Diese Erkenntnis setzt sich mittlerweile auch bei den IT-Entscheidenden in Deutschland und dem Rest der Welt durch. Wer erst einmal eine Identität im Besitz hat, der kann sich mit dieser Identität in den Netzwerken, Cloud-Plattformen und Applikationsfarmen der Unternehmen frei bewegen ohne besondere Aufmerksamkeit zu erregen. Statistisch gesehen bewegen sich potenzielle Angreifende zwischen zwei Wochen und mehren Monaten in einem Netzwerk bevor Sie Ihre Angriffe starten und dann letztendlich entdeckt werden.
Kennwörter - Die eigentliche Gefahr?
Aber was bedeutet diese Erkenntnis im Kontext IT-Sicherheit in Unternehmen?
Was Systeme durch die eindeutige Identitätsfeststellung der Benutzer:innen absichern sollte, stellt mittlerweile ein ernsthaftes Sicherheitsproblem für jede Organisation dar: Denn mit jedem Kennwort ist eine Person verbunden, die mit ihren persönlichen Entscheidungen bestimmt, wie sicher (oder unsicher) sie ihren Authentifizierungsprozess gestaltet. Welche Gefahren sich hier für die Unternehmen ergeben, kann man erahnen wenn man sich die wohl meist eingesetzten Kennwörter der letzten Jahre vor Augen hält - Platz 1: "123456", Platz 2: "123456789", Platz 3: "passwort". Es ist also der menschliche Faktor welcher der wichtigste Angriffsvektor für Cyberkriminelle darstellt.
Denn potenzielle Angreifer:innen streben in erster Linie nicht danach Unternehmensdaten zu ergaunern, sondern danach, wie Sie die Identitäten der Mitarbeitenden aus Unternehmen stehlen können. Jeder kennt dieses Phänomen durch die weltweit geführten und nicht selten auch gezielten Phishing-Attacken, die unsere Mail-Postfächer in den letzten Jahren überlaufen ließen.
Wie erkenne ich ob meine Identität gestohlen wurde?
Ob eine Benutzer:innen-Identität noch im vollen und einzigen Besitz des Inhabers ist, kann so einfach nicht beantwortet werden. Es gibt zu viele Aspekte, die nicht nur technischer Natur sind, welche man zur Beantwortung dieser Fragestellung betrachten und analysieren müsste. Und nicht jedes Unternehmen hat die technischen Voraussetzungen (Analytics) um gezielt nach einem möglichen "Kennwortdiebstahl" Ausschau zu halten.
Doch eines muss man feststellen - Es ist doch immer der Faktor "Mensch" der durch mangelnde "Aufklärung (Awareness)" dazu beiträgt das Benutzer:innen-ID's und Kennwörter in die Hände von Cyberkriminellen fällt.
Auswirkung mangelnder Authentisierungsverfahren.
Neben Image- und Reputationsverlusten für ein betroffenes Unternehmen oder eine Marke können besonders in Compliance-kritischen Branchen (z.B. Finanzsektor oder Unternehmen, die dem Bereich KRITIS zuzuordnen sind) durch empfindliche Geldstrafen dem Unternehmen erhebliche Kosten entstehen. Ganz zu schweigen von den drohenden Erpressungsversuchen der Angreifer:innen. Es gibt also viele Gründe, weshalb Passwörter als Authentifizierungskriterium entgegen ihrer eigentlichen Intention den Sicherheitslevel von Unternehmen verringern und somit auch unwirtschaftlich sein können.
Starkes Passwort – Die erste Verteidigungslinie.
Für viele Konten bleibt ein starkes Passwort die erste Verteidigungslinie gegen Angreifer:innen aus dem Netz. Aber dies ist aus heutiger Sicht nicht genug und diese Erkenntnis sollte in den IT-Organisationen neu diskutiert werden. Komplexe Kennwörter lassen sich schlecht merken und je nachdem wie das Thema "Kennwortrichtlinien" in den Unternehmen gelebt und umgesetzt wird, sind diese oft immer noch nicht ausreichend ausgeprägt um z.B. einem Angriff eines "Password Spraying", einer Art "Brute-Force-Angriff" oder eines "Keyloggers" standzuhalten.
Was also tun, wenn das starke Passwort nicht mehr ausreichend ist?
Identity und Access Management (IAM) ist für die Absicherung des hybriden Multi-Cloud-Unternehmens unverzichtbar.
