IT-Servicedesk-Exploits gefährden Organisationen

In modernen Unternehmen ist der IT-Servicedesk eine zentrale, wenn auch häufig übersehene Schnittstelle, um technische Probleme zu lösen, Dateien wiederherzustellen, vergessene Passwörter zurückzusetzen und eine hohe Mitarbeiterproduktivität zu gewährleisten. Zur Erfüllung dieser Aufgaben benötigen IT-Support-Techniker jedoch weitreichende Zugriffsprivilegien, auf die es externe Bedrohungsakteure abgesehen haben.

Können Angreifer den IT-Servicedesk erfolgreich kompromittieren, untergraben sie damit womöglich die gesamte Sicherheitsstruktur einer Organisation. Solche Angriffe finden tagtäglich statt und haben verheerende Folgen. Von nationalstaatlicher Spionage bis hin zu Ransomware-Banden stellt der IT-Servicedesk daher den bevorzugten Angriffspunkt für Bedrohungsakteure dar, die auf immer neue Art und Weise nach (unberechtigten) Einwahlmöglichkeiten suchen.

IT-Servicedesks sind darauf ausgelegt, Benutzer zu unterstützen und nicht zu behindern. Die Mittel und Wege zur Hilfestellung schaffen indes Risiken, die Angreifer ausnutzen wollen.

Social Engineering im großen Maßstab

Durch eine Kombination aus grundlegender Online-Recherche und Vishing (Voice Phising) oder möglicherweise sogar KI-Deepfakes können Angreifer sich leicht als Mitarbeiter, Dienstleister oder Führungskräfte ausgeben. Ziel ist es, IT-Servicedesk-Mitarbeiter auszutricksen, von Angreifern kontrollierte Geräte für die Multi-Faktor-Authentifizierung (MFA) einzubinden, Zugangsdaten zurückzusetzen oder Sicherheitskontrollen zu umgehen.

Social Engineering ermöglicht es dem Angreifer, eine Zielidentität zu kompromittieren, wenn beispielsweise ein Passwort erbeutet wurde, aber durch zusätzliche MFA-Mechanismen der Einwahlvorgang gestoppt wurde. Über den IT-Servicedesk könnte ein Angreifer die Sicherheitsvorkehrungen umgehen.

Identitätsverifizierungsprozesse basieren oft auf grundlegenden oder leicht zugänglichen Informationen, so dass sie gegen zielgerichtete Angriffe nur einen minimalen Schutz bieten. Angreifer können die betreffenden Informationen aus öffentlichen Quellen, zurückliegenden Datenpannen oder einfach per Telefonat mit einem Mitarbeiter gewinnen.

Drücken Sie die „0“ für eine Leitung nach außen: Die Rufnummern des internen IT-Servicedesks werden im Regelfall nicht nach außen kommuniziert. Gewiefte Angreifer geben daher nach Anruf bei der offiziellen Support-Nummer an, sich als Mitarbeiter verwählt zu haben — verbunden mit der Bitte, an den richtigen Service-Mitarbeiter weitergeleitet zu werden. Auf diese Weise könnten sie einen internen Anruf innerhalb der Organisation vortäuschen und der eventuellen Grundskepsis ihres Gegenübers entgegenwirken.

Ausnutzung des Fernzugriffs und dauerhafter Privilegien

Ziel externer Angreifer ist es, weitreichende Nutzerprivilegien und Zugriff auf möglichst viele Systeme zu bekommen. In manchen Fällen kann die Kompromittierung der Identität eines einzelnen IT-Servicedesk-Mitarbeiters gleichbedeutend mit der Kompromittierung aller Identitäten einer Organisation sein. Wird im Unternehmen beispielsweise ein VPN-Zugang (Virtuelles Privates Netzwerk, VPN) für den Mitarbeiterzugriff aus der Ferne genutzt, gefährdet eine kompromittierte Identität mit privilegiertem Zugriff das gesamte Netzwerk.

