:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherer Login gegen Phishing Wer remote arbeitet will Multifaktor-Authentifizierung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Hybrides Arbeiten geht mit zunehmendem E-Mail-Verkehr und der Nutzung unterschiedliche Geräte einher. Damit steigt gleichzeitig die Sorge vieler Mitarbeitender um den Angriff auf ihre Zugangsdaten. Wie sich dadurch deren Anmeldeverhalten ändert, zeigt unser Trendreport.
Mit der richtigen Balance zwischen benutzerfreundlichen und sicheren Zugängen ist das so eine Sache, vor allem wenn die Hälfte des Unternehmens remote arbeitet und von ganz unterschiedlichen Geräten aus auf das Firmennetzwerk zugreift. Oft werden von der IT-Security Lösungen vorgegeben, die die Mitarbeitenden aus der Ferne so stark beim Online-Zugang einschränken, dass sie sich "unsichere" Workarounds zurechtlegen. Das führt zu Frustration auf beiden Seiten und ist nicht zielführend. Daher herrschte lange Zeit der Eindruck, dass Nutzerfreundlichkeit nur auf Kosten der Sicherheit funktionieren könne und umgekehrt. Diese Entweder-Oder-Haltung in Bezug auf den Anmeldeprozess scheint sich langsam aufzulösen.
Multifaktor-Authentifizierung weltweit auf dem Vormarsch
Der aktuelle Secure Sign-In Trend Report von Okta kommt zu dieser zentralen Schlussfolgerung. Hierfür haben wir über unsere Workforce Identity Plattform weltweit und anonymisiert alle Zugangsdaten angeschlossener Unternehmen und deren remote tätiger Mitarbeiter ausgewertet. Unser Ziel war es, herauszufinden, welche Authentifizierungsmethoden sie in hybriden Arbeitsumfeldern verstärkt nutzen. Während die Nutzername-Passwort-Kombination zwar immer noch die Liste der Nutzungsgewohnheiten anführt, rückt die Multifaktor-Authentifizierung langsam nach. Sie hat sich seit 2020 nahezu verdoppelt. Mitarbeiter, die von verschiedenen Geräten aus auf Online-Dienste oder Websites zugreifen möchten, empfinden MFA als ausreichend sicher und komfortabel, um sich mit gutem Gewissen anzumelden. Allein im Januar 2023 haben sich 64 Prozent aller Nutzer über eine Multifaktor-Authentifizierung angemeldet. Nicht überraschen dürfte, dass hier hauptsächlich Technologieunternehmen das Feld anführen (87 Prozent), gefolgt von Finanz- und Versicherungsunternehmen (77 Prozent), eine Branche, die sensiblen Daten hantiert.
Online-Login: Bequem und sicher muss es sein
Bei den Anwendern von MFA handelt es sich in erster Linie um IT-Administratoren erstaunlicherweise nutzen weniger als 4 Prozent der weltweit angeschlossenen Nutzer phishing-erprobte Authentifikatoren wie FastPass und FIDO2 WebAuthn. Das begründen die Studienverfasser damit, dass diese Tools noch sehr neu und damit wenig bekannt in ihren Funktionen sind. Zum anderen wird deutlich, dass Technologie-Entscheider im Zweifel immer Sicherheit vor Nutzerfreundlichkeit walten lassen. Dabei verspricht der Einsatz dieser Technologien Synchronisierungen von sicheren Authentifizierungen über mehrere Geräte hinweg.
MFA reduziert Fehleranfälligkeit
Rückblickend zeigt der Report, dass sowohl die Pandemie als auch viele öffentlichkeitswirksame Cyberangriffe durchaus Wirkung hatten. Und vermutlich zu einer schnellen Verbreitung der MFA-Methode beigetragen haben. Im Report wird ebenfalls geschlussfolgert, dass die Authentifizierung über mehrere Faktoren zwar als umständlich und zeitraubend wahrgenommen wird, es in Wahrheit aber nicht ist. Denn im Vergleich zur Anmeldung über Passwörter kamen die Autoren zu einer erheblichen Zeitersparnis und einer reduzierten Fehleranfälligkeit um ganze 80 Prozent.
Authentifizierungsabläufe ständig prüfen
Die Multifaktor-Authentifizierung ist durch eine zusätzliche Sicherheitsebene gekennzeichnet. Dabei wird der Nutzer aufgefordert, zwei oder mehrere Berechtigungsnachweise aus verschiedenen Kategorien (etwas, das man hat, etwas, das man kennt oder etwas, was man ist) zu kombinieren. Diese Authentifizierung kann kontextbezogen oder adaptiv erfolgen, wobei der Anwendungskontext zur Bestimmung des relevanten Sicherheitsniveaus herangezogen wird. Aber es gibt auch eine schlechte Nachricht: Cyberkriminelle bereits seit einiger Zeit daran, auch die Sicherheitsstufen der Multifaktor-Authentifizierung geschickt zu umgehen. Daher sollten Unternehmen ihre Authentifizierungsabläufe und -standards kontinuierlich überprüfen.
Tipps für eine sichere Authentifizierungs-Strategie
- 1. Dynamische, kontextabhängige Zugriffsrichtlinien sollten erstellt und ausgewertet werden, um zu erfahren, wie die Benutzerattribute sowie der Gerätekontext aussehen (z.B. Ist das Gerät bekannt? Wie wird es verwaltet? Ist das Netzwerk vertrauenswürdig? Stimmt die Anfrage mit dem bisherigen Benutzerverhalten überein?
- 2. Entwicklung eines langfristigen Nutzungs-Szenarios für den Fernzugriff, der die Reduktion des Einsatzes von Passwörtern zum Ziel hat: Verbindung der Risikostufen mit den entsprechenden Zugriffsentscheidungen, beispielsweise dem Gewähren oder Entziehen des Zugriffs, der Aufforderung zu MFA oder der Nutzung passwortloser Authentifizierung bei Abfragen mit geringem Risiko.
- 3. Erstellen von MFA-Anmelderichtlinien und Phishing-Schutz für den administrativen Zugriff auf sensible Anwendungen und Daten
- 4. Die Einführung neuer Authentifizierungs-Methoden braucht die Aufmerksamkeit des Top-Managements, da es hier um den Schutz der wertvollsten Ressourcen und Informationen innerhalb der Organisation geht
- 5. Integration von MFA in die Zero-Trust Strategie: Neue Lösungen und Dienste sollten sich einfach in die bestehende Cloud-Architektur integrieren lassen, ansonsten besteht die Gefahr der Implementierung von lauter zusammenhangsloser Ad-hoc Lösungen. Das führt wiederum zu fragmentierten Benutzeridentitäten.
Über den Autor: Sven Kniest ist Vice President für Zentral- und Osteuropa von Okta.
(ID:49725807)
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")