Zwei-Faktor-Authentifizierung

"Hacker tragen gerne Schafspelz!"

11. November 2015, 11:26 Uhr | Axel Pomper, funkschau (Quelle: Prosoft) | Kommentar(e)
© Phimak - fotolia

Unsere Haustür. Hinter ihr fühlen wir uns sicher. Sie ist Bollwerk gegen unerwünschte Eindringlinge und eine gut gesicherte Schwelle, die jeder nehmen muss, wenn er bei uns Einlass will: Der Besucher muss sich unzweideutig zu erkennen geben. Ganz ähnlich, so sollte man meinen, verhält es sich mit dem elektronischen Zugang zum Unternehmensnetz. Doch bei vielen, gerade mittelständischen Organisationen klafft ausgerechnet am "Haupttor" zu ihren wertvollen Informationsbeständen eine merkliche Sicherheitslücke.

Wir öffnen niemals jemandem die Türe, der sich nicht zweifelsfrei zu erkennen gibt. Das haben wir von Kindesbeinen an gelernt und ist uns selbstverständlich.

Warum nur, müssen wir uns also fragen, werfen wir diesen eisernen Grundsatz so leichtfertig über Bord, wenn es um den Zutritt zu Unternehmensnetzen geht? Um den Zugriff auf Daten und Informationsbestände von unersetzlichem Wert für den Geschäftserfolg? Die immense Zunahme massiver Datenlecks und gezielter Angriffe, besonders auf große Organisationen mit klingenden Namen, schickt eine klare Botschaft: Die Unternehmen sind nicht ausreichend vor unerwünschtem Besuch geschützt. Das trifft nicht nur auf so öffentlich exponierte Konzerne wie Sony (77 Millionen gestohlene Datensätze), Ebay (145 Millionen gestohlene Datensätze) oder Adobe (152 Millionen gestohlene Datensätze) zu.

Auch für den deutschen Mittelstand zieht jetzt zum Beispiel das Marktforschungsunternehmen Techconsult eine ernüchternde Bilanz: Im Rahmen ihrer jüngsten Studie zum Sicherheitsstatus in Deutschland („Security Bilanz Deutschland 2015“) haben die IT-Analysten festgestellt, dass für den Mittelstand beim Thema IT- und Informationssicherheit „weiterhin dringender Handlungsbedarf“ besteht. Danach schätzen die befragten Unternehmen ihre eigene Realisierung von Sicherheitsmaßnahmen und -konzepten durchweg negativer ein, also noch im vergangenen Jahr. Selbst bei grundlegenden und einfachen Lösungen, wie der Anwendung von Passwortrichtlinien, räumt mehr als die Hälfte der Organisationen ein, diese nicht gut umgesetzt zu haben (48 Prozent in 2014).

Datenklau und „Faktor Mensch“ – die Schwächen der alleinigen Passwortnutzung

Dabei ist doch gerade der korrekte, konsequente Gebrauch sicherer Passwörter die Zauberformel, die den Weg zu den Datenschätzen des Unternehmens frei macht. Bis heute gilt das Passwort als eines der grundlegenden Mittel, wenn es um die Authentifizierung von Netzwerkbesuchern geht. Also um die eindeutige Feststellung, ob die Person, die um „Einlass“ bittet, auch tatsächlich diejenige ist, die sie vorgibt zu sein. Traditionell gilt: Meldet sich ein Nutzer mit dem richtigen Passwort an, so ist das der Beweis seiner Authentizität. Doch stellt allein ein korrektes Zugangswort wirklich eindeutig fest, wer es gerade eingegeben hat? Wer am Rechner sitzt oder gerade das Smartphone nutzt? Und was – das ist die wohl immer noch größte Schwäche der alleinigen Passwort-Lösung – wenn Kennwörter versehentlich ausgeplaudert, vergessen oder gestohlen werden?

Vor allem die wachsende Verbreitung so genannter Botnets – also automatisierte Computerprogramme, die auf vernetzten Rechnern laufen und deren lokale Ressourcen nutzen – macht den Diebstahl von Zugangsdaten immer leichter. Besonders hoch ist das Risiko durch eingeschleppte, mit Trojanern infizierte USB-Sticks, die den angegriffenen PC im Handumdrehen zum Botnetz-Zombie und den Weg frei machen – für das Abfangen und den Missbrauch von Benutzerdaten, insbesondere Passwörtern.

Als wahre „Plage“ bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) das gezielte „Angeln nach Passwörtern“, das s.g. Phishing. Hierfür manipulieren die Betrüger Internetseiten und versenden massenweise gefälschte E-Mails, die den Empfänger dazu verleiten, seine Zugangsdaten ganz freiwillig herauszugeben. Etwa, weil er „aus Sicherheitsgründen“ vermeintlich seine Bankdaten neu bestätigen muss oder seine bisherigen Anmeldeinformationen verloren gegangen sind.

Auch die gezielte, soziale Manipulation der Opfer, das „Social Engineering“, hat sich zu einer wachsenden Bedrohung für die Passwortsicherheit entwickelt. Hierbei nutzen die Angreifer den „Faktor Mensch“ als Schwachstelle aus. Sie erkunden z.B. das soziale Umfeld der Zielpersonen und machen sich bestimmte, erkennbare Verhaltensmuster zunutze, um schließlich an geheime Daten und Nutzerinformationen zu gelangen. Kenntnisse über Neigungen oder soziale Verbindungen der Anwender machen es den Betrügern leicht, das Vertrauen eines autorisierten Nutzers zu gewinnen und diesen dazu zu verleiten, den Zugriff aufs Unternehmensnetzwerk zu gewähren und Zugangsdaten preis zu geben.

Ob über Botnets, Schwachstellen in gängigen Computerprogrammen oder Social-Hacking-Attacken – Passwörter sind nach wie vor ein überaus beliebtes Ziel von Cyberkriminellen und bieten alleine keinen ausreichenden Schutz.

Anbieter zum Thema

zu Matchmaker+

  1. "Hacker tragen gerne Schafspelz!"
  2. Enormer Sicherheitsgewinn: Aus Eins mach Zwei
  3. Gar nicht so kompliziert: BYOT - Bring-Your-Own-Token
  4. Fünf Tipps für eine erfolgreiche Einführung von 2FA

Das könnte Sie auch interessieren

Verwandte Artikel

ProSoft Software Vertriebs GmbH, Techconsult

securityXpert

Matchmaker+