:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zweiter Faktor zum Schutz digitaler Identitäten Token für die Multi-Faktor-Authentifizierung (MFA)
Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein Großteil von Datenschutzverletzungen entsteht, wenn für das Login neben dem Benutzernamen nur ein Passwort verwendet wird. Schwache oder gestohlene Passwörter sind laut einer Verizon-Studie in 81 Prozent aller Fälle verantwortlich für einen Hack – im Vorjahr der Studie lag dieser Wert erst bei 63 Prozent. Es ist also eine deutliche Zunahme bei den Risiken durch Passwörter erkennbar. Die meisten Nutzer setzen erstaunlich einfallslose Passwörter ein: „123456“, „passwort“ oder „qwer“ wirken auf jeden Eindringling wie eine Einladung. Doch auch komplexere und längere Passwörter helfen nicht weiter: Weil Nutzer sie sich nicht mehr merken können, werden sie am Rechner notiert oder einfach erratbare Schemata bei der Zahlen- und Zeichenfolge verwendet. Viele User nutzen ihr Passwort sogar mehrfach in verschiedenen Portalen. Dies macht Kriminellen den Missbrauch noch einfacher.
Zweiter Faktor zum Schutz digitaler Identitäten
Doch wie lassen sich unsere digitalen Identitäten und Daten wirkungsvoller absichern? Die Antwort lautet: Zwei-Faktor-Authentifizierung (2FA) beziehungsweise Multi-Faktor-Authentifizierung (MFA). MFA basiert auf der Idee, dass ein Nutzer zusätzlich zum Passwort einen zweiten Faktor zur Authentifizierung nachweisen oder eingeben muss, den ein Angreifer nicht wissen oder besitzen kann. In der Regel ist dies ein „Einmal“-Token – beispielsweise ein Code, den ein Nutzer per SMS erhält, oder eine Push-Nachricht mit der Aufforderung „Bestätigen“ oder „Ablehnen“, die auf sein Smartphone geschickt wird. Für jeden Authentifizierungsvorgang wird somit eine Art einmaliges Passwort generiert, auf das ich in diesem Fall nur über einen Gegenstand in meinem Besitz (z. B. Smartphone) zugreifen kann. Der Verlust des Passworts stellt somit nicht mehr zwingend den Verlust der eigenen digitalen Identität dar.
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387851/original.jpg "Bei einem SMS-Token erhalten Nutzer zur Authentifizierung einfach einen Code per SMS auf ihr Handy.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387852/original.jpg "Hardware-Token sind kleine Chip-basierte Geräte, die auf Knopfdruck einen Code generieren und auf einem Display anzeigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387853/original.jpg "Biometrische Authentifizierung ermöglicht die Identifizierung eines berechtigten Anwenders über Fingerabdruck oder Gesichtserkennung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387854/original.jpg "Software-Token bilden die Funktionalität von Hardware-Token auf einem Smartphone in Software ab.")
Die folgende Übersicht gibt eine erste Orientierung zu aktuell verfügbaren Token-Typen und deren Einsatzszenarien. Moderne MFA-Systeme erlauben eine Kombination unterschiedlicher Token, sodass für jeden Anwendungszweck und Schutzbedarf eine einzige Lösung verwendet werden kann:
SMS-Token gehören heute zu den am weitesten verbreiteten Token-Typen. Nutzer erhalten zur Authentifizierung einfach einen Code per SMS auf ihr Handy. Sie müssen weder eine Software installieren noch über ein Smartphone verfügen. Insbesondere als „Redundanz“ im Fehlerfall, oder bei Massen-Rollouts mit „heterogenen“ Endnutzern, kommt diese Methode zum Einsatz. Allerdings ist die Zahl der Angriffspunkte über das Mobilfunknetz oder Smartphone-Plattformen vergleichsweise hoch. Sie sollten daher für unkritische Logins bzw. Szenarien mit geringem Schutzbedarf genutzt werden.
