OAuth-Tokens verfallen nicht, wenn Mitarbeiter das Unternehmen verlassen, Passwörter geändert werden oder Anwendungen außer Kontrolle geraten. Ihr Sicherheitsprogramm muss dieses Risiko berücksichtigen und nicht mehr benötigte und nicht mehr verwendete Berechtigungen umgehend entfernen.
Stellen Sie sich einen Ersatzschlüssel vor. Sie haben ihn vor sechs Monaten einem Handwerker gegeben, damit dieser Ihre Heizungs- und Klimaanlage reparieren konnte. Die Arbeit ist erledigt. Der Handwerker ist weitergezogen. Aber der Schlüssel funktioniert noch, und Sie haben ihn nie zurückverlangt. So ähnlich verhält es sich auch, wenn jemand in Ihrem Unternehmen eine Drittanbieter-App über OAuth mit Google Workspace oder Microsoft 365 verbindet. Digitale Schlüssel werden von Ihren Mitarbeitern erstellt. Sie sind unbegrenzt gültig, und in den meisten Unternehmen kümmert sich niemand darum, sie zu verwalten, zu überprüfen oder zu entfernen, wenn sie nicht mehr benötigt werden!
OAuth Das System steckt hinter den Schaltflächen „Mit Google verbinden“ und „Zugriff erlauben“, die Ihr Team täglich anklickt. Es ermöglicht Apps, Ihren Kalender zu lesen, in Ihrem Namen E-Mails zu versenden oder Daten aus Ihrem Cloud-Speicher abzurufen – alles ohne Ihr Passwort preiszugeben. Das klingt vielversprechend. Der Haken: Das erstellte Zugriffstoken bleibt bestehen, selbst wenn Sie die App längst vergessen haben. Es wird nicht gelöscht, wenn ein Mitarbeiter das Unternehmen verlässt. Es wird auch nicht zurückgesetzt, wenn jemand sein Passwort ändert. Ihre Multi-Faktor-Authentifizierung schützt einen Angreifer, der bereits über ein gültiges Token verfügt, nicht.
Forschung aus Materielle Sicherheit Eine Studie ergab, dass 80 % der Sicherheitsverantwortlichen unkontrollierte OAuth-Zugriffe als kritisches oder erhebliches Risiko einstufen. Diese Zahl ist seit Jahren hoch. Das Hauptproblem liegt hier jedoch möglicherweise nicht im mangelnden Bewusstsein, sondern in der Eindämmung dieser Bedrohung. is.
45% Organisationen unternehmen nichts, um OAuth-Grants in großem Umfang zu überwachen
33% sich auf manuelle Nachverfolgung wie Tabellenkalkulationen und Ad-hoc-Überprüfungen verlassen
Eine Tabelle, die auflistet, welche Apps Zugriff haben, ist nicht dasselbe wie zu wissen, was diese Apps mit diesem Zugriff tun. Das eine ist eine Liste, das andere Sicherheit. Aktuell verfügen die meisten Teams nur über die Liste.
In den Jahren 2024 und 2025 nutzte ein als UNC6395 bekannter Angreifer (unter Beobachtung der Palo Alto Unit 42) gestohlene OAuth-Refresh-Token von Drift, einer Vertriebsplattform, um auf die Salesforce-Umgebungen von über 700 Organisationen zuzugreifen. Drift verfügte über legitime OAuth-Verbindungen zu diesen Salesforce-Konten. Der Angreifer erlangte die Token vermutlich durch vorangegangene Phishing-Angriffe und verschaffte sich so ungehinderten Zugriff.
Was machte diesen Angriff so effektiv?
Nichts wirkte verdächtig. Die Token waren gültig. Die App genoss Vertrauen. Der Login kam nicht zustande, da sich der Angreifer gar nicht erst anmeldete. Er präsentierte einen bereits vorhandenen Token, für dessen Verwendung Drift bereits die Berechtigung hatte. Die Multi-Faktor-Authentifizierung (MFA) spielte keine Rolle, da kein Passwort eingegeben wurde. Nach dem Eindringen extrahierte UNC6395 Daten und durchsuchte diese nach Anmeldeinformationen wie AWS-Schlüsseln, Snowflake-Token und Passwörtern. Cloudflare, PagerDuty und Dutzende weitere Unternehmen wurden ebenfalls angegriffen.
Die wichtigste Erkenntnis ist nicht, dass Drift eine schlechte App war. Vielmehr zeigt sie, dass eine bei der Installation vertrauenswürdig erscheinende App später zu einem Risiko werden kann, wenn ihre Zugangsdaten gestohlen werden. Ihre Sicherheitstools müssen daher die Aktivitäten verbundener Apps im Zeitverlauf überwachen und nicht nur die Berechtigungen, die sie am ersten Tag angefordert haben.
