Ransomware-Weckruf von Nevada: Argumente für das Privileged Access Management

Das Technologiebüro des Gouverneurs (Governor’s Technology Office, GTO) des Bundesstaates Nevada hat kürzlich einen „Nachbericht” zu dem Ransomware-Angriff im Bundesstaat veröffentlicht, der im August 2025 fast einen Monat lang die staatlichen Systeme lahmgelegt hatte. Der Bericht beschreibt nicht nur den Vorfall selbst, sondern auch die koordinierte Reaktion des GTO, der Anbieter und der Strafverfolgungsbehörden auf lokaler, bundesstaatlicher und nationaler Ebene. Dieser Cyberangriff im gesamten Bundesstaat unterstreicht die dringende Notwendigkeit von Privileged Access Management (PAM), um den Zugriff auf hochsensible Systeme und Daten zu verwalten und zu sichern.

Was geschah beim Ransomware-Angriff in Nevada?

Der Bundesstaat Nevada entdeckte die Sicherheitslücke erstmals am 24. August 2025, als mehrere virtuelle Maschinen offline gingen und dadurch Regierungswebseiten, Telefonsysteme und Online-Plattformen von 60 staatlichen Behörden beeinträchtigt wurden. Behörden wie die Nevada Health Authority mussten ihre Systeme offline nehmen, sodass die Mitarbeitenden auf Umgehungslösungen zurückgreifen und wieder zu papierbasierten Prozessen übergehen mussten. Zu den weiteren betroffenen Behörden gehörten das Nevada Department of Motor Vehicles, das Nevada Department of Public Safety und die Nevada Highway Patrol. Das Hauptportal des Bundesstaates, NV.gov, und das Büro des Gouverneurs waren ebenfalls von Systemausfällen oder -beeinträchtigungen betroffen.

Die Sicherheitsverletzung konnte schließlich auf einen Social-Engineering-Angriff im Mai 2025 zurückgeführt werden, als ein Staatsbediensteter nach einem Systemverwaltungstool suchte und unwissentlich auf eine bösartige Werbung klickte. Dadurch lud der Mitarbeitende Schadsoftware von einer gefälschten Website herunter, und die Schadsoftware installierte eine Hintertür, die eine Verbindung zur Infrastruktur des Angreifers herstellte und so einen unautorisierten Remote-Zugriff ermöglichte. Obwohl Symantec Endpoint Protection (SEP) die Malware am 26. Juni 2025 erkannte und unter Quarantäne stellte, war es zu spät, und der Angreifer hatte bereits seine Berechtigungen erweitert, um sich lateral im Netzwerk des Bundesstaates zu bewegen.

In dem Bericht heißt es:

Zwischen dem 16. und 24. August nutzte der Bedrohungsakteur RDP, um sich zwischen kritischen Servern zu bewegen, auf mehrere Verzeichnisse, Dateien und Server – darunter auch den Passwort-Tresor-Server – zuzugreifen und Passwörter von 26 Konten abzurufen. Der Bedrohungsakteur löschte konsequent die Ereignisprotokolle, um seine Aktivitäten zu verbergen.

Am 24. August 2025 löschte der Bedrohungsakteur Backups mit vertraulichen Informationen und setzte Ransomware in der virtuellen Infrastruktur des Bundesstaates ein. Der Bundesstaat Nevada zahlte letztendlich kein Lösegeld und konnte 90 % der betroffenen Daten wiederherstellen, die zur Wiederherstellung der betroffenen Dienste erforderlich waren. Zusätzlich zu den Überstundenkosten für Staatsbedienstete, die an der Wiederherstellung der Dienste arbeiteten, zahlte der Staat jedoch auch über 1 Million Dollar für die Unterstützung durch externe Anbieter. Der volle Umfang der gestohlenen Daten wird weiterhin untersucht. Der Chief Information Officer von Nevada, Timothy Galluzi, teilte auf einer Pressekonferenz mit, dass einige staatliche Daten ohne Genehmigung aus dem System des Bundesstaates entwendet wurden; es ist jedoch unklar, um welche Art von Daten es sich handelt.

