:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Authentifizierung in Online-Diensten Account-Sicherheit ist Sache der Anwender
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein Bericht von Twitter zur Sicherheit von Accounts verweist auf ein großes Problem, das alle Anbieter von Online-Diensten betrifft: Zu wenige Benutzer verwenden sichere Authentifizierungsverfahren, obwohl sie häufig angeboten werden. Dabei gibt es probate Wege, die Benutzer dafür zu gewinnen.
Twitter hat im Juli 2021 seinen Bericht zur Account-Sicherheit veröffentlicht. Ihm zufolge nutzen nur 2,3 Prozent der aktiven Twitter-Nutzer die Zwei-Faktor-Authentifizierung zum Schutz ihres Accounts. Von diesen wenigen Nutzern verwenden 79,6 Prozent SMS als Authentifizierungsverfahren, das ist zwar besser als nur ein Passwort, allerdings ist es seit langem als weniger wirksam gegen gängige Bedrohungen wie Phishing bekannt.
Die geringe Nutzung der Zwei-Faktor-Authentifizierung (2FA) und die anhaltende Beliebtheit von SMS für 2FA zeigen etwas Entscheidendes: Die Anbieter von Online-Diensten klären die Verbraucher nicht umfassend genug über das wachsende Risiko und die Auswirkungen von Account-Übernahmen auf und, was noch wichtiger ist, dass Verbraucher diese Bedrohungen durch leicht verfügbare und benutzerfreundliche Lösungen abmildern können – zum Beispiel mit Hilfe von biometrischen Daten auf mobilen Endgeräten, die sie wahrscheinlich bereits zum Entsperren der Geräte verwenden.
Dieses mangelnde Bewusstsein gehört mit zu den größten Herausforderungen beim Schutz der Daten der Menschen und bei der Eindämmung des massiven Problems der Datenschutzverletzungen weltweit. Die Wahrnehmung von 2FA als notwendigerweise kompliziert ist eine weitere.
Datenschutzverletzungen können jeden treffen
Die Anbieter von Online-Diensten sollten sicherstellen, dass ihre Kunden verstehen, dass sie mit hoher Wahrscheinlichkeit Opfer einer Datenschutzverletzung werden, wenn sie ihre Accounts nicht angemessen schützen. Laut dem Verizon Data Breach Investigations Report 2021 gab es im Jahr 2020 5.258 bestätigte Datenschutzverletzungen. 36 Prozent davon waren auf Phishing zurückzuführen, 25 Prozent waren das Ergebnis von Betrügern, die zuvor gestohlene Anmeldedaten wie Passwörter verwendet hatten. Und eine Umfrage der FIDO Alliance zum Thema Social-Media-Sicherheit zeigt, dass 45 Prozent der Befragten Opfer eines Social-Media-Hacks geworden sind.
Diese Statistiken bestätigen nicht nur die Daten von Twitter, die auf eine geringe Akzeptanz der Multi-Faktor-Authentifizierung hinweisen, sondern machen auch deutlich, dass die Verbraucher entweder das Ausmaß des Problems der Datenschutzverletzungen nicht verstehen oder glauben, dass es sie nicht treffen wird. Aber die Chancen stehen gut, dass es doch passiert.
Risiken besser einschätzen
Die Benutzer von Online-Diensten sollten darüber informiert sein, welche Authentifizierungsmethoden zur Verfügung stehen. Viele Unternehmen bieten mehrere starke Verfahren an, darunter SMS-OTPs, biometrische Lösungen, Authentifizierungs-Apps und/oder FIDO. Allerdings ist nicht davon auszugehen, dass die Benutzer wissen, was diese Technologien leisten oder wie sie funktionieren. FAQs oder andere einfache Erklärungen können den Verbrauchern helfen, ihre Optionen zu verstehen – und folglich auf eine sichere, gerätebasierte Zwei-Faktor-Authentifizierung zu setzen.