Hardware-Token sind kleine Chip-basierte Geräte in Form eines Schlüsselanhängers oder einer Smartcard, die auf Knopfdruck Passwörter neu generieren und auf dem Display anzeigen – die so genannten Einmal-Passwörter oder auch One-Time-Passwörter (OTP). Ein spezieller Hardware-Token-Typ ist FIDO U2F. Er basiert auf dem Universal Second Factor Standard (U2F), durch den Nutzer einen bereits vorhandenen Token wiederverwenden können. Hardware-Token weisen eine hohe Sicherheit auf, da Angriffe nur schwer möglich sind. Bedingt durch den geringen Komfort eignen sie sich insbesondere für Fälle, in denen ein hoher Schutzbedarf vorliegt.
Biometrische Authentifizierungsverfahren basieren auf der Authentisierung der persönlichen, biologischen Eigenschaften von Menschen, wie zum Beispiel die Identifizierung über Fingerabdrücke oder die Gesichtserkennung. Allerdings können sich diese Charakteristika nicht nur alters- oder krankheitsbedingt verändern. Ein immenses Problem ist die Fehleranfälligkeit in Hinblick auf Falsch-Akzeptanz und -Ablehnung sowie die Trivialität, mit der biometrische Merkmale gefälscht werden können. Auch birgt die Verwendung von Biometrie diverse Herausforderungen im Bereich des Datenschutzes.
Software-Token bilden im Grunde die Funktionalität von Hardware-Token auf Software ab. Es kommen identische Algorithmen und Verfahren zum Einsatz wie bei der Hardware. Durch die Verwendung des Software-Tokens auf einem Smartphone muss der Anwender kein „Extra“-Gerät mit sich mitführen. Da der Software-Token in der Regel auf einer nicht kontrollierbaren Plattform (Smartphone) ausgeführt wird, hängt die Sicherheit des Tokens von der Sicherheit des Smartphones ab. Weist dieses Schwachstellen auf oder birgt es Schadsoftware, hat der Angreifer gegebenenfalls unbemerkten Zugriff auf den Token. Software-Token sollten dementsprechend ausschließlich in Szenarien mit einem normalen Schutzbedarf eingesetzt werden.
Push-Token lösen eine automatische Benachrichtigung aus, wenn ein Nutzer sich einloggen oder eine Transaktion durchführen möchte. Die Push-Nachricht wird beispielsweise auf das Smartphone des berechtigten Users geschickt und muss dort nur noch per Klick etwa auf „OK“ verifiziert werden. Die kryptografische Bestätigung wird dann direkt an den definierten Endpunkt gesendet. Die Eingabe eines Codes ist nicht mehr erforderlich. Durch diesen Vorgang lässt sich auch ein Mehraugenprinzip in hochsicheren Umgebungen wie beispielsweise bei Banken oder Energieversorgern sicherstellen, bei denen eine berechtigte zweite Person bestimmte Vorgänge freigeben muss. Ein weiterer Vorteil moderner Push-Token ist die Transaktionssicherheit, bei der auch die Inhalte einer Transaktion gegen Manipulation abgesichert sowie eine Nicht-Abstreitbarkeit realisiert werden kann.
QR-Token realisieren zwei Hauptzwecke: Zum einen kann mit ihnen eine sichere Offline-Authentifizierung ermöglicht werden – sofern der Anbieter alles richtig macht. Dies ist insbesondere relevant, wenn zum Beispiel Firmenlaptops mittels eines zweiten Faktors abgesichert werden sollen. Ohne eine Offline-Authentifizierung, ist der Zugriff bei einem Flug nicht möglich. Ein weiterer Zweck von QR-Token besteht in der Möglichkeit eine Gerätetrennung zu erzwingen, wie es in manchen Regulierungen gefordert wird. Dabei wird mittels eines öffentlichen Schlüssels eine Challenge generiert, welche abgescannt und mit dem privaten Schlüssel auf dem Handy entschlüsselt wird. Anschließend muss nur noch der angezeigte Wert eingegeben oder je nach Situation auch direkt automatisch durch das Abscannen (im Nicht-Offline-Fall) übertragen werden.
