:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Warum mobile Authentifizierung nicht genug ist Was Phishing as a Service so gefährlich macht
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Meldungen über erfolgreiche Phishing-Angriffe reißen nicht ab. Dabei ist die Taktik, über betrügerische E-Mails Nutzer dazu zu verleiten, persönliche Informationen preiszugeben oder Schadsoftware zu installieren, und sich so Zugang zu geschäftskritischen Systemen zu verschaffen, nicht neu. Viele Unternehmen haben die Gefahr längst erkannt und verfügen über ein aktives Sicherheitssystem. Doch über die Wirksamkeit dieser Abwehrmechanismen lässt sich diskutieren.
Die Zahlen sprechen eine deutliche Sprache: Dem aktuellen „State of the Phish Report“ von Proofpoint zufolge war bei 89 Prozent der deutschen Unternehmen, die zur Zielscheibe E-Mail-basierter Angriffe wurden, wenigstens eine dieser Attacken erfolgreich; 31 Prozent mussten finanzielle Verluste hinnehmen. Wesentlich kritischer ist diese Entwicklung vor dem Hintergrund zu betrachten, dass Phishing jetzt auch als Service-Angebot für Hobbykriminelle zur Verfügung steht.
Heute können Cyberkriminelle ihre Phishing-Kampagnen heute von einem spezialisierten Dienstleister managen lassen, sodass sie selbst nicht über die technische Expertise verfügen müssen. Phishing-as-a-Service-Anbieter gewähren Interessierten sogar Rabatte und Abonnements, um neue Kunden an Land zu ziehen. Die Webseiten, die sie entwickeln, lassen sich nur schwer von den Webseiten legitimer Unternehmen unterscheiden – in vielen Fällen sind sie sogar in der Lage, die Multi-Faktor-Authentifizierung zu umgehen. Phishing-as-a-Service-Modelle umfassen auch technischen Support und regelmäßige Updates, sodass nicht nur die Einstiegshürde für potenzielle Cyberkriminelle äußerst gering ist, sondern auch nur minimale technische Ressourcen eingesetzt werden müssen, um großangelegte Phishing-Kampagnen zu fahren. Neue Technologien wie ChatGPT sind zusätzliche Treiber dieser Entwicklung, da sie bereits heute eindrucksvoll unter Beweis stellen, dass KI-Chatbots in der Lage sind, E-Mails zu entwerfen, die sich in Tonalität und Grammatik nicht von „echten“ unterscheiden, sodass Angreifer auch hier mit minimalen Mitteln großen Schaden anrichten könnten.
Diese Entwicklung erfordert von Unternehmen und Mitarbeitern eine höhere Wachsamkeit. Doch die Sicherheit von Unternehmensanwendungen und -daten erfordert nicht nur die Sensibilisierung und Schulung der Mitarbeiter, sondern auch eine starke, Phishing-resistente Authentifizierung zum Schutz vor unternehmensweiten Cyberattacken.
Benutzerschulungen und Passwortbeschränkungen genügen nicht mehr, um den Zugang zu wichtigen Systemen zu sichern. Und auch die mobile Authentifizierung stößt an ihre Grenzen.
Warum mobile Authentifizierung nicht genug ist
Nicht alle Arten der Multi-Faktor-Authentifizierung (MFA) sind der Aufgabe gewachsen, raffinierte Phishing-Angriffe zu verhindern. Ähnlich wie Benutzernamen und Passwörter beruhen auch mobilbasierte Authentifizierungen wie SMS, One-Time-Passcodes (OTPs) und Push-Benachrichtigungen auf „Shared Secrets“ (gemeinsamen Geheimnissen), die durch Malware, SIM-Swapping und Man-in-the-Middle (MiTM)-Angriffe missbraucht werden können.
Das Problem: Die aktuellen und häufig verwendeten mobilfunkbasierten Authentifizierungsformen haben nicht nur Stärken sondern auch Schwächen in Bezug auf Phishing:
- OTP oder SMS per Text oder Anruf: OTP per SMS ist zu einer beliebten Methode für die MFA geworden. Allerdings sind SMS-Netzwerke und Mobilgeräte anfällig für Hackerangriffe und Vishing.
