wladimir1804 - stock.adobe.com
Tipps für eine Modernisierung der Authentifizierung
Die Rahmenverordnungen zu Datenschutz und Datensicherheit liefern wenige Hinweise, wie die Modernisierung der Authentifizierung praktisch auszusehen hat. Eine Checkliste hilft da.
Unternehmen investieren zunehmend in die Modernisierung ihrer digitalen Authentifizierungsprozesse. Eigentlich eine gute Sache. In den letzten Jahren sind zahlreiche neue Verfahren auf den Markt gelangt, deren Implementierung Anmeldeverfahren sicherer und nutzerfreundlicher machen kann. Das ist auch zwingend nötig. Denn die Zahl der durch Cyberangriffe verursachten Schäden hat seit Beginn der Coronapandemie und dem damit verbundenen Anstieg der weltweiten Online-Aktivitäten stark zugelegt – auch in Deutschland. Laut einer Umfrage des deutschen digitalen Branchenverbandes Bitkom hat die deutsche Wirtschaft 2018/19 Schäden von 103 Milliarden Euro zu verkraften gehabt. Nun, 2020/21, hat sich diese Zahl mehr als verdoppelt – auf 220 Milliarden Euro. Eine Umfrage von Yubico zeigt warum: viele Unternehmen haben erhebliche Schwierigkeiten, ihren Authentifizierungsprozess dem aktuellen Stand der Technik anzupassen. Mehr als drei Viertel der Befragten gab in der Umfrage zu Protokoll, dass das IT-System ihres Unternehmens nur über einen einfachen Authentifizierungsprozess verfügt. Und: nicht wenige nutzen Authentifizierungsverfahren, die sich längst als unsicher herausgestellt haben. Der Hauptgrund: mangelndes Hintergrundwissen.
Unternehmen mangelt es an Basiswissen zur Authentifizierung
Die Studie Work-from-Home Policies Driving MFA Adoption, But Still Work to be Done (gegen Registrierung) zeigt: viele Unternehmen sind sich noch nicht einmal der Risiken bewusst, die den verschiedenen Authentifizierungsverfahren innewohnen. So zählen mobile Verfahren, wie OTP-Authentifizierungen (One Time Password), Push-Benachrichtigungs-Authentifizierungen und SMS-basierte Authentifizierungen nach wie vor zu den populärsten Anmeldeverfahren – nicht zuletzt aufgrund ihrer hohen Nutzerfreundlichkeit. Das Problem: Nutzerfreundlichkeit wird damit über Sicherheit gestellt. Denn wirklich sicher sind solche mobilen Verfahren, die auf Handys und Smartphones setzen, längst nicht mehr. Gleichzeitig werden nachgewiesen sicherere Verfahren, wie Smart Cards und Hardware-Sicherheitsschlüssel, kaum genutzt
Hinzu kommt: Meist sind es die Kunden und einfachen Mitarbeiter, die im Fokus der Angreifer stehen. Dennoch beschränken viele Unternehmen starke Authentifizierungsprozesse auf privilegierte Nutzer, wie ihre IT-Administratoren oder das obere Management. Und: in vielen Unternehmen mangelt es der gesamten Belegschaft am nötigen Sicherheitsbewusstsein, um Angriffe auf ihre Anmeldedaten zu erkennen und zu melden. Dennoch sind Schulungen und Trainingseinheiten in den meisten Unternehmen nach wie vor Mangelware. Dabei setzen die Angreifer gerade hier an, wenn es darum geht, die Authentifizierungsprozesse ihrer Opfer zu unterlaufen.
Anmeldedaten – Angriffsziel Nr. 1 der Cyberkriminellen
Anmeldedaten sind die begehrtesten Beutedaten von Cyberkriminellen. Im Regelfall erfolgen ihre Angriffe in zwei Phasen. Zunächst verschaffen sie sich Zugriff auf die Zugangsdaten des von ihnen anvisierten Opfers. Über diese dringen sie dann in das Opfersystem ein, wo sie Malware installieren, mit deren Hilfe dann der eigentliche Angriff gestartet werden kann. Laut dem 2021 Verizon Data Breach Investigations Report lassen sich 89 Prozent aller Sicherheitspannen bei Webanwendungen auf solche Missbräuche von Anmeldedaten zurückführen. Die Zugangsdaten werden dabei ebenfalls über einen Angriff gewonnen. Am häufigsten kommen hier nach wie vor Social-Engineering-basierte Attacken, wie Phishing- und Spear-Phishing-Angriffe, zum Einsatz. Opfer werden über E-Mail-Nachrichten manipuliert und unter Vorspielen falscher Tatsachen zur Offenlegung ihrer Anmeldedaten gedrängt. Doch auch Brute Force-Attacken sind weit verbreitet; ebenso wie SIM- Swapping-Angriffe, bei denen Angreifer die Mobilfunkanbieter ihrer Opfer manipulieren, damit diese Anrufe und Nachrichten an die Telefonnummer des Opfers auf die SIM-Karte des Angreifers umleiten. Eben deshalb sind mobile Authentifizierungsverfahren längst nicht mehr so sicher wie gemeinhin angenommen.
Wo also sollte eine Modernisierung ansetzen? Was sollte man bei der Implementierung beachten? Rahmenordnungen zum Datenschutz und zur IT-Sicherheit liefern hier nur vage Hinweise. Die Europäische Datenschutz-Grundverordnung (DSGVO) hüllt sich weitestgehend in Schweigen. Auch andere Rahmenordnungen, wie der ISO/IEC 27001/2, der EU Cybersecurity Act, die eIDAS-Verordnung oder das NIST Cyber Security Framework, halten sich bedeckt. Nur in zwei Punkten scheint Klarheit zu herrschen. Um effektiv Datenschutz und Datensicherheit gewährleisten zu können, müssen Authentifizierungen sich am aktuellen Stand der Technik orientieren und: auf starke Authentifizierungsprozesse setzen.