Nach der Wiederherstellung der Systeme nahm das GTO mehrere Änderungen vor, um die Cybersicherheitsabwehr des Bundesstaates zu stärken. Zuerst wurden die vertraulichen Systeme gesichert und gewährleistet, dass der Zugriff nur auf unbedingt notwendiges Personal beschränkt war. Das Team überprüfte außerdem Systemregeln und Berechtigungen, um zukünftigen unbefugten Zugriff zu verhindern – ein entscheidender Aspekt von PAM.

Wie KeeperPAM hätte helfen können, den Angriff zu begrenzen

Die Cyberkriminellen versuchten, sich erweiterte Zugriffsrechte auf das Netzwerk des Bundesstaates zu verschaffen, indem sie gezielt IT-Mitarbeitende ins Visier nahmen, da sie wussten, dass diese wahrscheinlich über erweiterte Berechtigungen verfügten. Eine PAM-Lösung hätte den Benutzer zwar nicht daran gehindert, auf einen Link zu einer gefälschten Website zu klicken, sie hätte jedoch die Installation des bösartigen Tools blockieren und den Umfang des Angriffs begrenzen können, indem sie die laterale Bewegung des Angreifers und den Zugriff auf Tresore und Server nach dem ersten Eindringen verhindert hätte. Hier einige Beispiele, wie KeeperPAM geholfen hätte:

1. Eindämmung von Endpunkt-Rechteerweiterung

Als die Malware auf einer internen Workstation installiert wurde, erlangte sie durch Umgehung der lokalen Endpunktschutzmaßnahmen administrative Kontrolle. Diese Art der Eskalation kommt häufig vor, wenn Benutzer über übermäßige Berechtigungen verfügen oder nicht genehmigte Software installieren können.

Der Keeper Endpoint Privilege Manager (EPM) setzt den Least-Privilege-Zugriff standardmäßig durch. Benutzer werden als Standardbenutzer ausgeführt, und Anwendungen, die erhöhte Rechte benötigen, müssen ausdrücklich genehmigt werden. Richtlinien können nicht vertrauenswürdige Installationsprogramme blockieren, den Missbrauch von PowerShell und Skripten einschränken und Genehmigungsworkflows für privilegierte Aktionen erzwingen. In Kombination mit Auditprotokollen und Warnungen erhalten Sicherheitsteams Kenntnis über jede versuchte Rechteerweiterungsanfrage. Das gefälschte IT-Tool, das den Datenverstoß in Nevada auslöste, wäre ohne Genehmigung gar nicht erst installiert worden.

2. Eliminierung dauerhafter Berechtigungen

KeeperPAM eliminiert das Risiko, Administratorrechte zu behalten. Durch den JIT-Zugriff (Just-in-Time) stellt KeeperPAM sicher, dass administrative Zugangsdaten nur bei Bedarf und nur so lange wie nötig verfügbar sind. Benutzer arbeiten standardmäßig mit Standardrechten. Wenn sie erweiterte Berechtigungen benötigen, werden diese vorübergehend gewährt und laufen automatisch ab, sobald die erforderliche Aufgabe erledigt ist.

KeeperPAM bietet außerdem eine automatische Rotation von Zugangsdaten, die die Passwörter von Administrator- und Dienstkonten kontinuierlich ändert. Selbst wenn es einem Cyberkriminellen gelingt, Zugangsdaten zu erlangen, werden diese innerhalb von Minuten nutzlos. Im Fall von Nevada hätte der bösartige Code keine zwischengespeicherten Administrator-Zugangsdaten abrufen oder wiederverwenden können, um sich lateral auf Servern zu bewegen.

3. Verhinderung lateraler Bewegung

Sobald Angreifer Zugriff erlangt haben, besteht ihr nächster Schritt fast immer darin, sich lateral zu bewegen und über RDP von einem Rechner zum nächsten zu springen, um hochwertige Ziele wie Domänencontroller oder Datenbankserver zu erreichen. KeeperPAM hätte die laterale Bewegung beim Angriff in Nevada deutlich eingeschränkt oder sogar verhindert, da die Cyberkriminellen RDP nicht hätten nutzen können, um sich zwischen Systemen zu bewegen.

