected] / M0t2Pa$$ / supersite.com Diese Combolists geben nicht immer die genaue Website an, auf der die Anmeldeinformationen geleakt wurden. Das erschwert das Testen der Anmeldedaten auf dem genannten Dienst. In diesem Fall testet Stoïk die Anmeldedaten automatisch auf kritischen und weit verbreiteten Diensten wie Microsoft 365 (O365) oder Fortinet VPN (falls dieser Dienst vom Versicherten genutzt wird). 💡 Wir testen die Anmeldedaten nicht direkt auf der genannten Seite, es sei denn, diese ist mit Sicherheit bekannt, wie im Fall von Log-Stealern (siehe unten).
Lecks aus Malware (Stealern): Stealer sind Schadsoftware, die auf kompromittierten Maschinen installiert wird und lokal verwendete Anmeldeinformationen ausliest. Diese Lecks sind viel präziser: Sie enthalten in der Regel die folgenden drei Elemente: E-Mail / Passwort / exakte Login-URL. Beispiel: [email protected] / M0t2Pa$$ / https://supersite.com/loginpage.php Wenn die URL eindeutig identifiziert ist, werden die Anmeldeinformationen direkt auf der entsprechenden Seite getestet, zusätzlich zu Microsoft 365 (O365) und Fortinet VPN. Diese Präzision reduziert Fehlalarme erheblich und zielt effektiv auf die Risiken einer aktiven Kompromittierung ab.
Zusammenfassung der von Stoïk durchgeführten Prüfungen:
Combolist
E-Mail + Passwort (oder Website)
Nur O365 + Fortinet
Stealer-Logs
E-Mail + Passwort + geleakte URL
Geleakte URL + O365 + Fortinet
Wenn die betroffene URL Fortinet oder O365 ist, heißt die angezeigte Schwachstelle „(...) in Fortinet/Microsoft Office 365 Datenleck gefunden“. Andernfalls heißt die angezeigte Schwachstelle „(...) in einem Datenleck gefunden“ und die URL wird in den Schwachstellendetails angegeben.
Standardmäßig wird keine Schwachstelle erstellt, wenn die Ergebnisse der von Stoïk durchgeführten Prüfungen leer sind, aber das Leck wird dennoch im Reiter „Datenleck“ angezeigt.
2. Datenlecks mit zu bestätigendem Ausnutzungspotenzial
2.a. Verstehen der Ergebnisse
Externe Oberfläche > Ergebnisse > Datenlecks listet alle unter Ihren Mitarbeitern erkannten Datenlecks auf, unabhängig davon, ob ihr Ausnutzungspotenzial bereits bestätigt wurde oder nicht.
Das angezeigte Datum entspricht in der Regel dem Zeitpunkt, an dem unser Tool den Datenverstoß entdeckt hat, nicht dem tatsächlichen Datum des Verstoßes.
Durch Klicken auf einen bestimmten Datenverstoß können Sie detaillierte Ergebnisse einsehen. Hier sind zwei Beispiele, wie die Ergebnisse zu interpretieren sind:
„IP“ und „Passwort“: In diesem Beispiel bedeutet dies, dass für die E-Mail-Adresse [email protected] das Klartextpasswort und die IP-Adresse während des Adobe-Datenverstoßes 2024 für die Domain my-company.com geleakt wurden.
„Passwort“ und „Verschlüsseltes Passwort": In diesem Beispiel bedeutet dies, dass für die E-Mail-Adresse [email protected] das Klartextpasswort („password“) und der Hash („verschlüsseltes Passwort“) auf mehreren Websites unbekannter Herkunft geleakt wurden, daher der Begriff „Combolists“.
2.b. Warum erscheint ein ehemaliger Mitarbeiter im Reiter Datenleck?
Wenn Sie eine Warnung über ein Konto sehen, das mit einem Mitarbeiter verbunden ist, der nicht mehr im Unternehmen ist, gibt es mehrere logische Gründe dafür.
