:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Authentifizierung in Online-Diensten Account-Sicherheit ist Sache der Anwender
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein Bericht von Twitter zur Sicherheit von Accounts verweist auf ein großes Problem, das alle Anbieter von Online-Diensten betrifft: Zu wenige Benutzer verwenden sichere Authentifizierungsverfahren, obwohl sie häufig angeboten werden. Dabei gibt es probate Wege, die Benutzer dafür zu gewinnen.
Twitter hat im Juli 2021 seinen Bericht zur Account-Sicherheit veröffentlicht. Ihm zufolge nutzen nur 2,3 Prozent der aktiven Twitter-Nutzer die Zwei-Faktor-Authentifizierung zum Schutz ihres Accounts. Von diesen wenigen Nutzern verwenden 79,6 Prozent SMS als Authentifizierungsverfahren, das ist zwar besser als nur ein Passwort, allerdings ist es seit langem als weniger wirksam gegen gängige Bedrohungen wie Phishing bekannt.
Die geringe Nutzung der Zwei-Faktor-Authentifizierung (2FA) und die anhaltende Beliebtheit von SMS für 2FA zeigen etwas Entscheidendes: Die Anbieter von Online-Diensten klären die Verbraucher nicht umfassend genug über das wachsende Risiko und die Auswirkungen von Account-Übernahmen auf und, was noch wichtiger ist, dass Verbraucher diese Bedrohungen durch leicht verfügbare und benutzerfreundliche Lösungen abmildern können – zum Beispiel mit Hilfe von biometrischen Daten auf mobilen Endgeräten, die sie wahrscheinlich bereits zum Entsperren der Geräte verwenden.
Dieses mangelnde Bewusstsein gehört mit zu den größten Herausforderungen beim Schutz der Daten der Menschen und bei der Eindämmung des massiven Problems der Datenschutzverletzungen weltweit. Die Wahrnehmung von 2FA als notwendigerweise kompliziert ist eine weitere.
Datenschutzverletzungen können jeden treffen
Die Anbieter von Online-Diensten sollten sicherstellen, dass ihre Kunden verstehen, dass sie mit hoher Wahrscheinlichkeit Opfer einer Datenschutzverletzung werden, wenn sie ihre Accounts nicht angemessen schützen. Laut dem Verizon Data Breach Investigations Report 2021 gab es im Jahr 2020 5.258 bestätigte Datenschutzverletzungen. 36 Prozent davon waren auf Phishing zurückzuführen, 25 Prozent waren das Ergebnis von Betrügern, die zuvor gestohlene Anmeldedaten wie Passwörter verwendet hatten. Und eine Umfrage der FIDO Alliance zum Thema Social-Media-Sicherheit zeigt, dass 45 Prozent der Befragten Opfer eines Social-Media-Hacks geworden sind.
Diese Statistiken bestätigen nicht nur die Daten von Twitter, die auf eine geringe Akzeptanz der Multi-Faktor-Authentifizierung hinweisen, sondern machen auch deutlich, dass die Verbraucher entweder das Ausmaß des Problems der Datenschutzverletzungen nicht verstehen oder glauben, dass es sie nicht treffen wird. Aber die Chancen stehen gut, dass es doch passiert.
Risiken besser einschätzen
Die Benutzer von Online-Diensten sollten darüber informiert sein, welche Authentifizierungsmethoden zur Verfügung stehen. Viele Unternehmen bieten mehrere starke Verfahren an, darunter SMS-OTPs, biometrische Lösungen, Authentifizierungs-Apps und/oder FIDO. Allerdings ist nicht davon auszugehen, dass die Benutzer wissen, was diese Technologien leisten oder wie sie funktionieren. FAQs oder andere einfache Erklärungen können den Verbrauchern helfen, ihre Optionen zu verstehen – und folglich auf eine sichere, gerätebasierte Zwei-Faktor-Authentifizierung zu setzen.