Token-Vergabe nach Sicherheitslevel und Nutzeranforderung
Aufgrund der höheren Sicherheit setzen mittlerweile auch große Tech-Konzerne wie Google oder Facebook auf die Multi-Faktor-Authentifizierung als Teil ihres Identity- und Access-Managements. Zudem nimmt die Notwendigkeit mit der steigenden Nutzung von Cloud-Umgebungen, Remote-Zugängen und Web-Anwendungen noch weiter zu. Deshalb empfiehlt auch der Bundesverband IT-Sicherheit e.V. (TeleTrusT) die MFA-Technologie in seiner Handreichung zum IT-Sicherheitsgesetz für die Realisierung des Stands der Technik. Unternehmen werden also künftig nicht mehr darum herumkommen, sich mit dem Thema auseinanderzusetzen und zu entscheiden, welche Lösung am besten zu ihrem Einsatzszenario passt. Dabei sollten sie vor allem die Anforderungen und Sicherheitslevel ihrer Nutzer im Blick haben: Wird der Token häufig benutzt? Hat mein Mitarbeiter Zugriff auf hochsensible Bereiche? Oder handelt es sich bei dem Nutzer um einen externen Dienstleister oder einen Praktikanten, der nur für eine begrenzte Zeitspanne auf die Unternehmenssysteme zugreifen darf? Moderne Lösungen ermöglichen es, Token nach Einsatzhäufigkeit oder Zeiträumen befristet zu vergeben, sodass ein Anwender beispielsweise nach fünfmaligem Gebrauch oder nach einem Monat keinen Zugang mehr zu einer Datenbank hat oder ein Login durchführen kann. All diese Kriterien tragen dazu bei, einen etwaigen Missbrauch der Token bereits bei der Token-Vergabe auszuschließen.
Das sind neben der Kostenfrage auch die Kriterien, die bei der Wahl eines Tokens für jedes einzelne Unternehmen entscheidend sein sollten. Jede Firma muss sich fragen, welches Ausmaß an Security und Usability im eigenen Geschäftsumfeld benötigt wird. Denn ohne Multi-Faktor-Authentifizierung im Kontext mit dem Schutz von IT-Infrastruktur und Daten geht es heute nicht mehr.
Über den Autor: Dr. Amir Alsbih ist CEO von KeyIdentity.
:quality(80)/images.vogel.de/vogelonline/bdb/1317400/1317409/original.jpg "Wie man mit Multi-Faktor-Authentifizierung (MFA) die Anmeldesicherheit in Office 365 verbessert, zeigen wir in diesem Video-Tipp. (kran77 - stock.adobe.com)")
Video-Tipp: Anmeldesicherheit in Office 365
Multi-Faktor-Authentifizierung in Office 365
:quality(80)/images.vogel.de/vogelonline/bdb/1017700/1017737/original.jpg "Ein starker Zugriffsschutz lässt sich per Biometrie oder einem anderen Authentifizierungsfaktor realisieren. (Bild: kengmerry - Fotolia.com)")
eBook „Multi-Faktor-Authentifizierung“
Das Internet of Things braucht starken Zugriffsschutz
(ID:45267543)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951865/original.jpg "Mit privacyIDEA 3.7 kann sich ein Benutzer an seinem Notebook mit einem zweiten Faktor anmelden, auch wenn das Gerät offline ist und den privacyIDEA-Server nicht erreichen kann. (tippapatt - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913900/1913919/original.jpg "Mit dem GateKeeper von Untethered Labs können sich Nutzer sicher an ihrem Arbeitsplatz einloggen, ohne ein Passwort zu benötigen. (ProSoft)")