Herkunft: Dabei handelt es sich nicht um ein Active Directory-Konto oder eine Firmen-E-Mail-Adresse, die direkt in Ihrem IT-System aktiv ist, sondern um ein Drittanbieterbenutzerkonto, das eine Adresse Ihrer Domain verwendet, zum Beispiel: [email protected], registriert auf einer externen Seite wie https://random.saas. Dieser Kontotyp kann gehören zu:
Einem ehemaligen Mitarbeiter, der mit seiner Arbeitsadresse ein SaaS-Konto erstellt hat.
Einem Konto, das in einer SaaS-Anwendung noch aktiv ist, dessen Arbeits-E-Mail-Adresse weiterhin gültig ist.
Einem externen Konto, das ohne E-Mail-Verifizierung erstellt wurde, was auf bestimmten Plattformen möglich ist.
Grund für die Erkennung: Die Warnung wird von Stoïk ausgelöst, weil die E-Mail-Adresse des Kontos mit Ihrem Domainnamen verknüpft ist oder weil das mit diesem Konto verbundene Passwort in einem öffentlichen Datenleck aufgetaucht ist. Daher kann dieses Konto, selbst wenn es sich um einen ehemaligen Mitarbeiter oder ein Konto handelt, das nicht von Ihrer IT-Abteilung verwaltet wird:
Immer noch Ihrem Unternehmen in Rechnung gestellt werden (häufig bei SaaS-Abonnements)
Zugriff auf interne Daten haben, wenn keine Widerrufung vorgenommen wurde
Ein Risiko einer indirekten Kompromittierung darstellen (Passwortwiederverwendung, Bounce-Angriff)
Empfehlung: In dieser Situation
Feststellen, ob das Konto in der betreffenden Anwendung noch aktiv ist
Das Konto widerrufen oder deaktivieren, wenn Sie die Kontrolle darüber haben
Den SaaS-Anbieter kontaktieren, um gegebenenfalls Löschung zu verlangen
Ihre Mitarbeiter-Abgangsverfahren aktualisieren, um die systematische Widerrufung von Drittanbieterkonten einzuschließen
2.c. Warum gibt es eine Warnung für einen Arbeitsplatz, der nicht zu uns gehört?
Auch wenn die betreffende Position Sie nicht direkt betrifft, ist die Warnung relevant, wenn Aktivitäten in Ihrem Bereich oder Ihrer Organisation festgestellt werden.
Jegliche ungewöhnliche Aktivität kann Folgendes anzeigen: Unbefugte Nutzung, potenzielle Kompromittierung, schlechte Verwaltung von Drittanbieterzugängen.
Sie können eine Cybersicherheitswarnung für einen Arbeitsplatz erhalten, der nicht in Ihrem IT-Inventar aufgeführt ist. Das mag überraschend erscheinen, aber es gibt mehrere mögliche Erklärungen für diese Situation.
Persönliches Gerät eines Mitarbeiters
Herkunft: Ein Mitarbeiter kann freiwillig oder aus Gewohnheit von einem persönlichen Gerät (Privatcomputer, Tablet usw.) auf Arbeitsressourcen zugreifen.
Grund für die Erkennung: Die Warnung wird von Stoïk ausgelöst, weil dieser Arbeitsplatz nicht von Ihren IT-Teams gesichert oder überwacht wird und daher einen verwundbaren Einstiegspunkt für Angriffe (Ransomware, Datendiebstahl) darstellen kann.
Empfehlung: In dieser Situation bitten Sie Ihren Mitarbeiter, diese Nutzung zu begrenzen oder sein Gerät zu sichern (Verschlüsselung, Antivirus, starkes Passwort usw.). Es wird dringend empfohlen, Ihre BYOD-Richtlinie (Nutzung persönlicher Geräte) zu überprüfen, falls Sie dies noch nicht getan haben.
Arbeitsplatz eines Dienstleisters oder Subunternehmers
Herkunft: Es ist möglich, dass ein Dienstleister (externer IT-Support, Berater, Freelancer usw.) von seinem eigenen Arbeitsplatz auf Ihre Daten oder Systeme zugreift.