Angesichts des (meist) hohen Support-Ticket-Aufkommens und der gängigen Praxis, sich in verschiedene Systeme einzuloggen, fällt ein Phishing-Angriff häufig nicht einmal auf. Dies gilt insbesondere für immer häufigere AiTM-Angriffe (Adversary-in-the-Middle), bei denen täuschend echt wirkende Phishing-Seiten zwischen dem Opfer und einem legitimen Dienst platziert werden. Solche Angriffe legen nicht nur die Zugangsdaten des betroffenen Nutzers offen, sondern auch Session-Tokens, mit denen Angreifer leichter MFA-Mechanismen umgehen und auf Systeme zugreifen können.

Die Risiken erhöhen sich zudem exponentiell, wenn Organisationen auf gemeinsame Drittanbieter-Servicedesks vertrauen, denn eine kompromittierte Identität würde dann gleich mehrere Organisationen betreffen.

IT-Servicedesk-Imitation

Die Imitation eines IT-Servicedesks ist eine besonders wirksame Methode, mit der Angreifer direkt an Informationen gelangen oder einen Mitarbeiter per Anruf dazu bringen, bestimmte Aktionen auszuführen oder eine Backdoor auf dessen Laptop dauerhaft zu installieren.

Beispiel für ein Angriffsskript: „Hallo, hier ist Bob aus der IT. Wir haben ungewöhnliche Aktivitäten auf deinem Laptop bemerkt... Ich habe hier ein Tool, das du ausführen müsstest, um diese Vorgänge zu beenden und zu verhindern, dass dein Konto gesperrt wird.“

Viele Organisationen nutzen robuste Endpoint Detection and Response (EDR)-Lösungen zur Erkennung von bösartigem Code, aber die Erkennung komplexer Angriffsmuster fällt Fernzugriffs- und Management-Tools schwer. Diese Werkzeuge bieten Angreifern einen unauffälligen Mechanismus, um auf das System und die Dateien aus der Ferne zuzugreifen sowie die Rechte des Nutzers auszunutzen, zusätzliche lokale Konten zu erstellen oder sich seitwärts im Netzwerk zu bewegen.

Das Least-Privilege-Prinzip wird beim IT-Servicedesk nicht durchgesetzt, da zur Erfüllung der zugewiesenen Aufgaben nun einmal hohe Privilegien erforderlich sind. Das schafft jedoch Risiken und blinde Flecken:

• Dauerhafte Privilegien: Viele IT-Servicedesks verfügen rund um die Uhr über vollständigen Zugriff auf privilegierte Identitäten — nicht nur für kurze Zeiträume, die zur Bearbeitung von Support-Tickets benötigt werden. Ein dauerhafter Zugang auf höchster Ebene erhöht die Risiken jedoch erheblich. Darüber hinaus können solche Zugriffsrechte den Weg zur Übernahme weiterer Konten im Unternehmen ermöglichen, wenn beispielsweise Zugangsdaten zurückgesetzt oder der Wirkungskreis je nach Status des Zielbenutzers erweitert werden.
• Credential Creep: Zur Zeiteinsparung und beschleunigten Ticketbearbeitung kommen häufig gemeinsam genutzte Konten mit einfach zu merkenden Zugangsdaten zum Einsatz. Daraus ergeben sich weitere Herausforderungen bei der Prüfung, wer welche Aktivitäten durchgeführt hat, denn schließlich können diese Konten jederzeit von jedem genutzt werden — ohne Kontrolle oder Überprüfbarkeit.
• Mangelnde Sichtbarkeit von Privilegien: Bei vielen isolierten Systemen ist es für IT-Sicherheitsteams schwierig, Privilegien- und Zugriffsniveaus nachzuverfolgen. Diese Herausforderung wird durch verborgene Zugriffswege mit weiteren Privilegien zusätzlich vergrößert. So könnte zum Beispiel eine IT-Servicedesk-Identität möglicherweise kein globaler IT-Administrator sein, aber trotzdem über spezifische Berechtigungen verfügen, die nur für eine Gruppe mit höheren Berechtigungen vorgesehen ist. Im Ergebnis lassen sich erhöhte Admin-Rechte ausnutzen.