Starke Authentifizierungsprozesse – der Schlüssel zum Erfolg
Stark ist ein Authentifizierungsprozess immer dann, wenn er sich auf mehr als eine Authentifizierungsmethode stützt. Drei Methoden stehen für eine Kombination zur Auswahl: Erstens solche, die sich auf Wissen – auf ein Passwort oder eine PIN – stützen. Zweitens solche, die auf den Besitz – auf ein Endgerät, wie ein Handy, oder einen Hardware-Sicherheitsschlüssel – setzen. Und drittens solche, die den Anfragenden über dessen körperliche Eigenschaften – über Scans seines Gesichts, seiner Iris oder seiner Fingerabdrücke – authentifizieren. Starke Authentifizierungsprozesse setzen auf eine Kombination von zwei (2-Faktor-Authentifizierung) oder sogar drei Methoden (Multifaktor-Authentifizierung) – wobei Letztere nicht zwingend sicherer sein muss. Denn für die Aneignung von Passwörtern und PINs stehen Cyberkriminellen – wie oben beschrieben – längst geeignete Werkzeuge und Verfahren zur Verfügung. Zudem wird die erste Methode häufig mit der zweiten kombiniert. Einmalpasswörter, SMS-Codes und Push-Benachrichtigungen werden über das Smartphone verschickt. Einem Angreifer muss hier nur ein SIM Swapping-Angriff gelingen, schon stehen ihm die Anmeldedaten seines Opfers frei zur Verfügung.
„Lassen Sie Ihren Authentifizierungsprozess auf einem Zero Trust-Modell basieren. Betrachten Sie jede Zugangsanfrage als potenziellen Angriff – egal von wem, egal von wo.“
Alexander Koch, Yubico
Sicherer ist deshalb eine Kombination aus zweiter und dritter Methode, wobei man bei der zweiten auf Hardware-Sicherheitsschlüssel setzen sollte. Denn diese benötigen keine Netzwerkverbindung oder Software und speichern keine Daten, was es Cyberkriminellen praktisch unmöglich macht, sich online Zugriff auf ihre Daten zu verschaffen. Dazu müssten sie den Schlüssel schon physisch entwenden. Der damit verbundene Aufwand – die Kosten und Risiken – dürfte die meisten von ihnen vor solch einer Aktion aber zurückschrecken lassen.
Checkliste für einen optimierten Authentifizierungsprozess
Wollen Unternehmen ihren Authentifizierungsprozess modernisieren und dabei sowohl Compliance als auch Sicherheit und Nutzerfreundlichkeit im Blick behalten, sollten sie sich auf die Sicherstellung der folgenden sechs Punkte konzentrieren:
1. Implementieren Sie einen starken Authentifizierungsprozess
Nur diese senken das Risiko einer unerlaubten Übernahme ihrer Nutzerkonten durch Dritte auf ein vertretbares Niveau. Und: mit ihnen sind sie auch in Punkto Compliance stets auf der sicheren Seite.
2. Vermeiden sie Passwörter, PINs und mobile Authentifizierungsverfahren
Jahrzehntelang waren diese Verfahren im Einsatz. Längst haben Cyberkriminelle Tools und Angriffstechniken entwickelt, um an die Passwörter und PINs ihrer Opfer zu gelangen. Auch die Schwachstellen mobiler Authentifizierungsverfahren wissen sie mittlerweile zu nutzen.
3. Setzen Sie stattdessen Hardware-Sicherheitsschlüssel
Unter den unterschiedlichen Authentifizierungsprotokollen erfüllen derzeit nur moderne FIDO U2F und FIDO2/WebAuthn-Protokolle, wie sie moderne Hardware-Sicherheitsschlüssel nutzen, die Anforderungen an starke und moderne Authentifizierungsverfahren.
4. Machen Sie Zero Trust zum Grundsatz ihres Authentifizierungsprozesses
Vertrauen Sie niemandem. Lassen Sie Ihren Authentifizierungsprozess auf einem Zero Trust-Modell basieren. Betrachten Sie jede Zugangsanfrage als potenziellen Angriff – egal von wem, egal von wo.
5. Verlieren Sie die Nutzerfreundlichkeit ihres Anmeldeverfahrens nicht aus den Augen
Ihr Authentifizierungsprozess kann nur effektiv wirken, wenn er von den Nutzern auch angenommen wird. Achten sie deshalb bei der Konzipierung und Implementierung ihres Prozesses auch auf dessen Nutzerfreundlichkeit.
6. Schulen und trainieren Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter
Am Anfang eines jeden Missbrauchs der Anmeldedaten steht deren Entwendung durch einen Angreifer. Vergessen Sie deshalb über ihren technischen und organisatorischen Maßnahmen nicht die Bildung Ihrer Mitarbeiter in IT-Sicherheitsfragen. Schaffen Sie ein Bewusstsein, dass es der Belegschaft ermöglicht, Social-Engineering-Angriffe rechtzeitig zu erkennen und zu melden.
Sofern Unternehmen sich an diese Vorgaben halten, sollte es ihnen problemlos möglich sein, ihre Authentifizierungsprozesse erfolgreich – und ganz im Rahmen der derzeit gültigen Compliance-Vorgaben – umzusetzen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.