Thought Leadership
Die Sicherheitsforscher von Proofpoint schlagen Alarm: Angriffe auf Cloud-Konten nehmen deutlich zu – und die Täter gehen dabei raffinierter vor als je zuvor.
Statt sich wie früher auf gestohlene Passwörter zu verlassen, setzen Cyberkriminelle zunehmend auf manipulierte OAuth-Anwendungen. Damit sichern sie sich einen dauerhaften Zugang zu Unternehmenssystemen – selbst dann, wenn Passwörter geändert oder Multifaktor-Authentifizierung aktiviert wurde.
Wie Angreifer sich dauerhaft in Cloud-Umgebungen einnisten
Der entscheidende Unterschied zu herkömmlichen Phishing-Angriffen liegt in der Art, wie der Zugriff aufrechterhalten wird. Gelingt es den Angreifern einmal, ein Konto zu kompromittieren, können sie innerhalb der betroffenen Cloud-Umgebung interne Anwendungen registrieren – sogenannte Second-Party-OAuth-Apps. Diese Anwendungen erhalten weitreichende Berechtigungen, etwa den Zugriff auf Postfächer, Kontakte oder Dateien.
Da die Apps wie legitime interne Tools erscheinen, werden sie von vielen Sicherheitssystemen nicht als Bedrohung erkannt. Ihre Autorisierung bleibt bestehen, selbst wenn das kompromittierte Passwort geändert wird. So behalten Angreifer Zugriff, ohne aktiv im System sichtbar zu sein.
Proofpoint hat ein eigenes Analyse-Tool entwickelt, um das Verhalten solcher schädlichen Anwendungen zu simulieren und besser zu verstehen. Mit diesem Werkzeug lassen sich die Angriffsschritte automatisiert nachstellen – von der initialen Kompromittierung über die Registrierung der App bis zur Token-Erneuerung.
In der Praxis zeigt sich, dass viele dieser Attacken mit einem klassischen Phishing-Angriff beginnen. Nach dem Diebstahl von Anmeldedaten oder Session-Cookies registriert der Angreifer eine eigene interne Anwendung und weist ihr Berechtigungen zu, etwa „Mail.Read“ oder „offline_access“. Anschließend generiert er Zugriffstoken, die eine dauerhafte Verbindung ermöglichen. Diese Tokens bleiben gültig, auch wenn das betroffene Konto sein Passwort ändert.
Warum klassische Sicherheitsmaßnahmen versagen
Die Tücke liegt im Detail: Solche Anwendungen nutzen legitime Cloud-Funktionen, um sich unauffällig zu bewegen. Da keine Schadsoftware im klassischen Sinn ausgeführt wird, greifen weder Antivirenprogramme noch viele Cloud-Sicherheitslösungen. Gleichzeitig sehen die autorisierten Apps für Administratoren oft harmlos aus, da sie in derselben Umgebung wie interne Anwendungen laufen.
Diese Kombination aus Legitimität und Persistenz macht den Angriff besonders gefährlich – und erklärt, warum viele Unternehmen den Zugriff erst entdecken, wenn bereits sensible Daten abgeflossen sind.
Um der neuen Angriffswelle zu begegnen, empfiehlt Proofpoint mehrere Sofortmaßnahmen. Dazu gehört das Widerrufen sämtlicher OAuth-Client-Geheimnisse und Tokens, das Löschen verdächtiger App-Registrierungen sowie eine lückenlose Überwachung der Cloud-Anwendungen.
Langfristig sollten Unternehmen auf eine kontinuierliche Sicherheitsüberwachung setzen, die auch autorisierte Cloud-Anwendungen im Blick behält. Ergänzend sind Schulungsmaßnahmen für Mitarbeiter unverzichtbar: Sie müssen lernen, verdächtige Anfragen zur App-Autorisierung zu erkennen und ungewöhnliche Berechtigungen zu melden.
Die zunehmende Nutzung manipulierter OAuth-Anwendungen zeigt, wie sehr sich Cyberangriffe an moderne Cloud-Architekturen angepasst haben. Für Unternehmen bedeutet das: Sicherheit endet nicht bei der Passwortpolitik oder Multifaktor-Authentifizierung. Nur wer den gesamten Lebenszyklus einer Cloud-Anwendung – von der Registrierung bis zur Berechtigungsvergabe – aktiv überwacht, kann verhindern, dass Angreifer im Hintergrund die Kontrolle übernehmen.
