Citrix Systems veröffentlichte Anfang Dezember einen Blogbeitrag, um die erzwungenen massenhaften Passwortrücksetzungen für ShareFile zu erklären. ShareFile-Nutzer hatten sich daraufhin besorgt an Sicherheitsexperte Brian Krebs gewandt. Sie vermuteten, dass ein echter Sicherheitsvorfall hinter der Aktion von Citrix Systems stecke. Das Unternehmen antwortete daraufhin sehr detailliert auf die Anfrage von Krebs. Es hätte definitiv keinen Sicherheitsvorfall gegeben – weder bei Citrix Systems selbst noch beim seinem Tochterunternehmen ShareFile. Es sei eine reine Vorsichtsmaßnahme gewesen, um potenzielle Risiken zu verringern. Man habe im Rahmen der fortlaufenden Überwachungsmaßnahmen allerdings Versuche erkennen können, das Kriminelle mittels Credential Stuffing Methoden in die ShareFile Datenbanken von Kunden eindringen wollten.
Citrix Systems ist ein international aufgestelltes amerikanisches Softwareunternehmen mit Hauptsitz in Florida. Es bietet unter anderem Server-, Anwendungs- und Desktop-Virtualisierung, Netzwerke, Software als Dienst an. Zu dem Unternehmen gehören auch einige Tochterunternehmen, darunter ShareFile.
ShareFile ist eine Plattform für das sichere gemeinsame Nutzen von zentral gespeicherten Daten, sie bietet auch Dateifreigabe- und Synchronisierungslösungen. Andere Bereiche umfassen cloudbasierte bzw. On-Premix-Speicher, virtuelle Datenräume und Client-Portale. Solche Dienste und Speichermöglichkeiten sind, ganz selbstredend, eine Verlockung für Cyberkriminelle, Daten zu stehlen.
Credential Stuffing ist eine Angriffsart, die auf gestohlenen Zugangsdaten aus anderen Cyberdiebstählen zurückgreift. Die Angreifer gleichen dabei die gestohlenen Nutzerdaten, Passwörter und Anmeldenamen ab. Sie nutzen dabei die immer noch sehr häufig vorkommenden sorglosen Angewohnheiten mancher Nutzer aus, gleiche Anmeldedaten mehrmals zu verwenden. Statistiken, die hierzu in den vergangenen Jahren immer wieder veröffentlicht wurden, zeigen, dass diese Sorglosigkeit tatsächlich erschreckend hoch ist. Cyberdiebe sehen hier also offensichtlich genügend Potenzial, um aktiv zu werden. Und laut Citrix Systems selbst, haben diese Art Angriffe in 2018 stark zugenommen. Laut dem Breach Level Index wurden im ersten Halbjahr 2018 mehr Datensätze als im gesamten Jahr 2017 kompromittiert – im Endeffekt liegt die Gesamtzahl für 2018 im Milliardenbereich.
Citrix Systems setzte die meisten, aber nicht alle Passwörter ihrer Kunden zurück, was eine Passwortneuvergabe zwingend erforderlich machte. Nicht betroffen waren solche Kunden, die andere von ShareFile zur Verfügung gestellte sichere Authentifizierungsmöglichkeiten nutzen. Dazu zählten ShareFile-Benutzer, die Multi-Faktor-Authentifizierung einsetzten, der beispielsweise mit einem Einmalcode, der per SMS oder Textnachricht gesendet wird. Auch zeitlich begrenzte Kennwörter, generiert mithilfe authentifizierender mobiler Apps von Google und Microsoft, waren sehr sichere Optionen und damit nicht betroffen. Zu den robustesten Formen der Multi-Faktor-Authentifizierung gehören sogenannte Single Sign-On-Lösungen.
Citrix Systems ging allerdings so weit, bekannt zu geben, dass es künftig regelmäßig solche Maßnahmen ergreifen würde. Damit handelt das Unternehmen allerdings gegen die Empfehlungen des NIST Institutes. NIST empfiehlt keine periodischen Änderungen geheimer Anmeldedaten. Periodische Änderungen sollten Nutzern nur dann aufgezwungen werden, wenn „Anhaltspunkte für eine konkrete Datenpanne vorliegen“. Dahinter steckt eine durchaus verständliche Logik laut NIST:
„Anwender tendieren dazu, schwächere Anmeldedaten zu wählen, wenn sie wissen, dass sie diese in naher Zukunft wieder ändern müssen. Wenn diese Änderungen erfolgen müssen, wählen sie dann häufig Anmeldedaten aus, die ihren alten ähneln, indem sie eine Reihe simpler Änderungen vornehmen, beispielsweise eine Zahl im Kennwort hochsetzen oder Ähnliches.“
Das wäre der Fall, wenn entweder das Konto eines bestimmten Benutzers oder die gesamte Passwortdatenbank kompromittiert wurde. Wenn dies jedoch in regelmäßigen Abständen verlangt wird, ohne dass derartige Anhaltspunkte für einen Sicherheitsvorfall vorliegen, werden wahrscheinlich weniger komplexe und sichere Passwörter eingesetzt.
Für die Anwender, die weniger sorgfältig mit Ihren Zugangsdaten umgehen, empfiehlt Brian Krebs:
„Wer Kennwörter wiederverwenden möchte, sollte auf jeden Fall einen Kennwort-Manager verwenden. Er hilft, sichere Kennwörter oder Kennwortphrasen auszuwählen und sich an sie zu erinnern. Damit kann man im Wesentlichen immer dasselbe starke Master-Kennwort bzw. dieselbe Kennwortphrase verwenden auf allen Webseiten. Im Übrigen gibt es mehrere Unternehmen – wie auth0 und Okta -, die die Integration in komprimierte Kennwortdatenbanken wie Troy Hunt’s HaveIBeenPwned.com erleichtern. Damit kann proaktiv verhindert werden, dass Benutzer Passwörter auswählen, die sie an anderer Stelle bereits verwendet haben, die kompromittiert wurden.“
Wer jedoch einen Passwort-Manager/Passwort-Safe verwendet, benötigt gar kein Passwort-Reuse. Das individuelle starke Passwort kann ja jederzeit aus dem Passwort-Safe unkompliziert eingefügt werden.
Artikel von krebsonsecurity.com, 04.12.2018: A Breach, or Just a Forced Password Reset?
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0