- Apps mit Push-Benachrichtigungen: Auf Push-Benachrichtigungen basierende Apps bieten dem Benutzer einen Kontext, so dass er entscheiden kann, ob er sich anmelden möchte, indem er eine Schaltfläche zum Genehmigen oder Verweigern berührt, anstatt Informationen durch Eingabe eines Codes preiszugeben. Phishing-Angreifer können jedoch Bots mit ISPs verwenden, die dem Mobilgerät des Benutzers gleichen. Liest letzterer die Genehmigungsnachricht nicht sorgfältig genug, kann dies ausreichen, um eine Sicherheitslücke zu verursachen.
- Auf Push-Benachrichtigungen basierende OTP-Codes: OTP per Push-Benachrichtigung ist für Hacker schwer zu kompromittieren, insofern es korrekt implementiert ist. Wie bei allen OTP-Implementierungen kann der Nutzer jedoch durch Phishing aufgefordert werden, den Code preiszugeben.
- OTP-Apps: Die OTP-App bettet geheime „Seeds“ ein, in der Regel in einen Hardware-Token oder QR-Code. Diese Seeds werden mit der aktuellen Uhrzeit oder einem Zähler kombiniert, um einen Code zu erzeugen, der nur mit dem Seed vorhergesagt werden kann. Um die OTP-Codes zu validieren, müssen die geheimen Seeds auf einem hochsicheren Server vorhanden sein. Ein katastrophaler Verstoß gegen einen Seed-Hersteller schadet auch dem Kunden. Außerdem könnten OTP-Codes gestohlen werden, indem Nutzer auf gefälschte Websites gelockt werden. Hacker hätten dann die Möglichkeit, den Code an die echte Website weiterzuleiten und sich Zugang verschaffen.
Wie Hacker mit Phishing-Attacken die mobilfunkbasierte Authentifizierung austricksen
Das obige Diagramm zeigt ein Beispiel für einen erfolgreichen Phishing-Angriff, mit dem die mobilfunkbasierte Zwei-Faktor-Authentifizierung (2FA) umgangen werden kann. In Schritt 1 versendet der Angreifer eine Phishing-E-Mail mit einem Link an sein Opfer, das dieses auf eine gefälschte Anmeldeseite lockt, die der echten Website sehr ähnlich ist. Das Opfer gibt seinen Benutzernamen und sein Passwort ein, die der Angreifer abfängt und in Schritt 3 in den Anmeldebildschirm der echten Website eingibt. Da für den zweiten Faktor ein OTP-Code erforderlich ist, sendet die echte Website in Schritt 4 einen OTP-Code an das Opfer, den dieses auf der gefälschten Anmeldeseite eingibt. In Schritt 5 fängt der Angreifer den OTP-Code ab und gibt ihn auf der echten Website ein, um Zugriff auf das gewünschte Konto zu erhalten. Der Angreifer aktualisiert in der Regel auch die Sicherheitseinstellungen des Kontos, um das Opfer auszusperren.
Wie kann man sich gegen Phishing-Kampagnen zur Wehr setzen?
Der Schutz von Unternehmensressourcen erfordert eine Best-Practice-Strategie für das Identitäts- und Zugriffsmanagement, bei der eine starke Authentifizierung im Vordergrund steht. Obwohl viele Unternehmen auf Authentifizierungsmethoden wie SMS und OTP umgestiegen sind, sind diese Ansätze anfällig für Bedrohungen wie SIM-Swapping, Malware und MitM-Angriffe. Bedrohungen, wie die heimliche Weiterleitung von SMS, könnten OTPs in naher Zukunft zu einem größeren Sicherheitsrisiko machen.