Grund für die Erkennung: Die Warnung wird von Stoïk ausgelöst, weil Ihre Dienste oder Ihre Domain betroffen sind. Der Arbeitsplatz gilt als gefährdet, wenn er kompromittiert oder schlecht geschützt ist.
Empfehlung: Prüfen Sie in diesem Fall, ob dieser Dienstleister noch im Unternehmen aktiv ist. Wenn nicht, widerrufen Sie seinen Zugriff. Andernfalls stellen Sie sicher, dass auf seiner Seite gute Sicherheitspraktiken umgesetzt sind.
Geteilter oder öffentlicher Arbeitsplatz (Hotel, Terminal, Internetcafé usw.)
Herkunft: In einigen seltenen Fällen kann von einem öffentlichen oder gemeinsamen Terminal auf Ihre Dienste zugegriffen werden: Hotel-Terminal, PC im Besprechungsraum usw.
Grund für die Erkennung: Die Warnung wird von Stoïk ausgelöst, weil diese Maschinen stark Malware- oder Keylogger-gefährdet sind. Verbindungen sind selten verschlüsselt oder privat.
Empfehlung: In diesem Fall ist es unerlässlich, Ihre Mitarbeiter daran zu erinnern, niemals einen öffentlichen Computer zu verwenden, um auf kritische Ressourcen zuzugreifen, oder zumindest ein VPN und verschlüsselte Verbindungen zu nutzen.
2.d. Warum entspricht das Benachrichtigungsdatum eines Lecks nicht immer dem Datum der Kompromittierung?
Benutzer fragen sich oft nach der Zeitverzögerung zwischen dem Datum eines Datenlecks (oder eines gestohlenen Passworts) und dem Zeitpunkt des Eingangs der Stoïk-Warnung. Der Hauptgrund ist, dass Passwörter nicht sofort öffentlich gemacht werden.
Tatsächlich werden Anmeldeinformationen, die von Infostealern (Schadsoftware, die Passwörter aus Browsern, Managern oder Systemcaches extrahieren kann) gestohlen wurden, nicht immer sofort in den von uns überwachten Foren oder Marktplätzen geteilt.
In der Praxis werden gestohlene Informationen zunächst in privaten Kreisen oder geschlossenen Gruppen verkauft und werden erst nach mehreren Wochen oder sogar Monaten öffentlich verfügbar. Dann erkennt unser System sie und alarmiert Sie.
2.e. Warum zeigen einige Datenlecks eine unbekannte Quelle an?
Herkunft: Möglicherweise sehen Sie Datenlecks in Ihrer Stoïk Protect-Oberfläche erscheinen, ohne dass deren Ursprung klar angegeben ist. In diesem Fall wird die Quelle als „Combolist“ aufgeführt, was bedeutet, dass sie unbekannt oder nicht verifizierbar ist.
Eine Combolist ist eine massive Zusammenstellung von Identifikatoren (E-Mail-Adressen, Passwörter, manchmal andere Daten), die aus verschiedenen Lecks gesammelt wurden. Diese Dateien werden von Cyberkriminellen neu verpackt und dann auf Foren weiterverkauft oder geteilt, ohne stets die Herkunft der Daten anzugeben.
Grund für die Erkennung: Die Warnung wird von Stoïk ausgelöst, weil, auch wenn die genaue Quelle unbekannt ist, das Risiko real ist. Tatsächlich funktioniert der Identifikator (E-Mail + Passwort) weiterhin auf bestimmten Diensten, sodass er für einen Credential-Stuffing-Angriff ausgenutzt werden kann oder Zugang zu einem in Ihrem Unternehmen genutzten SaaS verschafft.
3. Was ist im Falle einer Datenleck-Warnung zu tun?
Ändern Sie das Passwort sofort.
Wenn Sie den Dienst nicht erkennen, prüfen Sie die interne Nutzung der genannten E-Mail-Adresse.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), falls Sie dies noch nicht getan haben.
Zuletzt aktualisiert
War das hilfreich?