Fünf vermeidbare Sicherheitsverletzungen, die für eine umfassende MFA sprechen

Back
10. September 2018
Andrew Goodman
Sr. Product Marketing Manager

Kein Zweifel, dass für heutige, umfassend vernetzte Kunden eine nahtlose Multichannel-Erfahrung immens wichtig ist. Das bedeutet jedoch nicht, dass ihnen die Sicherheit der Daten, die sie mit Ihnen teilen, nicht am Herzen läge. Vielmehr erwarten sie sowohl Sicherheit als auch Benutzerkomfort. Sicherheitsverletzungen können Markenreputation und Kundenvertrauen ruinieren, und die Wahrscheinlichkeit steigern, das Verbraucher zur Konkurrenz wechseln. Und mit einer steigenden Zahl von kompromittierten Datensätzen steigen auch die Umsatzeinbußen. Die Studie Cost of a Data Breach Study (Studie zu den Kosten von Sicherheitsverletzungen) des Ponemon Institute von 2018 zeigt diese Korrelation, die über die letzten paar Jahre konstant war:

 


Durchschnittliche Gesamtkosten von Datenpannen nach Umfang der Verletzung


In Bezug auf die Mitarbeiter müssen Sie einen ähnlichen Balanceakt vollführen. Sicherheitspraktiken, die sie als lästig empfinden, können die Produktivität und damit auch den wirtschaftlichen Erfolg beeinträchtigen. Laut einer von Dell unterstützten Umfrage zu den Auswirkungen der Sicherheit auf Business-Anwender, „sagten 91 %, dass ihre Produktivität durch Sicherheitsmaßnahmen des Arbeitgebers gebremst wird.“

 

Wie aber sieht ein modernes Sicherheitskonzept aus?

 

Nun, es sollte auf der einen Seite kundenfreundlich sein und gleichzeitig die Mitarbeiterproduktivität unterstützen – zwei Dinge, die normalerweise nicht so einfach in Einklang zu bringen sind. Heutige Authentifizierungslösungen sind allerdings in der Lage, kontextbezogene Faktoren zum User und dessen Geräte nahezu in Echtzeit zu nutzen. Diese Fähigkeit macht diesen lange praktizierten Balanceakt überflüssig und bildet die Basis für ein Zero-Trust-Sicherheitsframework

 

Durch die Einführung moderner Funktionen haben historische Hindernisse zur Implementierung von Sicherheitslösungen wie der Multifaktor-Authentifizierung an Bedeutung verloren.

 

  • Die Benutzererfahrung hat sich durch Selfservice-Funktionen, die adaptive Authentifizierung und die Phone-as-a-Token-Authentifizierung deutliche verbessert. 
  • Dank Out-of-the-Box-APIs, -SDKs und -Integrationskits gehört die eingeschränkte Unterstützung älterer Lösungen für die Integration von Zweifaktor-Authentifizierung (2FA) über VPN-Anwendungsfälle hinaus der Vergangenheit an.
  • Auch die hohen Kosten für Infrastruktur und Verwaltung sind Geschichte. Inzwischen gibt es Cloud-Lösungen, die minimalen Aufwand und minimale Kontrolle erfordern, um effektiv zu laufen.

 

Der Moment, auf den Sie immer gewartet haben, ist da. Die Auswirkungen moderner Sicherheitssysteme auf Budget, IT-Ressourcen und Benutzerproduktivität sind mittlerweile so gering, dass sich jedes Unternehmen einen hochentwickelten, effektiven Schutz gegen den Angriffsvektor Nr. 1 gehackte Zugangsdaten“. leisten kann. Wie aber sieht dieser Schutz aus? Ganz einfach: Die besten Karten haben Sie, wenn Sie überall in Ihrem Unternehmen Multifaktor-Authentifizierung (MFA) implementieren.

 

Fünf Angriffsszenarien, fünf Gründe für MFA

MFA überall? Nun, fast überall. Zugangsdaten werden auf viele unterschiedliche Arten gestohlen. Um zu veranschaulichen, wie Zugangsdaten am häufigsten in die Hände von Kriminellen fallen, haben wir uns fünf Personas ausgedacht, die jeweils für ein weit verbreitetes Angriffsszenario stehen.