Mit bewährten Verfahren zur E-Mail-Sicherheit lässt sich der zunehmenden Gefahr durch Phishing-as-a-Service nicht Einhalt gebieten. Denn die Angriffsmethode ist insbesondere deshalb so erfolgreich, weil sie den Menschen als schwächstes Glied der Abwehrkette ins Visier nimmt. Wie nicht zuletzt auch die Studie von Proofpoint zeigt, stellen Wissenslücken und die mangelnde Cyberhygiene der Mitarbeiter erhebliche Risiken dar: Nur 56 Prozent der deutschen Unternehmen schulen ihre Belegschaft; lediglich 34 Prozent führen Phishing-Simulationen durch. Sobald ein Angriff einen Mitarbeiter, Partner oder Lieferanten kompromittiert hat, kann er sich schnell seinen Weg durch ein Unternehmen bahnen - ohne dass es jemand merkt, bis ein erheblicher Schaden entstanden ist. Indem sie nur genügend Informationen sammeln, können Hacker leicht den Anschein erwecken, eine vertrauenswürdige Quelle zu sein, z. B. ein Kollege, der um eine Akte bittet, ein Lieferant, der um die Bezahlung einer Rechnung bittet, oder ein CEO, der hochsensible Geschäftsdaten anfordert.
Doch wie lässt sich der Faktor Mensch aus der (Sicherheits-)Gleichung nehmen? Die Multi-Faktor-Authentifizierung soll authentifizierungsbasierte Angriffe wirksam abwehren. Doch sie hat ihre Schwächen, denn sie erfordert immer noch eine menschliche Interaktion, sodass die Gefahr besteht, dass sich Angreifer in den Authentifizierungsprozess einschalten.
Phishing-resistente MFA hingegen lässt den Menschen außen vor und stellt damit die effektivste Form der Authentifizierung dar. Denn zum einen sind die Anmeldedaten an eine Domäne gebunden, sodass der Benutzer nicht visuell beurteilen muss, ob eine Website legitim ist oder nicht. Das bedeutet, dass ein Angreifer einen Benutzer nicht mit Unicode-Tricks oder überzeugenden Bildern austricksen kann. Und zum anderen nimmt die Verwendung asymmetrischer Anmeldedaten den Benutzer aus der Verantwortung, sodass er den Dienstanbietern nicht mehr blind im Hinblick auf die Anmeldedaten vertrauen muss, die er für den Zugriff auf ihre Dienste verwendet.
In drei Schritten zu mehr Resilienz
Eine starke Authentifizierung als erste Verteidigungslinie
Per Definition bietet eine starke Authentifizierung mehr als nur Phishing-resistente Sicherheit. Sie bietet eine bessere Benutzerfreundlichkeit, eine einfache Bereitstellung und eine schnelle Skalierbarkeit, was alles entscheidend ist, um den Übergang von der allgegenwärtigen passwortbasierten Authentifizierung zu erleichtern. Eine starke Authentifizierung muss äußerst intuitiv zu bedienen und kostengünstig zu implementieren sein, um eine einheitliche Akzeptanz in der gesamten Belegschaft und sogar in der gesamten Lieferkette zu gewährleisten.
Viele Unternehmen bereits damit begonnen, die riskante kennwortbasierte Authentifizierung durch 2FA und MFA zu ersetzen. Es gibt auch Bestrebungen, Passwörter als Teil des Authentifizierungsprozesses aufgrund des Verwaltungsaufwands und der damit verbundenen Risiken ganz abzuschaffen.
Der erste Schritt auf dem Weg zur passwortlosen Sicherheit besteht jedoch darin, moderne MFA-Praktiken einzuführen, die unweigerlich eine Abkehr von veralteten und anfälligen MFA-Ansätzen hin zu einer starken, Phishing-resistenten Authentifizierung erfordern. Eine starke MFA sollte mehrere Protokolle unterstützen, die nicht nur die aktuellen unmittelbaren Sicherheitsanforderungen erfüllen, sondern das Unternehmen auch in die Lage versetzen, mit neuen Bedrohungsvektoren umzugehen.