Die meisten OAuth-Sicherheitstools arbeiten, sobald eine App verbunden wird. Sie prüfen, ob die angeforderten Berechtigungen übertrieben erscheinen und kennzeichnen Apps unbekannter Anbieter. Das ist durchaus nützlich und sollte unbedingt angewendet werden. Allein reicht es jedoch nicht aus.
Eine bekannte, vertrauenswürdige App mit angemessenen Berechtigungen würde diese Prüfungen problemlos bestehen. Werden die Zugangsdaten dieser App sechs Monate später gestohlen, fällt die Überprüfung zum Zeitpunkt der Installation nicht auf. Das Risiko entstand erst im Nachhinein.
Als OAuth entwickelt wurde, bestand der typische Anwendungsfall darin, dass wenige von der IT freigegebene Apps eingeschränkten Zugriff auf freigegebene Kalender erhielten. Das war eine überschaubare Situation. Heute verbindet jeder Mitarbeiter selbstständig KI-Tools, Notiz-Apps, Automatisierungsplattformen und Produktivitäts-Add-ons mit seinem Arbeitskonto. Jede Verbindung erzeugt ein Token. Keines dieser Token läuft automatisch ab. Die meisten Unternehmen wissen nicht, wie viele sie besitzen.
Da KI-Tools im Arbeitsalltag immer häufiger eingesetzt werden, steigt die Anzahl der OAuth-Verbindungen in Ihrer Umgebung. Mitarbeitern die Nutzung von KI-Tools gänzlich zu untersagen, ist unrealistisch und hätte den Drift-Angriff ohnehin nicht verhindert, da dieser mit einer vertrauenswürdigen und genehmigten Integration begann.
Erstellen Sie zunächst eine Liste aller OAuth-Apps, die mit Ihrem Google Workspace oder Ihrer Microsoft 365-Umgebung verbunden sind. Beide Plattformen ermöglichen Administratoren dies ohne zusätzliche Tools. Achten Sie auf unbekannte Apps, Apps, die mit Konten ehemaliger Mitarbeiter verknüpft sind, und Apps mit sehr weitreichenden Berechtigungen wie „Alle E-Mails lesen“ oder „Auf alle Dateien zugreifen“. Diese sollten Sie als Erstes überprüfen und die Berechtigungen widerrufen.
Gewöhnen Sie sich an, OAuth-Berechtigungen vierteljährlich zu überprüfen. Nach der ersten Bereinigung geht es schneller als gedacht und verhindert, dass die Liste wieder unübersichtlich wird. Wenn Mitarbeiter das Unternehmen verlassen, sollten Sie die OAuth-Widerrufung zusammen mit Passwortzurücksetzungen und Kontodeaktivierungen in Ihre Offboarding-Checkliste aufnehmen.
Ihr CyberHoot-Aktionsschritt
Melden Sie sich diese Woche in Ihrer Google Admin-Konsole oder im Microsoft Entra-Portal an und rufen Sie die Liste der verbundenen Drittanbieter-Apps auf. Zählen Sie sie. Sie werden wahrscheinlich überrascht sein. Wählen Sie die fünf Apps aus, die Ihnen am wenigsten bekannt vorkommen, und überprüfen Sie deren Zugriffsrechte. Entziehen Sie allen Apps die Berechtigung, die nicht dazugehören. Diese eine Maßnahme erhöht die Sicherheit Ihrer Organisation noch heute spürbar. Legen Sie los!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
Entdecken und teilen Sie die neuesten Trends, Tipps und Best Practices zur Cybersicherheit – sowie neue Bedrohungen, vor denen Sie sich in Acht nehmen sollten.
Die neuen Benchmark-Daten nennen MDASH und Claude Mythos Preview die führenden KI-Agenten zum Aufspüren von Zero-Day-Schwachstellen...
Weiterlesen
Ein vergessenes Passwort, beinahe eine Katastrophe: Ein einzelner Windows-Rechner in einem Einzelhandelsgeschäft hatte ein zwischengespeichertes Passwort...
Weiterlesen
Sie haben nun fünf wichtige Gründe, warum Sie mit Ihren Kleinunternehmerkunden über Router-Sicherheit sprechen sollten...
WeiterlesenBehalten Sie die menschlichen Risiken im Blick – mit dem positiven Ansatz, der herkömmlichen Phishing-Tests überlegen ist.