 

Persona: der eifrige Mitarbeiter

Angriffsvektor: Phishing/Spear-Phishing

 

Der Kampf um die besten Talente wird mit immer härteren Bandagen ausgetragen. Unternehmen bieten alle möglichen Anreize, um Mitarbeiter zu gewinnen und zu halten. Als Mitarbeiter muss man sich lediglich „anmelden, um von den Vorteilen zu profitieren“. Dem Enterprise Phishing Resiliency and Defense Report von PhishMe zufolge „kostet ein durchschnittlicher Phishing-Angriff mittelgrosse Unternehmen 1,6 Mio. USD“; außerdem habe sich die Zahl der Phishing-Angriffe im Vergleich zum Vorjahr um 65 % erhöht. In dem Bericht sind einige der häufigsten prämienbasierten Szenarien aufgeführt, auf die Mitarbeiter hereinfallen:




Im Zeitalter des Spear-Phishings können Anwendungen, die risikoarme Daten verarbeiten, nicht mehr als risikoarm gelten. Denken Sie an Sharepoint-Websites oder Google Sites von Unternehmen, die oft Informationen zu Prämienprogrammen, Umfragen zur Mitarbeiterzufriedenheit und Termine für die Auszahlung von Boni enthalten. Solche Informationen wurden immer wieder bei erfolgreichen Spear-Phishing-Versuchen verwendet. Vor Kurzem waren davon die Mitarbeiter einergrossen US-Regionalbehörde (und im Anschluss daran die Bürger selbst) betroffen:

 

„Bei diesem raffinierten Phishing-Betrug wurden E-Mails, die als Gehaltserhöhungen getarnt waren, dazu verwendet, Mitarbeiter zu verleiten, ihre Zugangsdaten offenzulegen. Dann wurden ihre offiziellen E-Mail-Konten und Signaturen verwendet, um den Angriff auf andere Kontakte auszuweiten, so Vertreter der Behörde.“

 

All Ihre Anwendungen, angefangen bei den risikoärmsten bis hin zu den risikoreichsten, sollten durch eine moderne MFA-Lösung. geschützt sein. Wenn Sie sich so verhalten, als wären Zugangsdaten bereits gestohlen worden, können Sie selbst minutiös geplante Spear-Phishing-Angriffe abwehren. Dank einer Vielzahl adaptiver und kontextbezogener Authentifizierungsrichtlinien, die Ihnen die Möglichkeit bieten, eine starke Authentifizierung nur dann anzuwenden, wenn etwas verdächtig wirkt, können Sie MFA für jede Anwendung implementieren, ohne die Mitarbeiterproduktivität wirklich zu beeinträchtigen.

 

Persona: der smarte Administrator

Angriffsvektor: SSH-Angriffe

 

Administratoren mit Zugang zur Serverinfrastruktur gehören in Unternehmen zu den wichtigsten Zielen von Kriminellen. Sie sind oft das zweite Ziel, das Kriminelle anvisieren, nachdem sie die Zugangsdaten eines „eifrigen Mitarbeiters“ kompromittiert haben. Sie haben Ihre Administratoren angewiesen, angesichts der vielen Cyberrisiken, denen Ihr Unternehmen ausgesetzt ist, äußerst wachsam zu sein. Sie verwenden deshalb sichere Methoden, um auf kritische Infrastrukturen zuzugreifen (z. B. Anmeldung mit Secure-Shell-Zugangsdaten (SSH)). Leider gibt es heute eine Vielzahl von Brute-Force-Angriffen, Malware-Tools und anderen Methoden zur Kompromittierung von SSH-Zugangsdaten, die von Hackern auch genutzt eingesetzt werden. Security Boulevard berichtet, dass eine chinesische Hackergruppe namens SSHPsychos „mit ihren Brute-Force-Angriffen so aktiv ist, dass zeitweise bis zu 35 % des gesamten SSH-Traffics im Internet von ihr stammt“.




Nach der Veröffentlichung von WikiLeaks-Dokumenten 2017, in denen es um die Existenz mehrerer CIA-Hackingtools zum Stehlen von SSH-Anmeldeinformationen ging, hat die SSH-Clientsicherheit weiter an Bedeutung gewonnen. Das Erzwingen adaptiver MFA-Richtlinien für SSH-Anmeldungen über ein anschließbares Authentifizierungsmodul oder über ForceCommand ist ein bewährtes Verfahren, um den Schutz von lokalen und Remote-Anmeldungen bei Linux- und Unix-Systemen zu stärken.

 

Persona: der gefährliche Partner

Angriffsvektor: Viele

 

Bei der digitalen Transformation spielen Partnerschaften eine wichtige Rolle. Oft werden sie durch API-Integrationen und Anwendungszugriff über Partnerportale ermöglicht. Die Sensibilität der Daten und Dienste, die über diese Portale verfügbar sind, variiert enorm – je nachdem, was der geschäftliche Zweck der Partnerschaft ist. Unabhängig davon, wie kritisch diese Informationen sind – Hunderten Drittanbietern Zugang zu einem Teil Ihrer internen Daten zu gewähren, vergrößert Ihre Angriffsfläche enorm.

