Tokendiebstahl und Tokenschutz

Von Marcel Stäheli, 09.01.2025   
Kategorie: [Sicherheit]

Was ist ein Token und wann wird es gebraucht?

In der Informatik, speziell im Web-Bereich, ist ein Token eine Bestätigung, dass ein Benutzer bestimmte Rechte hat. Es wird z.B. nach einer erfolgreichen Anmeldung von einem Webserver ausgestellt und dem Benutzer gesendet. Es bestätigt, dass sich der Benutzer erfolgreich angemeldet hat und sich bei der nächsten Aktion nicht erneut anmelden muss. 

Schematische Darstellung eine Anmeldung mit Token
Das Token dient als Beweis, dass sich der Benutzer bereits einmal angemeldet hat.

Tokens haben in der Regel eine Gültigkeitsdauer, wenn diese abgelaufen ist, wird das Token ungültig und der Benutzer muss sich erneut anmelden. Meldet sich der Benutzer selbst ab, wird sein Token auch ungültig.

Tokendiebstahl

Wenn es Angreifern gelingt ein Token von Ihnen zu stehlen, können sich die Angreifer bei der gleichen Webseite oder App anmelden für die das Token ausgestellt wurde. Solange Sie selbst angemeldet bleiben, ist das Token gültig und der Angreifer hat Zugriff auf die selben Daten. Wenn Sie z.B. bei Microsft 365 angemeldet sind, hat ein Angreifer Zugang auf Ihre E-Mails, OneDrive, Kalender, Kontaktdaten u.sw..

Mit Tokendiebstahl werden Sicherheitsmechanismen wie Multifaktorauthentifizierung (MFA) umgangen, weil das Token bestätigt, dass MFA bereits durchgeführt wurde. Mit der zunehmenden Verbreitung von MFA nimmt auch Tokendiebstahl zu, da bisherige Angriffsmethoden weniger Erfolg haben. Besonders Microsoft 365-Tokens sind begehrt, da sie in der Regel Zugang zu einer Vielzahl von Daten erlauben und über den Zugang zum E-Mailkonto legitime Mails an andere Benutzer versendet werden können, die dann ihrerseits angegriffen werden.

Tokendiebstahl ist schwierig zu erkennen, da der Benutzer keine Fehlermeldung erhält und auch nicht von seinem Konto ausgesperrt wird. In der Regel fällt es erst auf, wenn auf OneDrive plötzlich Dateien gelöscht oder erstellt werden oder wenn sich andere Benutzer melden, dass sie seltsame E-Mails vom Opfer erhalten.

Schematische Darstellung wie Tokendiebstahl funktioniert
Mit einem gestohlenen Token kann sich ein Angreifer von einem beliebigen anderen Gerät anmelden und MFA umgehen.

Vorgehensweisen von Angreifern

Es gibt mehrere Vorgehensweisen wie Angreifer an ein Token gelangen können:

  • Schadsoftware: Die Angreifer versuchen den Benutzer dazu zu bringen Schadsoftware auf seinem Gerät auszuführen, welches nach Tokens sucht und diese an die Angreifer sendet.
  • Phishing: Über Phishing-Seiten wird versucht den Benutzer dazu zu bringen, sein Token zu senden.
  • Sicherheitslücke; Die Angreifer nutzen Sicherheitslücken in Software aus, wie z.B. dem Web-Browser.

Tokenschutz

Gegen Tokendiebstahl wurde der Tokenschutz entwickelt. Es ist eine neue Sicherheitstechnologie und wird erst von wenigen Anbietern angeboten. Wenn Sie Microsoft 365 nutzen, können Sie Tokenschutz über die Microsoft Entra ID P2 Zusatzlizenz aktivieren.

Schematische Darstellung wie Tokenschutz funktioniert
Token und Gerät sind verbunden. Auf einem anderen Gerät ist das Token nutzlos.

Beim Tokenschutz wird das Token kryptografisch an das Gerät gebunden, für das es ausgestellt wird. Gelingt es einem Angreifer das Token zu stehlen, kann er sich nicht anmelden, weil er ein anderes Gerät benutzt. Nur wenn Token und Gerät übereinstimmen, ist die Anmeldung erfolgreich.

Nach oben