Gefahr durch Identitätsdiebstahl

Sicherheitsrisiko Passwort

| Autor / Redakteur: Sergej Schlotthauer* / Peter Schmitz

Es ist paradox, dass regelmäßig Cyberattacken in den Nachrichten für Schlagzeilen sorgen, man aber immer noch an veralteten Sicherheitsmechanismen wie Username und Passwort festhält.
Es ist paradox, dass regelmäßig Cyberattacken in den Nachrichten für Schlagzeilen sorgen, man aber immer noch an veralteten Sicherheitsmechanismen wie Username und Passwort festhält. (Bild: Pixabay / CC0)

Viele Organisationen setzen immer noch allein auf Passwörter zur User-Identifizierung. Besonders wenn Nutzerinnen und Nutzer ihre Kennwörter selbst wählen, führt dies unweigerlich zu einem Sicherheitsrisiko – und ist natürlich eine offene Einladung für Cyber-Kriminelle.

Im aktuellen Lagebericht zur IT-Sicherheit in Deutschland warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der zunehmenden Gefahr durch Identitätsdiebstahl: "Von Juli 2015 bis Juni 2016 hat das BSI rund 141.000 neue Schadprogramme analysiert, die einen Bezug zum Identitätsdiebstahl in Deutschland aufweisen. Dem BSI sind ca. 62.000 Infektionen durch eine einzige Schadprogramm-Familie mit Identitätsdiebstahlfunktion („Peer-to-Peer-Zeus“) in Deutschland bekannt. Es ist davon auszugehen, dass die Gesamtzahl der Infektionen erheblich höher liegt."

Problematisch dabei ist nicht die veränderte Gefahrenlage, sondern der laxe Umgang mit dem Thema Authentifizierung: Viele Organisationen setzen immer noch allein auf Passwörter zur User-Identifizierung. Besonders wenn Nutzerinnen und Nutzer ihre Kennwörter selbst wählen, führt dies unweigerlich zu einem Sicherheitsrisiko – und ist natürlich eine offene Einladung für Cyber-Kriminelle.

Angreifer haben leichtes Spiel

Neue Malware verschlimmert die Situation, ist aber nur ein Teil der kriminellen Infrastruktur in diesem Bereich. Das Bundeskriminalamt (BKA) informierte unter anderem über ein Fallbeispiel mit nur einem Anbieter von illegalen Zugängen, der nach aktuellen Ermittlungen 7,4 Millionen Datensätze im Angebot hatte. Bei den Informationen handelte es sich um Bankaccounts und Kreditkarteninformationen von deutschen Usern. Ein Großteil der Daten waren valide und nutzbar.

Die Datensammler kommen über Phishing, Drive-by-Exploits, Servereinbrüche, Keylogger und Spyware an die Zugangsdaten. Spezielle Malware kann Zugangsdaten nicht nur mitschneiden, sondern unzureichend geschützte Accounts über wiederholte Anmeldeversuche nach dem Try & Error-Prinzip auch aktiv hacken.

Soweit keine branchenspezifischen Standards vorliegen, schlägt das BSI zwei grundsätzliche Prinzipien vor, die sich gut auf den Schutz von Identitäten anwenden lassen:

  • Basis-Absicherung: Hierbei geht es um die grundlegende Absicherung aller Geschäftsprozesse, um schnellstmöglich die größten Risiken abzuwenden. Im Bereich Identity-Management wären dies Mechanismen, um jeden Account vor fremden Zugriffen zu schützen, auch wenn dieser erst einmal als unkritisch angesehen wird.
  • Kern-Absicherung: Prozesse und Accounts werden dabei nach Wichtigkeit bewertet. Besonders kritische Accounts bekommen spezielle, stärkere Sicherheitsfreigaben, um im Falle eines Angriffs eine besondere Schutzmauer um kritische Assets zu ziehen.

Praktische Mechanismen für besseren Schutz von Identitäten

Diese theoretischen Ansätze lassen sich bereits mit relativ einfachen Mitteln in die Praxis übertragen. Ein Beispiel für eine Basis-Absicherung ist der durchgängige Einsatz von Passwortmanagern für alle Accounts. Durch die Vielzahl von Zugängen steigt die Zahl der benötigten Kennwörter. Sichere Passwörter sind lang und nur schwer zu merken. In nahezu jeder Organisation nutzen User Kennwörter mehrfach, um sich diese leichter zu merken.