 

Aus der Risikoperspektive betrachtet, ist der Zugriff durch Partner ähnlich wie die Gefahr von Insiderangriffen durch Mitarbeiter zu bewerten – eine Gefahr, für die Sie Ihr Unternehmen bereits gewappnet haben. Ihre Möglichkeiten, hier ähnliche Kontrollmechanismen zu implementieren, um die Risiken zu mindern, sind jedoch oft begrenzt. Ein Weg, dieses Problem zu lösen, ist der regelmäßige Austausch mit Ihren Partnern. Nur so können Sie sicherstellen, dass das Sicherheitskonzept Ihrer Partner auch Ihren Unternehmensanforderungen entspricht. Es ist jedoch schwer zu skalieren und kann zu Reibungen beim Onboarding neuer Partner führen.

 

Was Sie wirklich benötigen, ist eine Möglichkeit, sicheren Zugriff zu gewähren, ohne Ihre Partner systematisch involvieren zu müssen. Durch die Implementierung einer cloudbasierten, adaptiven MFA-Lösung können Partnermitarbeiter problemlos ihre eigenen Anmeldeinformationen nutzen, um Zugriff auf Ihre Ressourcen zu erhalten Gleichzeitig kann Ihr Unternehmen einen hohen Sicherheitsstandard wahren. Mit modernen Lösungen lassen sich Richtlinien basierend auf Zugriffsnetzwerk, Gruppenmitgliedschaft, Gerätezustand und genutzter Applikation anwenden. Das automatisierte Provisioning und Deprovisioning von Benutzern – z. B. bei der Aktualisierung von Attributen oder der Entfernung von Benutzern aus dem Verzeichnis – kann Ihr Sicherheitskonzept deutlich verbessern, ohne den benötigten Zugriff für Partner zu beeinträchtigen.

 

Nachdem ein Vertriebspartner gehackt und die Kontaktdaten von 800.000 Kunden gestohlen worden waren, ergriff ein Schweizer Telekommunikationsunternehmen folgenden Maßnahmen:

 

„Als Reaktion auf den Vorfall [haben wir] eine Reihe von Systemen eingeführt, um die von Partnern abgerufenen personenbezogenen Daten besser zu schützen:
 

  • Der Zugriff durch Partnerfirmen wird jetzt strenger kontrolliert. Ungewöhnliche Aktivitäten lösen automatisch einen Alarm aus und führen zu einer Sperrung des Zugriffs.
  • Es wird in Zukunft nicht mehr möglich sein, großvolumige Abfragen für alle Kundendaten durchzuführen.
  • Darüber hinaus wird 2018 eine Zweifaktor-Authentifizierung für den gesamten Datenzugriff unserer Vertriebspartner eingeführt.“

 

Persona: der gestohlene (unverschlüsselte) Laptop

Angriffsvektor: physische Sicherheit

 

An gesetzlichen Vorgaben oder Branchenrichtlinien zur Speicherung sensibler Daten hat es noch nie gemangelt:

 

 

45 CFR 164.312(e)(2)(ii)):„Implementieren Sie einen Mechanismus zur Verschlüsselung  geschützter Patientendaten wann immer dies angebracht erscheint.“


 

 

Section 501, GLBA Finanzinstitutionen sollten Verschlüsselung einsetzen, um das Risiko zu mindern, dass gespeicherte oder übertragene sensible Daten offengelegt oder verändert werden.“


 

Erwägungsgrund 83: “In order to Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung einer gegen diese Verordnung verstoßende Datenverarbeitung, sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen.”


 

Compliance- und Informationssicherheitsexperten betreiben einen hohen Schulungsaufwand, um den Benutzern klar zu machen, welche Arten von Daten sie lokal speichern können und welche nicht, um so eine unternehmensweite Einhaltung dieser Regelungen sicherzustellen. Trotzdem speichern Mitarbeiter solche Daten regelmäßig unverschlüsselt – meist aus Bequemlichkeit – auf privaten oder firmeneigenen Mobilgeräten. Wenn Geräte, auf denen sensible Daten gespeichert sind, gestohlen werden und der Diebstahl zu einer Datenpanne führt, können die Auswirkungen erheblich sein. Die bislang größte HIPAA-Strafzahlung ist auf vier gestohlene Geräte zurückzuführen, auf denen 4.000.000 Patientendatensätze in Klartext gespeichert waren.

 

Unternehmen müssen zwar weiterhin Leitlinien vorgeben und Mitarbeiter darin schulen, wie Daten sicher gespeichert werden. Identitäts- und Sicherheitsexperten sollten jedoch auch weitere Schritte tätigen, um die Mitarbeitergeräte zu schützen. Moderne MFA-Lösungen stellen unterstützte Integrationen mit Systemen zur Desktop- und Laptop-Anmeldung genau zu diesem Zweck bereit.