Die Benutzer sollten in der Lage sein, zunächst ihr Risiko einzuschätzen, und auf dieser Grundlage ermitteln, wie sie ihren Account sichern können. Authentifizierungsverfahren sind unterschiedlich. Die SMS-basierte Authentifizierung bietet zwar die Möglichkeit, mehrere Formen der Authentifizierung zu verwenden, schützt aber nur in 76 Prozent der Fälle vor einem gezielten Angriff. Dies mag für einige Benutzer mit Daten von geringem Wert für Hacker ausreichend sein. Benutzer mit Administratorzugriff, Personen, die in der Öffentlichkeit stehen, leitende Angestellte oder Personen, die in sozialen Medien oder auf Branchenveranstaltungen aktiv sind, sind jedoch mit größerer Wahrscheinlichkeit das Ziel von Cyberkriminellen und benötigen mehr Schutz. Sicherheitsschlüssel bieten maximale Sicherheit und schützen Konten zu 100 Prozent vor einem gezielten Angriff. Damit sich Nutzer vor Online-Bedrohungen schützen können, ist es ratsam, ihnen Tools zur Risikobewertung und ergänzende Erläuterungen zu den Verfahren zur Verfügung zu stellen.
Sichere Authentifizierungsverfahren in den Vordergrund stellen
Verfahren für eine Multi-Faktor-Authentifizierung müssen einfach zu aktivieren und zu nutzen sein. Dass nur wenige Menschen Maßnahmen zur Sicherung ihrer Konten ergriffen haben, ist nicht nur bei Twitter der Fall. Die Umfrage der FIDO Alliance zeigt auch, dass 31 Prozent der Befragten sich entweder nicht die Zeit genommen haben oder nicht wissen, wie sie ihre Online-Accounts schützen können, selbst wenn bessere Optionen zur Verfügung stehen. Für Dienstanbieter ist die Bereitstellung von Authentifizierungsoptionen nur die halbe Miete. Die andere Hälfte ist, die Nutzer dazu zu bringen, sie zu aktivieren, und das geht nur, wenn man es ihnen so einfach wie möglich macht.
Hier sind die Online-Dienste in der Pflicht Maßnahmen zu ergreifen, um die Verwendung sicherer Verfahren zu vereinfachen. So lassen sich die Optionen für die starke Authentifizierung bei der Kontoerstellung in den Vordergrund stellen, anstatt sie in den Sicherheitseinstellungen zu verbergen. Außerdem sollten die Nutzer über verschiedene Kanäle wie Aufforderungen auf der Website oder Marketing-E-Mails informiert werden, wo und wie sie die Multi-Faktor-Authentifizierung aktivieren können.
Fazit
Die Verbraucher müssen über die Risiken und Folgen von Betrug und die verfügbaren Lösungen zur Sicherung ihrer Accounts aufgeklärt werden – und die Anbieter von Online-Diensten sind in der Position, als Botschafter für bessere Authentifizierungsmethoden aufzutreten. Es ist sicherlich ein schmaler Grat zwischen der Sensibilisierung und der Abschreckung von Kunden, aber die Verbesserung der Sicherheit nutzt sowohl den Verbrauchern als auch den Anbietern. Denn die einzigen, die von schwachen Sicherheitsvorkehrungen profitieren, sind Hacker.
Über den Autor: Andrew Shikiar ist Executive Director der FIDO Alliance.
(ID:47825434)
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882828/original.jpg "Der Report „Psychologie der Passwörter“ von Lastpass zeigt die Diskrepanz zwischen dem Sicherheitsbewusstsein vieler Internetnutzer und der gelebten Praxis. (Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915700/1915734/original.jpg "Zoom ist während der Pandemie quasi über Nacht zu einem der wichtigsten Business-Tools deutscher Unternehmen geworden. Die Sicherheit und der Datenschutz kamen dabei manchmal zu kurz. (Rido – adobe.stock.com)")