Möglich ist dieser Angriffsvektor, weil bestimmte Funktionen von Google Workspace nur in bezahlten Accounts zur Verfügung stehen. Dazu gehört auch die Aufzeichnung der Kontoaktivitäten. Dadurch sind Aktivitäten, die der Nutzer – oder eben ein unbefugter Dritter – auf einem kostenlosen Konto vornimmt, überhaupt nicht nachvollziehbar.
Nun dürften die meisten Nutzerkonten von Unternehmen in die Kategorie der bezahlten Accounts fallen, also sollte es doch an dieser Stelle kein Problem geben. Könnte man meinen, allerdings haben die kriminellen Hacker eine ebenso einfache wie geniale Möglichkeit gefunden, trotzdem an ihr Ziel zu gelangen. Zunächst versuchen sie, ein Nutzerkonto zu übernehmen, beispielsweise durch Phishing oder indem sie Zugangsdaten bereits kompromittierter Konten im Darknet erwerben. Dann kündigen sie den bezahlten Account kurzfristig und setzen ihn so auf ein unbezahltes Konto zurück. Damit ist das Logbuch ausgeschaltet und sie können einzelne oder auch alle Daten entwenden, ohne dabei eine Spur zu hinterlassen. Das Einzige, was sie verraten könnte, ist die Tatsache, dass es sich nicht mehr um einen bezahlten Account handelt.
Problematisch ist das vor allem deshalb, weil die Identifikation der gestohlenen Daten ein wesentlicher Bestandteil des Untersuchungsprozesses nach einem Sicherheitsvorfall ist. Nur wenn bekannt ist, was die Angreifer erbeutet haben, lässt sich die Situation einschätzen und lassen sich die nächsten Schritte planen. Eine ordnungsgemäße Protokollierung ist auch eine der Standardmethoden für IT-Teams, um potenzielle Angriffe aufzuspüren, noch bevor sie ernsthaften Schaden anrichten können.
Wie in der IT-Sicherheit üblich, haben die Sicherheitsforscher Google über ihre Erkenntnisse informiert, bevor sie damit an die Öffentlichkeit gingen. Eine Antwort steht jedoch noch aus. Um sich vor dieser Art des Angriffs zu schützen, wird empfohlen, die Admin-Log-Ereignisse in Google Workspace kontinuierlich zu überwachen und dabei insbesondere auf die Zuweisung bzw. den Entzug von Lizenzen zu achten, da plötzliche Änderungen auf eine potenzielle Bedrohung hinweisen können. Treten diese Aktionen kurz hintereinander auf, kann dies darauf hindeuten, dass ein Bedrohungsakteur Lizenzen manipuliert und sich Zugang zu Daten verschafft hat.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de