Eine häufige Sorge in diesem Zusammenhang ist der Bedarf an einer Offline-Option, wenn das Gerät des Endbenutzers nicht mit dem Internet verbunden ist. Diese Sorge ist berechtigt. Daher ist beim Implementieren von MFA für diesen Anwendungsfall ein Offline-Modus extrem wichtig. Sehen Sie sich die folgende Demo an. Sie zeigt den Offline-MFA-Ablauf bei einer Windows-Anmeldung für den Endbenutzer:



Persona: der sorglose Verbraucher

Angriffsvektor: Kontoübernahme

 

Nach dem Equifax-Datendiebstahl änderten Millionen von Nutzern eilig ihre Anmeldedaten und ihre Antworten auf Fragen zur wissensbasierten Authentifizierung (KBA) für verschiedene Websites, die ihre sensiblen Daten enthielten.

 

Wirklich?

 

Nun, in den meisten Fällen war das nicht so. Nicht einmal eine Sicherheitsverletzung von diesem Ausmaß bewirkte, dass Kunden weltweit ihr Verhalten änderten. Die Wiederverwendung von Anmeldedaten ist auch heute noch hoch im Kurs und das Passwort ist noch längst nicht tot. Deshalb können Hacker weiter die Nonchalance von Verbrauchern ausnutzen und mithilfe von langsamen Angriffen zum Knacken von Anmeldedaten oder Credential-Stuffing-Angriffen die Ratenlimits der Verbraucherauthentifizierungssysteme von Unternehmen umgehen.


„Laut Daten von ThreatMetrix machten Kontoübernahmeversuche von Kriminellen mit gestohlenen Identitätsdaten fast 17 Prozent aller Anmeldeversuche im Einzelhandel aus.”


Und es wird noch schlimmer. Verbraucher sträuben sich gegen den Einsatz von Multifaktor-Authentifizierung als Lösung dieses Problems. Fast sieben Jahre nach Einführung des ersten kostenlosen 2FA-Dienstes von Google nutzen noch nicht einmal 10 % der aktiven Nutzer diese Technologie. Das SANS Institute untersuchte die Gründe für diese schleppende Einführung. Sie sind in der folgenden Tabelle zusammengefasst:




Diese Zurückhaltung der Verbraucher zu überwinden, wird nicht einfach sein. Wenn die häufigste Antwort aus der SANS-Umfrage („Ich war zu beschäftigt“) jedoch auf den Großteil der Benutzer zutrifft, ist Abhilfe einfach. Eine attraktive Verbraucher-MFA-Lösung muss sowohl die Sicherheit als auch die Bequemlichkeit steigern, ohne den Zeitaufwand für alltägliche digitale Interaktionen zu erhöhen. Um Kunden von MFA zu überzeugen, muss man einen expliziten, nicht sicherheitsbezogenen Vorteil bieten.

 

Viele Unternehmen machen diese digitalen Interaktionen komfortabler, indem sie MFA in ihre Mobilanwendungen für Kunden einbetten. Out-of-Band-Push-Authentifizierungsmechanismen (Wischen, Tippen, Biometrie) können problemlos verschiedene zeitaufwendige Verfahren ersetzen, die heute noch einen Telefonanruf oder die erneute Eingabe von Zugangsdaten erfordern. Zurücksetzungen von Passwörtern, Kundenserviceanrufe zur Identitätsüberprüfung und Genehmigungen für Transaktionen großer Beträge sind nur ein paar Beispiele, bei denen Kunden durch eine Mobil-Push-Authentifizierung Zeit sparen können und zugleich von höherer Sicherheit profitieren.

 

MFA verschafft Ihnen einen Vorsprung gegenüber Hackern

Das Rennen um sichere Unternehmensressourcen hat begonnen – argwöhnisch beäugt von einer wachsenden Zahl an Hackern, die nur darauf warten, Ihre Daten zu stehlen. Moderne Authentifizierungslösungen schützen Unternehmen vor den gängigsten Angriffsvektoren, ohne den Zugriff von Mitarbeitern, Partnern oder Kunden zu beeinträchtigen. Identitäts- und Sicherheitsexperten sollten alle Anwendungsfälle berücksichtigen, die jetzt und in Zukunft MFA erfordern könnten, und dann eine Lösung planen, die auf den prognostizierten Geschäftsanforderungen basiert. Eine umfassende MFA-Bereitstellung kann auch die Mitarbeit von Unternehmensarchitekten erfordern, von denen viele bereits auf eine zentral verwaltete Authentifizierungsautorität hinarbeiten.

 

Sehen Sie sich unser aktuelles Webinar an, um mehr über häufige Anforderungen zu erfahren. Sobald Sie Ihre Anforderungen für eine Lösung zusammengestellt haben, kann Ihnen der (MFA-Käuferleitfaden) helfen, die richtige Entscheidung für Ihr Unternehmen zu treffen.