Thought Leadership
Nutzername-Kennwort-Kombinationen stellen für Cyberkriminelle längst keine Hürde mehr dar. Im Darknet gibt es Milliarden dieser Log-in-Daten zu erwerben. Und doch zeigen sich viele User davon unbeeindruckt: Wie aktuelle Studienergebnisse von Yubico zeigen, verlassen sich noch heute 59 Prozent der Mitarbeitenden auf Passwörter als zentrale Methode zur Authentifizierung ihrer Konten – eine Bequemlichkeit, die Unternehmen teuer zu stehen kommen kann.
Die Authentifizierung spielt in einer komplexen Unternehmensumgebung eine wichtige Rolle, denn sie entscheidet darüber, ob Cyberangriffe von Erfolg gekrönt sind und im Zweifelsfall massiven Schaden anrichten. Ineffektive Authentifizierungsmethoden bergen nicht nur Sicherheits- sondern auch Produktivitätsrisiken. Die moderne Multi-Faktor-Authentifizierung bietet, insofern sie richtig durchgeführt wird, eine relativ einfache, erschwingliche und effektive Möglichkeit für jede Organisation, ihre Sicherheit zu verbessern. Leider nutzen sie viele Unternehmen noch nicht zu ihrem Vorteil, wie die Yubico-Umfrage zum Stand der globalen Unternehmensauthentifizierung zeigt.
Wahrnehmung vs. Realität
Knapp jeder vierte Deutsche ist überraschenderweise davon überzeugt, dass die Benutzername-Passwort-Kombination die sicherste Form der Authentifizierung darstellt – trotz all der eindringlichen Warnungen der vergangenen Jahre samt Unternehmensschulungen, die die Risiken, die mit der Verwendung von Passwörtern einhergehen, thematisierten. Im Übrigen vertraut ein Fünftel der Deutschen auf die mobile Authentifizierung per SMS, die aufgrund des hohen Phishing-Risikos als unsicherste Form der Multi-Faktor-Authentifizierung gilt.
Angesichts der Tatsache, dass kaum ein Monat vergeht, an dem Nachrichten über erfolgreiche Phishing-Angriffe nicht in den Schlagzeilen landen, verwundert, dass, den Recherchen von Yubico zufolge, 74 Prozent der Deutschen der Meinung sind, dass die Authentifizierungsoptionen, die ihr Unternehmen anbietet, ausreichend Sicherheit bieten. Fakt ist: Die Bedrohungslage ist so prekär wie nie zuvor – 78 Prozent der Befragten waren in den vergangenen zwölf Monaten privat oder beruflich einem Cyberangriff ausgesetzt. Von Spear-Phishing über Whaling und Vishing bis hin zu Smishing – wie die Umfrage gezeigt hat, ist jede Gefährdung durch Cyberangriffe mit beunruhigenden Risiken und der hohen Wahrscheinlichkeit eines möglicherweise verheerenden Schadens verbunden. Weniger als 30 Prozent der Befragten sahen keine Konsequenzen als Folge von Angriffen, während 35 Prozent von einem Imageschaden und weitere 35 Prozent von Gewinneinbußen berichteten. Alarmierend ist auch, dass 20 Prozent aufgrund eines erfolgreichen Cyberangriffs ihre Geschäfte einstellen mussten.
Wie effektiv sind die Korrekturen?
Angesichts der weitreichenden Folgen eines erfolgreichen Cyberangriffs könnte man meinen, Unternehmen seien bestrebt, robuste Upgrades einzuführen – doch das ist bei weitem nicht überall der Fall. Dabei ist ein Zurücksetzen von Benutzernamen und Passwörtern nicht ausreichend, denn diese Reaktion verhindert nicht das erneute Stehlen der Daten. Sicherheitstrainings schärfen zwar das Risikobewusstsein aller Beteiligten, tragen aber allein auch nicht dazu bei, das Problem zu bekämpfen. Hinzu kommt, dass 18 Prozent der Unternehmen in Deutschland die Multi-Faktor-Authentifizierung nicht für alle Anwendungen und Dienste eingeführt hat, weil sie einen Angriff für unwahrscheinlich hält. Auch die Einführung geht nur langsam vonstatten: zu teuer (19 Prozent), zu zeitaufwendig (16 Prozent), zu kompliziert (15 Prozent) und außerdem unnötig (16 Prozent) sei die Multi-Faktor-Authentifizierung, so die Meinung der Befragten.
