:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps zum Umgang mit BYOD, Teil 2 Authentifizierung beim Remote-Zugriff per Smartphone
Erlaubt ein Unternehmen private Mobilgeräte im Netzwerk, dann ist die Begeisterung der Mitarbeiter in der Regel groß. Doch selbst technisch einfach umsetzbare Dinge wie der E-Mail-Empfang auf dem Smartphone sind aus Compliance-Sicht risikobehaftet und komplex.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Der Empfang geschäftlicher E-Mails auf Privatgeräten kann sich zu einer ernsthaften Bedrohung für die Datensicherheit auswachsen; und natürlich stehen letztlich auch immer private Daten auf dem Spiel. Was könnte ein Angreifer damit anstellen? Die Wahrscheinlichkeit ist groß, dass er Adresse, Geburtsdatum und Informationen ausspionieren kann, mit denen er Sicherheitsfragen beantworten könnten.
Vielleicht stößt er sogar auf Passwörter, die im Klartext von Kollegen oder schlecht abgesicherte Webseiten per E-Mail versendet wurden (nebenbei bemerkt: Ihren eigenen Posteingang nach solchen Daten zu durchsuchen, kann eine interessante Übung sein). Mit all diesen Daten bewaffnet, kann ein gewiefter Eindringling eine ziemlich überzeugende Social Engineering-Attacke starten.
Es ist ein kleines Trostpflaster, dass sich der Angreifer auch bei einem größeren Problem mit dem E-Mail-Server zunächst einen Zugriff auf einem Posteingang verschaffen muss, um Schlimmeres anzurichten. Anschließende Angriffe hängen nicht selten vom persönlichen Glück ab, weil der Angreifer immer Gefahr läuft, in die Falle zu tappen.
Mobiles Arbeiten mag für IT-Angestellte wichtig sein – es ist aber weitaus geschäftskritischer, Kundendaten vor der Weltöffentlichkeit zu bewahren. Ein durchgesickertes oder gehacktes Passwort könnte genügen, damit sich ein Angreifer einloggen, den Export-Knopf drücken und sich mit einem Großteil der vertraulichen Daten aus dem Staub machen kann.
Die meisten der heute verfügbaren Sicherheitslösungen konzentrieren sich darauf, Geräte zu schützen. Aber Maßnahmen, die zu jeder Zeit und an jedem Ort einen Zugriff auf Geschäftsanwendungen einräumen, können zusätzliche Probleme auf den Plan rufen.
Ein gutes Beispiel hierfür sind Standard-Apps in der Cloud. Für mobile Benutzer ist es einfach, sich damit zu verbinden: Einfach die App downloaden und einloggen. Das Unternehmen muss keine eigenen, remote erreichbaren Systeme mit komplizierten statischen IPs, Domains, SSL-Zertifikaten, virtuellen Netzwerken usw. hosten.
Sicherheitsaspekte bei Cloud-Anwendungen
Das SaaS-Modell hat auf den ersten Blick sein Versprechen von maximaler Benutzerfreundlichkeit eingelöst. Schaut man aber genauer hin, entdeckt man schnell Probleme. Wenn jeder x-beliebige User eine App downloaden und sich anmelden kann, was hält dann einen Angreifer davon ab?
Benutzer über den richtigen Umgang mit Passwörtern aufzuklären, ist vor diesem Hintergrund natürlich wichtig. Bei der Absicherung von Systemen aber allein auf die Gewissenhaftigkeit der Benutzer zu vertrauen, wäre grob fahrlässig. Denn hinter den Kulissen kommunizieren die meisten Anwendungen über das althergebrachte HTTP.
Für einen durchschnittlich begabten Cyberkriminellen ist es ein Leichtes, die zugrundeliegenden Webdienste, mit der die App kommuniziert, auszuspionieren. Sobald er herausgefunden hat, wie Benutzerlogins verarbeitet werden, kann er ohne großen Aufwand ein Skript schreiben, das Passwörter für ihn errät.
Schon seit Jahren ist klar, dass Passwörter allein nicht der Schlüssel zu mehr Sicherheit sind – deshalb haben wir VPNs mit Zertifikaten, Smartcards und Schlüsselanhänger erfunden, die den Zugriff sicherer gestalten sollen. Aber im Eifer, neue Geräte auf den Markt zu bringen, vernachlässigen wir gerne mal die Grundlagen. Wie also können wir es Angreifern schwieriger machen, ohne die Benutzer zu beeinträchtigen? Leider ist das nicht einfach, aber es gibt einige Ideen.
Den Anwendungsanbieter um Hilfe bitten
Die einfachste Methode besteht darin, zu prüfen, ob die Anwendung selbst für einen größeren Zugriffsschutz sorgen kann. Je größer und sicherheitsbedachter der Anbieter, desto höher ist die Wahrscheinlichkeit, dass er bei der Implementierung eines zusätzlichen Authentifizierungsfaktors behilflich sein kann.