Die Lösung sehen wir heute in der Etablierung eines Identity- und Access Management (IAM). Ein Teilaspekt eines IAM ist das Prinzip einer Mehrfach-Authentisierung die die Benutzer:innen und das Kennwort mit einem weiteren Authentisierungsfaktor ausstattet. Die Multi-Faktor-Authentisierung (MFA) ist ein Sicherheitsmechanismus, bei dem Personen durch mehr als ein erforderliches Sicherheits- und Validierungsverfahren authentifiziert werden. Im Klartext heißt dies, dass man neben der Eingabe von User-ID und Kennwort einen eindeutigen weiteren Faktor hinzufügen muss, um sich erfolgreich an den Unternehmensressourcen im OnPremise Data Center oder in der Unternehmens-Cloud zu authentifizieren. Die Authentisierung über mehrere unterschiedliche Verfahren erhöht die Sicherheit gegenüber Systemen mit einfacher Passwort-Authentisierung. Grundsätzlich unterscheidet man vier Arten von Authentisierungsverfahren. Sie basieren im Wesentlichen auf den Faktoren "Besitz, Wissen, Standort" und "biometrische Merkmale".
Beispielsweise besitzen Anwender:innen ein schon identifiziertes Gerät, wissen ein Kennwort oder loggen sich an ihrem Standort über eine bestimmte IP-Adresse ein und haben einen einzigartigen Fingerabdruck oder werden zusätzlich über die Face-ID erkannt. Die Kombination dieser Identifikationsmittel stellt im Normalfall sicher, dass die Person, die auf Unternehmensressourcen zugreifen möchte, wirklich die Person ist, die sie zu sein vorgibt. Je ausgeklügelter die MFA (Multi-Faktor-Authentisierung), desto sicherer ist das im Zugriff befindliche System (OnePremise oder Cloud). Die Benutzerfreundlichkeit sollte aber nicht vernachlässigt werden. Und so spielen zusätzliche Funktionen wie Single-Sign-On (SSO) eine nicht ganz unwichtige Rolle, wenn es darum geht den Mitarbeitenden das Arbeiten in der digitalen Welt so einfach wie möglich, aber so sicher wie nötig zu gestalten.
Fazit.
Eine Multi-Faktor-Authentisierung ermöglicht maximale Benutzerfreundlichkeit, weil biometrische Verfahren wie z.B die Gesichtserkennung oder der Fingerabdruck die Mitarbeitenden weder Zeit noch weitere Mühe kosten, weil sie im wesentlichen dem Grundsatz der Simplifizierung folgen. Gleichzeitig kann der Einsatz von MFA den Schutz vor unbefugten Zugriffen erhöhen, weil aufwändigere manuelle Sicherheitsmaßnahmen von den Benutzer:innen gerne umgangen werden. MFA erschwert demzufolge sehr effektiv den Identitätsdiebstahl und das ist besonders wichtig, wenn es um sensible Vorgänge wie Überweisungen und Zahlungen oder den Zugriff auf schützenswerte Informationen geht.
Was bietet eine MFA:
- Verbesserte Sicherheit durch die Kombination verschiedener Authentisierungsverfahren (z.B. Besitz, Wissen, Standort, Biometrie)
- Erhöhte Benutzerfreundlichkeit mit biometrischen Verfahren (z.B. Fingerabdruck, Face-ID, Single-Sign-On)
- Mehr Flexibilität beim Schutz von Unternehmensressourcen (OnPremise/Cloud)
- Erschwerter Identitätsdiebstahl
Der Trend von der Verwendung traditioneller Passwörter und den damit verbundenen Risiken hin zur Multi-Faktor-Authentifizierung wird weiter anhalten. Insbesondere der aktuelle weltweite Trend zu immer mehr Telearbeit sorgt für wachsende Marktchancen für MFA-Lösungen. Da sich in vielen Organisationen langfristig eine Kultur des mobilen Arbeitens durchzusetzen beginnt, ist es wichtiger denn je, den Mitarbeitenden die Werkzeuge und Ressourcen zur Verfügung zu stellen, um online sicher zu agieren – sowohl im Privatleben als auch im Homeoffice.
Wie und welche Technologie zur Absicherung Ihrer Identitäten zum tragen kommen kann, besprechen Sie am besten gleich mit unseren Spezialist:innen aus dem Competence Center BISS (Bechtle Internet Security und Services).
Ich stehe Ihnen auch gerne direkt zur Verfügung.
E-Mail: hans-juergen.martini@bechtle.com
oder unter
E-Mail: security@bechtle.com