:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gefahr durch Identitätsdiebstahl Sicherheitsrisiko Passwort
Viele Organisationen setzen immer noch allein auf Passwörter zur User-Identifizierung. Besonders wenn Nutzerinnen und Nutzer ihre Kennwörter selbst wählen, führt dies unweigerlich zu einem Sicherheitsrisiko – und ist natürlich eine offene Einladung für Cyber-Kriminelle.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im aktuellen Lagebericht zur IT-Sicherheit in Deutschland warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der zunehmenden Gefahr durch Identitätsdiebstahl: "Von Juli 2015 bis Juni 2016 hat das BSI rund 141.000 neue Schadprogramme analysiert, die einen Bezug zum Identitätsdiebstahl in Deutschland aufweisen. Dem BSI sind ca. 62.000 Infektionen durch eine einzige Schadprogramm-Familie mit Identitätsdiebstahlfunktion („Peer-to-Peer-Zeus“) in Deutschland bekannt. Es ist davon auszugehen, dass die Gesamtzahl der Infektionen erheblich höher liegt."
Problematisch dabei ist nicht die veränderte Gefahrenlage, sondern der laxe Umgang mit dem Thema Authentifizierung: Viele Organisationen setzen immer noch allein auf Passwörter zur User-Identifizierung. Besonders wenn Nutzerinnen und Nutzer ihre Kennwörter selbst wählen, führt dies unweigerlich zu einem Sicherheitsrisiko – und ist natürlich eine offene Einladung für Cyber-Kriminelle.
Angreifer haben leichtes Spiel
Neue Malware verschlimmert die Situation, ist aber nur ein Teil der kriminellen Infrastruktur in diesem Bereich. Das Bundeskriminalamt (BKA) informierte unter anderem über ein Fallbeispiel mit nur einem Anbieter von illegalen Zugängen, der nach aktuellen Ermittlungen 7,4 Millionen Datensätze im Angebot hatte. Bei den Informationen handelte es sich um Bankaccounts und Kreditkarteninformationen von deutschen Usern. Ein Großteil der Daten waren valide und nutzbar.
Die Datensammler kommen über Phishing, Drive-by-Exploits, Servereinbrüche, Keylogger und Spyware an die Zugangsdaten. Spezielle Malware kann Zugangsdaten nicht nur mitschneiden, sondern unzureichend geschützte Accounts über wiederholte Anmeldeversuche nach dem Try & Error-Prinzip auch aktiv hacken.
Soweit keine branchenspezifischen Standards vorliegen, schlägt das BSI zwei grundsätzliche Prinzipien vor, die sich gut auf den Schutz von Identitäten anwenden lassen:
- Basis-Absicherung: Hierbei geht es um die grundlegende Absicherung aller Geschäftsprozesse, um schnellstmöglich die größten Risiken abzuwenden. Im Bereich Identity-Management wären dies Mechanismen, um jeden Account vor fremden Zugriffen zu schützen, auch wenn dieser erst einmal als unkritisch angesehen wird.
- Kern-Absicherung: Prozesse und Accounts werden dabei nach Wichtigkeit bewertet. Besonders kritische Accounts bekommen spezielle, stärkere Sicherheitsfreigaben, um im Falle eines Angriffs eine besondere Schutzmauer um kritische Assets zu ziehen.
Praktische Mechanismen für besseren Schutz von Identitäten
Diese theoretischen Ansätze lassen sich bereits mit relativ einfachen Mitteln in die Praxis übertragen. Ein Beispiel für eine Basis-Absicherung ist der durchgängige Einsatz von Passwortmanagern für alle Accounts. Durch die Vielzahl von Zugängen steigt die Zahl der benötigten Kennwörter. Sichere Passwörter sind lang und nur schwer zu merken. In nahezu jeder Organisation nutzen User Kennwörter mehrfach, um sich diese leichter zu merken.
In der Regel unterscheiden die Anwender dabei nicht zwischen privaten und geschäftlichen Accounts. Daher ist das Passwort für das private Facebook-Profil vielleicht auch der Zugangscode für die Firmen-E-Mail-Adresse. Angreifer sind sich solcher Doppelnutzungen bewusst und nutzen das Sicherheitsrisiko aus. Abgefangene Zugangsdaten werden systematisch mit anderen Accounts abgeglichen, um sich Zugriff zu erschleichen.