Der Keeper Connection Manager, eine Kernkomponente von KeeperPAM, erzwingt einen Zero-Trust-Zugriff auf Server und Datenbanken. Anstatt RDP- oder SSH-Ports im Netzwerk offenzulegen, vermittelt KCM jede Sitzung über ein sicheres Gateway. Die Zugangsdaten werden direkt aus dem verschlüsselten Tresor eingefügt. Die Benutzer sehen oder bearbeiten die Zugangsdaten nie. Ebenso sind alle Sitzungen überprüfbar und werden aufgezeichnet. Hätten die Angreifer in Nevada versucht, gestohlene Zugangsdaten für eine laterale Bewegung über RDP oder SSH zu verwenden, wären ihre Verbindungen fehlgeschlagen.

4. Schutz der Zugangsdaten

Bei fast der Hälfte aller Sicherheitsverletzungen werden Zugangsdaten kompromittiert. Sobald sie in ein Netzwerk eingedrungen sind, erbeuten Angreifer oft zwischengespeicherte Passwörter, Token oder lokale Admin-Zugangsdaten, um sich im Netzwerk zu bewegen. KeeperPAM verfügt über eine Zero-Trust- und Zero-Knowledge-Architektur, was bedeutet, dass die gesamte Ver- und Entschlüsselung lokal auf dem Gerät des Benutzers erfolgt. Keeper speichert die Zugangsdaten nicht einfach nur, sondern isoliert, verschlüsselt, rotiert und injiziert sie auf eine Weise, die den Diebstahl von Zugangsdaten praktisch unmöglich macht.

• Geheimnisse werden lokal verschlüsselt und sind ausschließlich für den Benutzer lesbar
• Zugangsdaten sind auf Endpunkten niemals sichtbar, gespeichert oder wiederverwendet
• Administratorrechte sind temporär und werden streng kontrolliert
• Passwörter und Schlüssel rotieren automatisch
• Vollständige Audit-Logs stellen Rechenschaftspflicht und Rückverfolgbarkeit sicher

Selbst wenn die Angreifer in Nevada einen Passwortverwaltungsserver erreicht hätten, wären sie nicht in der Lage gewesen, Zugangsdaten im Klartext zu entschlüsseln oder zu exportieren.

5. Überwachung in Echtzeit und schnelle Eindämmung

KeeperPAM bietet eine vollständige Transparenz und Kontrolle über privilegierte Aktivitäten.

• Jede privilegierte Sitzung wird zu Prüfungs- und Forensikzwecken aufgezeichnet und protokolliert
• Die Live-Sitzungsüberwachung ermöglicht es Administratoren, verdächtige Verbindungen in Echtzeit zu beobachten oder zu beenden.
• KeeperAI kann die Benutzeraktivität automatisch analysieren, Risiken bestimmen und Sitzungen beenden, sobald verdächtige Aktivitäten festgestellt werden
• Durch sofortige Rotation und Widerruf von Zugangsdaten können kompromittierte Konten mit einer einzigen Aktion gesperrt werden.
• Die Integration mit SIEM- (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response)-Plattformen ermöglicht automatisierte Alert- und Response-Workflows

Wären diese Kontrollen vorhanden gewesen, hätte das Sicherheitsteam von Nevada die unbefugte Sitzung schnell identifizieren, die Zugangsdaten ändern und den Angriff eindämmen können, bevor Daten gestohlen worden wären – oder den Download der Malware mit RBI und EPM ganz verhindern können.

FedRAMP- und GovRAMP-autorisiert für den öffentlichen Sektor

Keeper Security Government Cloud (KSGC) ist die Version von KeeperPAM, die in Amazon Web Services (AWS) GovCloud gehostet wird und die Sicherheits- und Compliance-Anforderungen von FedRAMP erfüllt. AWS GovCloud wurde entwickelt, um vertrauliche Daten und regulierte Workloads zu hosten und unterstützt dabei die strengen Compliance-Standards der US-Regierung.

Mit KSGC erhalten Regierungsbehörden eine skalierbare Zero-Trust-PAM-Lösung, die jeden Zugriffsversuch kontinuierlich überprüft, unabhängig von Standort oder Gerät. Rollenbasierte Zugriffskontrollen (RBAC) und Echtzeitüberwachung setzen die geringsten Rechte durch und bieten vollständige Transparenz über alle privilegierten Aktivitäten.

Möchten Sie mehr darüber erfahren, wie Keeper Ihr Unternehmen beim Schutz vor Ransomware und der Erfüllung der Zero-Trust-Anforderungen unterstützen kann? Fordern Sie noch heute eine Demo von KSGC an.