Strategien zur Schadens- und Risikominimierung im Zusammenhang mit IT-Servicedesk-Attacken:

• Least Privilege und Least Impact: Vermeiden Sie dauerhafte Privilegien in der gesamten Organisation. Je weniger dauerhafte Nutzerrechte zugewiesen werden, desto geringer sind potenzielle Negativfolgen, falls eine Identität kompromittiert wird – sei es über den IT-Servicedesk oder auf andere Weise. Für Angreifer ist es aktuell einfacher, sich einzuloggen als in Netzwerke einzubrechen. Dieses Prinzip gilt gleichermaßen für Cloud- als auch On-Premises-Systeme.
• Secure Remote Access: Verwenden Sie keine VPNs. Integrieren Sie stattdessen eine VPN-freie Remote-Support-Lösung in Ihre PAM-Strategie, um bedarfsgerecht Sitzungen bereitstellen und Aktivitäten aufzeichnen zu können. Die Lösung sollte eine Verwaltung und Zuweisung privilegierter Zugangsdaten beinhalten, die nur für festgelegte Zwecke verfügbar und für Servicetechniker nicht direkt einsehbar sind.
• Ganzheitliche Identitätssichtbarkeit mit True Privilege™ Mapping: Verschaffen Sie sich Transparenz darüber, wo direkte und indirekte Privilegien zum Einsatz kommen. Das ermöglicht IT-Sicherheitsteams, fundierte Entscheidungen über das Risikoprofil einer Organisation zu treffen und Security-Investitionen zu schützen, die durch nicht verwaltete Schattenkonten und unbekannte Zugriffswege untergraben werden könnten.
• Stärkere Identitätsprüfung: Gehen Sie über statische, leicht erratbare Fragen hinaus. Integrieren Sie dynamische Verifikationsschritte, wie das Anzeigen physischer IDs, und verwenden Sie Phishing-resistente MFA (z. B. FIDO2), insbesondere bei Servicedesks und privilegierten Konten.
• Überwachung riskanter Paths to Privilege™: Wenn bei hoch privilegierten Nutzern ein neuer MFA-Faktor hinzugefügt oder die Zugangsdaten zurückgesetzt werden, müssen IT-Sicherheitsteams das sofort wissen. Moderne Identitätssicherheitsprodukte kombinieren Graphentechnologie mit fortschrittlicher Bedrohungserkennung, um Organisationen bei der passenden Reaktion auf risikoreiche Identitätsereignisse priorisiert zu unterstützen.

IT-Servicedesks sind häufig das schwächste Glied in der Sicherheitskette – und Angreifer wissen das. Durch Kombination von Social Engineering und privilegierten Zugriffsrechten können IT-Servicedesks als Werkzeug zur Kompromittierung digitaler Identitäten dienen.

Entscheidend ist, ob Organisationen die Sicherheit des IT-Servicedesks als wesentlichen Bestandteil einer umfassenden Privileged Access Management (PAM)-Strategie verstehen. Identitätssicherheit ist ein hart umkämpftes Gebiet der aktuellen Security-Landschaft. Das Ziel für Sicherheitsverantwortliche ist klar: Höchste Sicht auf Eskalationspfade und Privilegien, Abschaffung dauerhafter Nutzerprivilegien und Schutz beim Einsatz von Privilegien.

Gehen Sie den nächsten Schritt mit BeyondTrust:

• Fordern Sie eine kostenlose Testversion von BeyondTrust Remote Support an, um IT-Servicedesk-Risiken über VPN-freie, sitzungsbasierte Fernzugriffe zu senken und gleichzeitig eine hohe Produktivität zu gewährleisten.
• Fordern Sie ein kostenfreies Identity Security Risk Assessment an, um versteckte Zugriffswege auf Privilegien, überdimensionierten Konten und IT-Servicedesk-Exploits in Ihrer Umgebung aufzudecken.

Gerne können Sie auch mit einem Experten über die Absicherung privilegierter Zugriffe und Paths to Privilege™ für IT-Servicedesk und Unternehmen sprechen — kontaktieren Sie uns: https://www.beyondtrust.com/de/contact.