Anzeige

Mythen und Fakten

Mythen sind eigentlich vor allem eins: unterhaltsam. Allerdings gibt es auch gefährliche Mythen, wie die über Cybersicherheit. Denn ein falsches Verständnis darüber, wie eine Person sich digital schützen kann, führt mitunter zu verheerenden Sicherheitsverletzungen. Daher ist es an der Zeit, die sieben größten Cybersecurity-Mythen zu enttarnen und Unternehmen besser zu schützen.

1. Multi-Faktor-Authentifizierung verhindert Credential Stuffing

Multi-Faktor-Authentifizierung (MFA) ist zwar ein Cybersicherheits-Tool, verhindert aber nicht Credential Stuffing. Versucht sich ein Hacker mit falschen Anmeldedaten einzuloggen, reagiert der Server mit einer Fehlermeldung. Sind die Anmeldedaten korrekt, fordert der Server einen zweiten Authentifizierungsfaktor an. Dadurch erhalten Angreifer nützliche Informationen. Mit den korrekten Anmeldedaten können sie sich auf Schemata konzentrieren und z. B. per Social Engineering, Portierungsbetrug oder SIM-Swapping einen Zugang für den zweiten Authentifizierungsfaktor erhalten. 

2. Nur ein Bruchteil des Login-Traffics ist automatisiert

Unternehmen unterschätzen, welche Bedrohung automatisierte Methoden darstellen. Mit u.a. Botnetzen, offenen Proxyservern, kompromittierten IoT-Geräten, gemeinsam genutzten VPNs und virtuellen Servern können Angreifer unter Verwendung von vielen Millionen IPs aus aller Welt verteilte Angriffe starten. Vorhandene Gegenmaßnahmen, wie etwa Web Application Firewalls, erkennen in der Regel nur einen geringen Anteil des Angriff-Traffics. Deshalb verfehlen viele Gegenmaßnahmen IPs mit geringem Datenverkehr. Doch gerade diese sind oftmals für den meisten Angriff-Traffic verantwortlich.

3. CAPTCHA stoppt Bots

CAPTCHAs führen zwar manchmal bei Personen vor dem Bildschirm zu erhöhtem Blutdruck, sind für Angreifer jedoch kein wirkliches Hindernis. Längst gibt es menschliche Click-Farmen – wie etwa das russische Unternehmen 2CAPTCHA – die Betrügern einen automatisierten API-Zugang anbieten, den ganzen Tag CAPTCHAs lösen und somit automatisierte Angriffe möglich machen.

4. Finanzdaten- und Treuepunkt-Aggregatoren nehmen Sicherheit ernst

Viele Anwender nutzen einen Finanzdaten-Aggregator, um sich in Online-Bankkonten einzuloggen. Sie erhalten so einen Überblick über ihren Finanzstatus und müssen sich nicht jedes Mal neu einloggen, wenn sie mehrere Bankkonten besitzen. Gleiches gilt für Treuepunkt-Aggregatoren. Allerdings wird zunächst für jedes Konto der Benutzernamen und das Passwort abgefragt, um es mit dem Aggregator zu verlinken. Hacker nutzen gestohlene Benutzer-/Passwort-Paare, die sie im Dark Web gekauft haben, und testen diese in Login-Formularen von hunderten Internetseiten über Aggregatoren. Da viele Menschen Benutzernamen und Passwörter häufig wiederverwenden, erhalten Kriminelle so mithilfe von Credential Stuffing Zugang zu tausenden Benutzerkonten. 

5. Cybersicherheit ist für den Einzelnen immer anstrengend

Das ist falsch, denn gute Cybersicherheit funktioniert, ohne dass der Nutzer es überhaupt merkt oder beeinträchtigt wird. Verhaltensbezogene Biometrie läuft im Hintergrund und analysiert Tastenanschläge, Touch-Befehle, Mausbewegungen und Geräteausrichtung, um ein Nutzerprofil zu erstellen und sicher aufzubewahren. Diese Daten werden analysiert und bewertet, um eine Regelmäßigkeit zwischen dem aktuellen Verhalten des Benutzers und seinem bisherigen und zu erwartenden Verhalten zu berechnen. So wird verhindert, dass Angreifer Konten übernehmen. Diese Art von Cybersicherheit ist viel sicherer als traditionelle Logins. 

6. Ohne Verlust gibt es keinen Betrug

Betrug ist immer Betrug, auch ohne Datenverlust. Sobald ein Hacker eine Täuschung vornimmt, beispielsweise indem er sich Zugang auf ein E-Mail-Konto verschafft, handelt es sich um einen Betrug, auch wenn noch kein Schaden entstanden ist. Es gibt durchaus einige Angriffsarten, die sich zunächst einen Zugang verschaffen und dann erst einmal abwarten. Dennoch handelt es sich um Betrug. So ist es nicht ungewöhnlich, dass Unternehmen infiltriert werden, lange bevor sie einen Angriff entdecken. 

7. Passwortrichtlinien sollten bestimmte Zeichen beinhalten

Sonderzeichen machen ein Passwort nicht notwendigerweise sicherer. Das Beispiel in der nachstehenden Tabelle zeigt, dass „Watch4T!m3“ ein stärkeres Passwort als „qwerty“ ist. „Caterpillar Motorboat Tree January“ ist jedoch dreimal so stark wie „Watch4T!m3“, obwohl es kein einziges Sonderzeichen enthält. Daher sollten Nutzer eher längere Passwörter verwenden. Passwörter mit willkürlichen Sonderzeichen sind nicht sicherer, sie sorgen nur für Frust beim Nutzer.

Bernd Achatz, Technischer Direktor bei F5 Networks, www.f5.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Home Office Security
Mai 04, 2020

Die Folgen der Coronakrise für die IT-Sicherheit

Die Corona-Pandemie hat die Welt in vieler Hinsicht stark verändert und auch vor der…

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!