Bei diesen zusätzlichen Faktoren handelt es sich meist um eine E-Mail-Bestätigung für unbekannte Geräte, SMS-Codes bzw. separate Apps, die Authentifizierungscodes generieren. Solche Methoden sind zwar besser als gar nichts, haben jedoch nach wie vor ihre Schwachstellen.
Unterschiedliche Benutzernamen und Passwörter für verschiedene Accounts zu haben, ist schon verwirrend genug. Wenn die eine App einen speziellen SMS-Code, die nächste eine E-Mail-Bestätigung und die Dritte eine Softtoken-App benötigt, kann sich der Helpdesk auf eine Flut von Anfragen gefasst machen. Und natürlich ist eine E-Mail-Bestätigung ziemlich zwecklos, wenn die E-Mails nicht vernünftig gesichert sind.
Remote-Terminal-Zugriff
Remote-Terminal-Technologien haben sich gemausert und können mittlerweile einen unkomplizierten, mobilen Zugriff auf bewerkstelligen. Sie haben den großen Vorteil, dass sie mit ziemlicher Wahrscheinlichkeit mit bestehenden Apps funktionieren – zumindest, wenn diese nicht zu grafikintensiv sind.
Die Absicherung ist ebenfalls verhältnismäßig einfach, schließlich bleiben die Daten immer auf dem Server. Man muss sich also nicht zu viele Gedanken über Datenverlust auf verloren gegangenen oder gestohlenen Geräten machen.
Die meisten Lösungen unterstützen eine Vielzahl zweistufiger Authentifizierungsformen. Die Anmeldemethode für alle Anwendungen ist die gleiche und sollte demzufolge nicht allzu viel Verwirrung stiften. Aber natürlich gibt es einen Haken: In vielen Fällen leidet die Benutzerfreundlichkeit. Das Ganze wird nie so professionell wie eine native App mit all ihren originellen Benachrichtigungsfeatures und der nahtlosen Integration von Handykameras, Adressbüchern usw. sein.
Eine klobige Anwendung ist und bleibt eine klobige Anwendung. Sie über einen Hochglanz-Touchscreen-Gerät einsehbar zu machen, ändert daran rein gar nichts – insbesondere dann, wenn die App für Maus, Tastatur und einen großen Bildschirm entwickelt wurde.
Trotzdem: Wenn ein Unternehmen bereit ist, bei der Benutzerfreundlichkeit Kompromisse einzugehen und nicht umhinkommt, einen Remote-Zugriff auf besonders sensible Anwendungen einzuräumen, ist das wahrscheinlich die beste Variante. Eine gute Authentifizierung und Verschlüsselung sollte allerdings gewährleistet sein.
Verbindung via Virtual Private Network
Eine weitere Option sind Virtual Private Networks (VPNs). Verfügt ein bestehendes Firmen-VPN über eine sichere Authentifizierung verfügt, ist es durchaus sinnvoll, den gesamten Datenverkehr über das VPN zu senden. Erstens bilden sie ein zentrales Nadelöhr für Webscans, IDS usw. Zweitens kommen Verbindungen aus dem statischen IP-Bereich – auch dann, wenn die Anwendung ausgelagert wird.
Zusätzlich von Vorteil: weil VPNs wohl die älteste Form der Netzwerkauthentifizierung sind, wird eine Zugriffsbeschränkung mit IP ACLs so ziemlich überall unterstützt. VPNs sind demzufolge eine zuverlässige, wenn auch schwerfällige Form der zweistufigen Authentifizierung.
Leider stößt der VPN-Ansatz bei den Benutzern wahrscheinlich nicht auf besondere Begeisterung. Denn in den meisten Fällen müssen Benutzer das VPN manuell starten und sich zunächst mehr oder weniger aufwendig authentifizieren, um sich für den Zugriff auf eine Anwendung dann erneut authentifizieren zu müssen.
Wenn wir davon ausgehen, dass Sie eine gewisse Passwortlänge vorschreiben, kann die wiederholte Eingabe auf einem Smartphone schnell lästig werden. Bei unzuverlässigen Verbindungen wird das Ganze noch unerfreulicher. Insbesondere iPhones scheinen sich bei der Aufrechterhaltung von VPN-Verbindungen nicht besonders geschickt anzustellen, so dass ständig Verbindungswiederherstellungen erforderlich sind.
x509-Zertifikate
Die letzte Option, die der Autor hier behandeln möchte, sind x509-Zertifikate. Bei Zertifikatauthentifizierungen handelt es sich um einen gängigen (wenn auch oft missverstandenen) Standard, der von den meisten Smartphone-Webbrowsern und Webservern gut unterstützt wird.
Eine wichtige Einschränkung: Im Gegensatz zu VPNs und Remote-Terminal-Clients ist diese Technologie nicht transparent zur Anwendung. Sie muss vom Client oder dem Server unterstützt werden. Diese Einschränkung muss jedoch kein Ausschlusskriterium sein.