Implementierung eines risikobasierten und abgestuften Authentifizierungsansatzes
Da es keine Einheitslösung für alle Unternehmen und Anwendungsfälle gibt, sollte jede Sicherheitsstrategie in mehreren Phasen umgesetzt werden. Bei der Implementierung ist es wichtig, sich auf die Sicherung der wichtigsten Phishing-Ziele zu konzentrieren. Hierzu zählen als hochwertig eingestufte Anwendungen, Benutzer und Ressourcen. Zu diesen Anwendungen gehören unter anderem Produktivitätsanwendungen wie E-Mail, Kundenbestellungen und Zahlungsanwendungen. Um diese zu schützen, ist es wichtig, die Benutzer, die darauf zugreifen, sowie deren Aufenthaltsort zu identifizieren und zu überprüfen. Versucht ein Mitarbeiter beispielsweise, von einem ungewöhnlichen Gerät, Netzwerk oder Standort auf eine privilegierte Buchhaltungsanwendung zuzugreifen, sollte es möglich sein, diese Anomalie zu markieren bzw. zu eskalieren, um die Identität des Benutzers zu überprüfen. Zu den als hochwertig eingestuften Benutzern zählen beispielsweise Führungskräfte, Domänenadministratoren oder andere privilegierte Mitarbeiter. Sie können aufgrund ihres Zugriffs auf sensible Daten einem höheren Angriffsvolumen ausgesetzt sein. Diese Benutzertypen werden auch als „Very Attacked Persons" (VAPs) bezeichnet, da sie sehr wertvolle, aber leicht zu kompromittierende Ziele sind. Die Absicherung bestimmter Unternehmensressourcen, wie etwa Forschungslabors und Entwicklungsbereiche, sollte ebenfalls Teil eines risikobasierten Sicherheitsansatzes sein. Durch die Verifizierung der vertrauenswürdigen Identität des Benutzers kann eine starke Authentifizierung diese Ressourcen vor Bedrohungen wie Phishing und Malware schützen.
Vorbereitung auf FIDO2 und eine passwortlose Authentifizierung
Die Implementierung von MFA ist ein guter Anfang. Eine standardbasierte Lösung, wie die Authentifizierung mit FIDO2, bietet jedoch einen noch besseren Schutz vor Phishing. Für mehr Sicherheit und Benutzerfreundlichkeit beinhalten die FIDO2-Spezifikationen WebAuthn, eine webbasierte API, mit der Websites ihre Anmeldeseiten aktualisieren können, um die FIDO-basierte Authentifizierung auf unterstützten Browsern und Plattformen hinzuzufügen. Dies ermöglicht es den Nutzern, gängige Geräte zur einfachen Authentifizierung bei Online-Diensten sowohl in mobilen als auch in Desktop-Umgebungen zu nutzen. Die WebAuthn-Funktionalität ist wichtig, um Nutzern ein einfacheres Anmeldeerlebnis mit biometrischen Daten, mobilen Geräten und/oder FIDO-Sicherheitsschlüsseln zu ermöglichen. Sie bietet eine äußerst robuste Form der starken MFA, die weitaus sicherer ist als Passwörter. Mit FIDO-basierter starker Authentifizierung haben Unternehmen die Möglichkeit, heute eine starke Multi-Faktor-Authentifizierung einzusetzen und morgen auf eine passwortlose Zukunft umzusteigen. Die FIDO-Authentifizierungsmechanismen sind nicht nur Phishing-resistent, sie bieten auch einen robusten Schutz gegen Replay-Angriffe, die auftreten, wenn ein Cyberkrimineller eine sichere Netzwerkkommunikation, wie beispielsweise eine verschlüsselte E-Mail-Nachricht, abhört und abfängt. Der Hacker ist dann in der Lage, die Nachricht zu verzögern oder erneut zu senden, was den Empfänger dazu verleiten kann, das zu tun, was der Hacker möchte, etwa Geld auf ein betrügerisches Bankkonto einzuzahlen.
Über den Autor: Alexander Koch ist VP Sales EMEA bei Yubico.
(ID:49735993)
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")