Die Benutzer sollten in der Lage sein, zunächst ihr Risiko einzuschätzen, und auf dieser Grundlage ermitteln, wie sie ihren Account sichern können. Authentifizierungsverfahren sind unterschiedlich. Die SMS-basierte Authentifizierung bietet zwar die Möglichkeit, mehrere Formen der Authentifizierung zu verwenden, schützt aber nur in 76 Prozent der Fälle vor einem gezielten Angriff. Dies mag für einige Benutzer mit Daten von geringem Wert für Hacker ausreichend sein. Benutzer mit Administratorzugriff, Personen, die in der Öffentlichkeit stehen, leitende Angestellte oder Personen, die in sozialen Medien oder auf Branchenveranstaltungen aktiv sind, sind jedoch mit größerer Wahrscheinlichkeit das Ziel von Cyberkriminellen und benötigen mehr Schutz. Sicherheitsschlüssel bieten maximale Sicherheit und schützen Konten zu 100 Prozent vor einem gezielten Angriff. Damit sich Nutzer vor Online-Bedrohungen schützen können, ist es ratsam, ihnen Tools zur Risikobewertung und ergänzende Erläuterungen zu den Verfahren zur Verfügung zu stellen.
Sichere Authentifizierungsverfahren in den Vordergrund stellen
Verfahren für eine Multi-Faktor-Authentifizierung müssen einfach zu aktivieren und zu nutzen sein. Dass nur wenige Menschen Maßnahmen zur Sicherung ihrer Konten ergriffen haben, ist nicht nur bei Twitter der Fall. Die Umfrage der FIDO Alliance zeigt auch, dass 31 Prozent der Befragten sich entweder nicht die Zeit genommen haben oder nicht wissen, wie sie ihre Online-Accounts schützen können, selbst wenn bessere Optionen zur Verfügung stehen. Für Dienstanbieter ist die Bereitstellung von Authentifizierungsoptionen nur die halbe Miete. Die andere Hälfte ist, die Nutzer dazu zu bringen, sie zu aktivieren, und das geht nur, wenn man es ihnen so einfach wie möglich macht.
Hier sind die Online-Dienste in der Pflicht Maßnahmen zu ergreifen, um die Verwendung sicherer Verfahren zu vereinfachen. So lassen sich die Optionen für die starke Authentifizierung bei der Kontoerstellung in den Vordergrund stellen, anstatt sie in den Sicherheitseinstellungen zu verbergen. Außerdem sollten die Nutzer über verschiedene Kanäle wie Aufforderungen auf der Website oder Marketing-E-Mails informiert werden, wo und wie sie die Multi-Faktor-Authentifizierung aktivieren können.
Fazit
Die Verbraucher müssen über die Risiken und Folgen von Betrug und die verfügbaren Lösungen zur Sicherung ihrer Accounts aufgeklärt werden – und die Anbieter von Online-Diensten sind in der Position, als Botschafter für bessere Authentifizierungsmethoden aufzutreten. Es ist sicherlich ein schmaler Grat zwischen der Sensibilisierung und der Abschreckung von Kunden, aber die Verbesserung der Sicherheit nutzt sowohl den Verbrauchern als auch den Anbietern. Denn die einzigen, die von schwachen Sicherheitsvorkehrungen profitieren, sind Hacker.
Über den Autor: Andrew Shikiar ist Executive Director der FIDO Alliance.
(ID:47825434)
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882828/original.jpg "Der Report „Psychologie der Passwörter“ von Lastpass zeigt die Diskrepanz zwischen dem Sicherheitsbewusstsein vieler Internetnutzer und der gelebten Praxis. (Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915700/1915734/original.jpg "Zoom ist während der Pandemie quasi über Nacht zu einem der wichtigsten Business-Tools deutscher Unternehmen geworden. Die Sicherheit und der Datenschutz kamen dabei manchmal zu kurz. (Rido – adobe.stock.com)")