Zunächst einmal handelt es sich bei einigen mobilen Apps wirklich nur um Web-Apps, die auf den dem System zugrunde liegenden Browser vertrauen. Wenn dies der Fall ist, unterstützt die App vermutlich Client-Zertifikate, ohne dass der Anbieter der App hierüber Bescheid weiß. Wie bereits erwähnt, wird die Authentifizierung per x509-Client-Zertifikat oft missverstanden.
Zweitens muss man nicht alle Webserver direkt mit Client-Zertifikatsauthentifizierung konfigurieren. Es gibt einige sehr nützliche, unterstützende Technologien. Bei internen Systemen kann ein HTTP-Reverseproxy am Gateway zur Abwicklung konfiguriert werden. So lassen sich bestimmte Anwendungen extern verfügbar machen, ohne die interne Konfiguration zu ändern.
Der Schutz von extern gehosteten Systemen wird wahrscheinlich am besten mit einer Verbundauthentifizierung erreicht. Mit Technologien wie OAuth und SAML behalten Sie die zentrale Kontrolle über die Authentifizierung in einer verteilten Architektur.
Es lohnt, sich mit den Funktionsmechanismen der Verbundauthentifizierung auseinanderzusetzen, weil diese schnell zum Eckpfeiler der unternehmensseitigen Identitätsverwaltung werden. Ganz einfach formuliert erlaubt dieses Verfahren dem „ Identitätsanbieter“, einen signierten Token auszugeben, der beispielsweise sagt: „Ich, Sophos, versichere, dass es sich bei dieser Person um Ross handelt.“
Der Client überträgt diesen Token an den Serviceanbieter, d.h. die Webanwendung. Der Serviceanbieter prüft, ob der Token tatsächlich von Sophos ausgegeben wurde (über PKI), und erteilt Zugriff, wenn ross@sophos befugt ist, auf die Anwendung zuzugreifen.
Die Anwender zufriedenstellen
Der Trick für eine erfolgreiche zweistufige Authentifizierung in einer verbundenen Umgebung besteht darin, den Benutzer vor Ausgabe des Tokens hinreichend zu authentifizieren. Im Klartext bedeutet das: Zertifikat und Passwort, um auf den Verbunddienst zugreifen zu können.
Gelingt das, dann ist das Unternehmen ziemlich nah dran, alle zufrieden zu stellen. Denn die Benutzerfreundlichkeit ist hoch. Solange sich das Zertifikat auf dem Gerät befindet, muss das Passwort nur einmal eingegeben werden. Bei richtiger Konfiguration muss der Benutzer nur die gewünschte Webseite besuchen oder eine App aufrufen. Er muss nicht daran denken, erst mal ein VPN zu starten.
Die Anwender erwartet ein einheitlicher Vorgang, weil alle Dienste das gleiche Authentifizierungs-Gateway verwenden – intern und extern. Kontinuität kann auch die Sicherheit erhöhen. Wenn die Benutzer daran gewöhnt sind, sich immer über das gleiche System anzumelden, fallen sie mit geringerer Wahrscheinlichkeit auf eine Phishing-Seite herein.
Leider ist man vor Zertifikatdiebstahl nie gefeit. Eine Geräteverschlüsselung kann helfen – aber um das Ganze wirklich sicher zu machen, sollte das Zertifikat in einem TPM (Trusted Platform Module) gespeichert werden. So kann selbst Schadsoftware nicht den privaten Schlüssel stehlen. Allerdings wird TPM nur sehr sporadisch unterstützt. Letztlich ist es aber trotzdem schwieriger, ein Gerät zu manipulieren und ein Zertifikat zu stehlen, als ein schwaches Passwort zu erraten.
Fazit
Hinsichtlich der Remote-Zugriffe bieten Smartphones gegenüber dem PC einige sicherheitstechnische Verbesserungen. Sicheres Sandboxing, Codesignaturen und eine Reihe weiterer vom Betriebssystem durchgesetzter Sicherheitsbegrenzungen machen viele Angriffe auf diese Plattformen weit schwieriger, als Angriffe auf Client-Rechner.
Das ist ein überzeugender Vorteil, verlagert den Fokus jedoch zurück auf die Dienste. Die bösen Buben suchen sich das schwächste Glied in der Kette. Und das ist nicht immer der Client.
Über den Autor
Ross McKerchar ist IT Network & Security Manager bei Sophos.
(ID:42237442)
:quality(80)/images.vogel.de/vogelonline/bdb/1907000/1907096/original.jpg "Mit Specops Password Policy sehen Administratoren direkt, welchen Einfluss bestimmte Vorgaben der Passwortrichtlinie auf die Passwortstärke haben. (Specops Software)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929600/1929690/original.jpg "ZTNA unterteilt das Netzwerk in Mikrosegmente. Um Zugriff auf ein Segment zu erhalten, müssen Nutzer sich erfolgreich authentifizieren. (alex - stock.adobe.com)")