In der Regel unterscheiden die Anwender dabei nicht zwischen privaten und geschäftlichen Accounts. Daher ist das Passwort für das private Facebook-Profil vielleicht auch der Zugangscode für die Firmen-E-Mail-Adresse. Angreifer sind sich solcher Doppelnutzungen bewusst und nutzen das Sicherheitsrisiko aus. Abgefangene Zugangsdaten werden systematisch mit anderen Accounts abgeglichen, um sich Zugriff zu erschleichen.

Passwort-Manager erlauben die zentrale Sicherung und Verwaltung von Konten in einer Lösung mit nur einem Kennwort. Dadurch werden die Nutzer entlastet und Unternehmen können das grundlegende Schutzniveau erhöhen. Dies erhöht die Gesamtsicherheit und schließt zahlreiche Angriffsvektoren.

Trotzdem können auch sichere Passwörter entwendet oder geknackt werden. Daher sollten Zugänge mit erhöhter Sicherheitsfreigabe nach dem Prinzip der Kern-Absicherung mit entsprechenden Vorkehrungen geschützt werden. Admin-Accounts oder Zugänge von Mitgliedern der Geschäftsführung zum Beispiel sollten grundsätzlich mit entsprechender Verschlüsselung gehärtet werden.

Durch den aktuellen Boom in der IT-Sicherheitsbranche strömen fast täglich neue interessante Konzepte auf den Markt. Allerdings kommen nur wenige Ansätze an die fast schon klassische Zwei-Faktor-Authentifizierung heran. Die Absicherung von etwas, das man weiß (Passwort) und etwas, das man hat (Hardware) bewährt sich bei besonders kritischen Unternehmensassets. Neue Tools hören sich oft interessant an, sind aber ebenso häufig für die Praxis untauglich, insbesondere dann, wenn sie nicht den lokalen Normen entsprechen.

Die Verschlüsselung von kritischen Informationen schützt auch im Falle eines erfolgreichen Angriffs. Sogar wenn Kriminelle Zugang zum Netzwerk haben, sind die Daten dann nur chiffriert abrufbar und erst einmal nutzlos. Natürlich ist es für Sicherheitsabteilungen immer schwierig, den theoretischen Ansätzen von Behörden zu folgen. Grundsätzlich befürwortet das BSI eine solche Herangehensweise: Im Lagebericht spricht man von „grundsätzlich ausgezeichneten Sicherheitsgarantien“ durch „aktuelle kryptografische Mechanismen“. Dabei stellt man fest, dass die Verwendung moderner Verfahren mit der aktuell verfügbaren Rechenleistung nicht entschlüsselt werden kann.

Fazit

Organisationen müssen in der Lage sein, Anwenderinnen und Anwender eindeutig identifizieren zu können. Ohne entsprechende Lösung droht die Gefahr von Identitätsdiebstahl. Gleichzeitig dürfen die User nicht überfordert werden, sonst droht die Gefahr durch informelle Workarounds wie die Mehrfachnutzung von Passwörtern.

Es erscheint etwas paradox, dass fast wöchentlich Cyberattacken in den Nachrichten für Schlagzeilen sorgen, man aber immer noch an veralteten Sicherheitsmechanismen festhält. Dabei gibt es einfach umsetzbare Ansätze, die das Schutzniveau deutlich erhöhen – ohne eine kostspielige Restrukturierung der eigenen IT-Sicherheitsarchitektur.

Das Gefahrenpotenzial durch gestohlene Identitäten ist enorm. Angreifer können ein Netzwerk komplett unterwandern und nahezu sämtliche bestehende Sicherheitsmechanismen aushebeln. Eine Basis-Absicherung von einfachen Nutzerkonten und eine Kern-Absicherung für besonders wichtige Accounts schützen vor einer Großzahl von Bedrohungen und ist relativ leicht umsetzbar.

* Sergej Schlotthauer ist Geschäftsführer von EgoSecure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44531002 / Benutzer und Identitäten)