Solange jedoch die wahrgenommenen Hindernisse die Vorteile zu überwiegen scheinen, sind die Risiken nicht von der Hand zu weisen – zumal es die Unternehmen sind, die das Sicherheitsbewusstsein kultivieren. Will heißen: Wie ernst es die Mitarbeiter mit der Cybersicherheit nehmen, hängt in hohem Maße von ihrem Arbeitgeber ab. So kommt es, dass die Cyberhygiene in Deutschland stark verbesserungsbedürftig ist: 55 Prozent der Mitarbeiter geben zu, in den vergangenen zwölf Monaten ein Passwort notiert oder weitergegeben zu haben. Die Forderung nach einer Phishing-resistenten Multi-Faktor-Authentifizierung für alle Konten würde verhindern, dass sich diese Schwachstellen zu einem ernsthaften Problem auswachsen.
Phishing-resistente MFA für eine starke, konforme Sicherheitslage
Die Cyberrisiken werden sich in naher Zukunft nochmals verschärfen: Da zu erwarten ist, dass die Zahl der Angriffe weiter steigt, die Compliance-Anforderungen wachsen und die zu erwartenden Schäden größer werden, sollten Unternehmen an einer starken Multi-Faktor-Authentifizierung (MFA) arbeiten. Mit der Phishing-resistente MFA lassen sich dabei die größten Fortschritte erzielen. Denn mit dieser Authentifizierungsmethode ist es unerheblich, ob Hacker Zugang zu den Anmeldedaten eines Benutzers erhalten. Da sie nicht in der Lage sind, die zweite MFA-Schicht zu kompromittieren, schlagen ihre Angriffsversuche fehl.
Angesichts der Tatsache, dass viele Unternehmen mit Phishing-Attacken konfrontiert sind, jedoch immer noch auf eine Ein-Faktor-Authentifizierung setzen, ist eine stärkere Authentifizierungsmethode zwingend erforderlich. Physische Sicherheitsschlüssel sind ideal für die Anmeldung bei Online-Konten, da sie das Risiko von Remote-Angriffen vollständig ausschließen. Sie enthalten einen eindeutigen kryptografischen Code, der nicht extrahiert werden kann. Die FIDO2-Protokolle stellen sicher, dass die Schlüssel nur auf vertrauenswürdige Quellen antworten. Anders als bei der Authentifizierung per SMS oder einer mobilen App darf nur der registrierte Dienst die Authentifizierungsanfrage initiieren. Ein Hardware-Sicherheitsschlüssel ermöglicht es Nutzern, sich für eine Vielzahl von Diensten zu registrieren, wobei für jeden Dienst ein eindeutiges öffentliches oder privates Schlüsselpaar erzeugt wird.
Zwischen den Diensten findet kein Austausch statt, und der private Schlüssel wird sicher auf dem Hardwareschlüssel gespeichert, sodass er sich nicht exfiltrieren lässt. Hinzu kommt, dass diese Hardware-Sicherheitsschlüssel eine Berührung erfordern, um die Anwesenheit des Nutzers unter Beweis zu stellen. So lassen sich Fern-, MiTM- und Phishing- Angriffe unterbinden. Die Sicherheitsschlüssel sind in einer Vielzahl an Formfaktoren erhältlich, um eine einfache Verbindung mit diversen Geräten zu ermöglichen – darunter auch kontaktlos für Mobilgeräte.
Allerdings hat die Umfrage ergeben, dass nur 15 Prozent der Unternehmen in Deutschland Hardware-Sicherheitsschlüssel als Reaktion auf einen erfolgreichen Cyberangriff im Einsatz haben. Doch selbst wenn die aktuell eingesetzte mobile Authentifizierung heute noch als „gut genug“ erachtet wird, erfüllt sie möglicherweise nicht die künftigen MFA-Compliance-Standards. Eine zukunftssichere Investition in eine starke Authentifizierung sollte ein Unternehmen für die langfristige Compliance rüsten.