Passwort-Manager erlauben die zentrale Sicherung und Verwaltung von Konten in einer Lösung mit nur einem Kennwort. Dadurch werden die Nutzer entlastet und Unternehmen können das grundlegende Schutzniveau erhöhen. Dies erhöht die Gesamtsicherheit und schließt zahlreiche Angriffsvektoren.
Trotzdem können auch sichere Passwörter entwendet oder geknackt werden. Daher sollten Zugänge mit erhöhter Sicherheitsfreigabe nach dem Prinzip der Kern-Absicherung mit entsprechenden Vorkehrungen geschützt werden. Admin-Accounts oder Zugänge von Mitgliedern der Geschäftsführung zum Beispiel sollten grundsätzlich mit entsprechender Verschlüsselung gehärtet werden.
Durch den aktuellen Boom in der IT-Sicherheitsbranche strömen fast täglich neue interessante Konzepte auf den Markt. Allerdings kommen nur wenige Ansätze an die fast schon klassische Zwei-Faktor-Authentifizierung heran. Die Absicherung von etwas, das man weiß (Passwort) und etwas, das man hat (Hardware) bewährt sich bei besonders kritischen Unternehmensassets. Neue Tools hören sich oft interessant an, sind aber ebenso häufig für die Praxis untauglich, insbesondere dann, wenn sie nicht den lokalen Normen entsprechen.
Die Verschlüsselung von kritischen Informationen schützt auch im Falle eines erfolgreichen Angriffs. Sogar wenn Kriminelle Zugang zum Netzwerk haben, sind die Daten dann nur chiffriert abrufbar und erst einmal nutzlos. Natürlich ist es für Sicherheitsabteilungen immer schwierig, den theoretischen Ansätzen von Behörden zu folgen. Grundsätzlich befürwortet das BSI eine solche Herangehensweise: Im Lagebericht spricht man von „grundsätzlich ausgezeichneten Sicherheitsgarantien“ durch „aktuelle kryptografische Mechanismen“. Dabei stellt man fest, dass die Verwendung moderner Verfahren mit der aktuell verfügbaren Rechenleistung nicht entschlüsselt werden kann.
Fazit
Organisationen müssen in der Lage sein, Anwenderinnen und Anwender eindeutig identifizieren zu können. Ohne entsprechende Lösung droht die Gefahr von Identitätsdiebstahl. Gleichzeitig dürfen die User nicht überfordert werden, sonst droht die Gefahr durch informelle Workarounds wie die Mehrfachnutzung von Passwörtern.
Es erscheint etwas paradox, dass fast wöchentlich Cyberattacken in den Nachrichten für Schlagzeilen sorgen, man aber immer noch an veralteten Sicherheitsmechanismen festhält. Dabei gibt es einfach umsetzbare Ansätze, die das Schutzniveau deutlich erhöhen – ohne eine kostspielige Restrukturierung der eigenen IT-Sicherheitsarchitektur.
Das Gefahrenpotenzial durch gestohlene Identitäten ist enorm. Angreifer können ein Netzwerk komplett unterwandern und nahezu sämtliche bestehende Sicherheitsmechanismen aushebeln. Eine Basis-Absicherung von einfachen Nutzerkonten und eine Kern-Absicherung für besonders wichtige Accounts schützen vor einer Großzahl von Bedrohungen und ist relativ leicht umsetzbar.
* Sergej Schlotthauer ist Geschäftsführer von EgoSecure.
(ID:44531002)
:quality(80)/p7i.vogel.de/wcms/f1/20/f1201e12a24b35cc52f4483a20cfc12f/0104773382.jpeg "Der Quastenflosser gilt als lebendes Fossil. Auch die IT-Welt hat täglich mit lebenden Fossilien zu tun, den Passwörtern. Sie stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig. (Bild: slowmotiongli - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/ad/8aade7d1773afa11442aefab7225128a/0109499455.jpeg "Um sich Cyberkriminelle vom Leib zu halten, ist ein zuverlässiger Passwort-Manager ein wichtiger Start, mit dem sich sichere Logins vertrauenswürdig erstellen udn speichern lassen. (Bild: Vitalii Vodolazskyi - stock.adobe.com)")