Hacking

Wie gut ist Ihr Unternehmen vor Hacking geschützt?

/in , /von

Fehlende Zugriffsrichtlinien, schlechte Passworthygiene und mangelndes Bewusstsein für Social Engineering: Der Mensch ist der größte Risikofaktor für Ihre IT-Sicherheit. Das muss nicht sein. Eine umfassende Lösung zur Identity Protection wie DoubleClue schützt Ihre Mitarbeiteridentitäten und Zugriffe vor Missbrauch – und verbessert den internen Workflow compliancekonform für reibungslose Betriebsabläufe.

Social Engineering: Der Mensch im ­Zentrum der Hacker

Die Digitalisierung bringt eine große Herausforderung mit sich: die Sicherstellung, dass nur befugte Personen Zugriff auf bestimmte Devices, Applikationen und Daten erhalten. Dies umfasst neben einer Absicherung vor technischen Angriffen (Firewall, VPN-Clients und Anti-Virensoftware) auch eine soziale Komponente.

Denn moderne Hacking-Angriffe setzen längst auf den größten Schwachpunkt in Ihrer IT-Landschaft: den Faktor Mensch. Und dessen Nachlässigkeit im Umgang mit grundlegenden Sicherheitsvorgaben: zu kurze oder mehrfach genutzte Passwörter, eine mangelnde Sensibilisierung für Social Engineering oder schlicht zu lasche Einstellungen im Bereich des Identitäts- und Zugriffsmanagements bilden das Einfallstor für kriminelle Machenschaften.

DoubleClue: IT-Security für den Faktor Mensch

  • Die granulare Verteilung von Zugriffsrechten an Mitarbeitende sowie externe Ressourcen mittels umfassendem Identity and Access Management (IAM) inklusive Privileged Access Management (PAM)
  • Multifaktor Authentifizierung (MFA) schützt Mitarbeiteridentitäten vor ­Missbrauch
  • Ein zentralisiertes Passwortmanagement erhöht die Passwortsicherheit im Unternehmen und ermöglicht gleichzeitig eine angenehme User Experience
  • Zentrale, vor externen wie internen Zugriffen verschlüsselte Passwort- und ­Datenspeicherung

Genehmigungsprozesse mittels ­digitaler Signaturen automatisieren

DoubleClue bietet Unternehmen viele Möglichkeiten des User Self-Services über das System: Selbständiges Hinzufügen von Devices und Applikationen, automatisierter Passwort-Reset ohne Involvierung der Administratoren sowie digitale Freigabe von Dokumentzugriffen und Erteilung von Genehmigungen über Push-Nachrichten. Dies spart Zeit und Ressourcen bei alltäglichen Vorgängen.

Gleichzeitig sind diese Genehmigungsprozesse fälschungssicher dank Public Key Infrastructure (PKI). Somit entsprechen von DoubleClue erzeugte Push-Nachrichten den Normen des digitalen Signaturengesetzes und der PSD 2-Regulierung.

Verschlüsselte Datenspeicherung

Der integrierte DoubleClue CloudSafe ermöglicht die zentrale verschlüsselte Speicherung von hochsensiblen Dateien auf eigenen Servern (On-Premises) oder in der Cloud. Dies erlaubt einen geräteun­abhängigen Zugriff, der zudem mit internen und externen Parteien geteilt werden kann. Weiter schließt diese fortschrittliche Art der Speicherung eine Entschlüsselung durch ­Dritte aus. Somit können Passwörter und vertrauliche Unterlagen bedenkenlos in DoubleClue abgelegt werden.

Unterbrechungsfreie Workflows durch reduzierte Passworteingaben

Eine Software, die IAM, MFA und das Passwortmanagement verbindet, ermöglicht die Anmeldung per Single Sign-On (SSO). Dies bedeutet, dass sich Ihre Mitarbeiter*innen nur einmal in DoubleClue anmelden müssen, um unterbrechungsfreien Zugriff auf ihre Anwendungen zu erhalten. Das führt zu einer höheren Mitarbeiterproduktivität und -zufriedenheit in Ihrem Unternehmen.
Das innovative DoubleClue Single Sign-On bindet zusätzlich einen automatisierten Log-in zu Applikationen ein, die auf gängige Dritt-Anbieter-MFA setzen.

Bereits heute in die passwortlose ­Zukunft investieren

IT-Sicherheit bildet die Grundlage für Ihr modernes Unternehmen. Gleichzeitig muss eine zukunftsfähige Lösung bereits heute die künftigen Bedürfnisse innovativer Unternehmen abbilden.
Prognosen von Wirtschafts­expert*innen deuten darauf hin, dass Passwörter durch sicherere Authentifizierungsmöglichkeiten abgelöst werden – heute sind sie bei den allermeisten Anwendungen nach wie vor Realität.

Mit DoubleClue, der den integrierten PasswordSafe mitbringt, haben Sie eine State of the Art Softwarelösung und sind gleichzeitig für die passwortlose Zukunft gerüstet. Der innovative Funktionsumfang bildet die Grundlage für reibungslose Arbeitsabläufe und eine effiziente Zusammenarbeit in Ihrem Unternehmen. Damit ist Double­Clue die optimale und sichere Lösung für die Identity Protection.

Erfahren Sie hier mehr über DoubleClue.

Dieser Artikel ist bereits im Analyse Magazin (Analyse. #74 – Logistik und IT-Sicherheit , S. 26) im Juni 2021 erschienen.

Multifaktor Authentifizierung

Diese Formen der Multifaktor Authentifizierung sollten Sie kennen

/in /von

Der rein passwortbasierte Log-in hat ausgedient. Zumindest sollte er es haben. Unabhängig davon, ob Sie einen privaten oder beruflichen Account schützen wollen, sollten zu einer Multifaktor Authentifizierung (MFA) greifen.

Doch was ist MFA eigentlich? Kurz gesagt handelt es sich bei Multifaktor Authentifizierung um ein Authentifizierungsverfahren, das neben einem Hauptfaktor (zumeist ein Passwort) einen weiteren Faktor zur Verifizierung der Useridentität abfragt. Nur wer beide abgefragten Informationen richtig eingegeben kann, erhält Zugriff auf die angefragte Ressource. Beim zweiten Faktor unterscheidet man zudem danach, ob es sich um einen Faktor handelt, den die Person physisch besitzt (eine Hardware-Komponente) oder um etwas, dass die Person von sich aus mitbringt (biometrische Daten). Denn MFA ist nicht gleich MFA.

Wir zeigen Ihnen, welche Formen der Authentifizierung es gibt – und worin sie sich unterscheiden.

Passwort als erster Faktor

Die grundlegendste Form der Verifizierung der eigenen Identität bei Onlinediensten oder bei lokalen Applikationen ist das Passwort. Meist wird dieses in Kombination mit einem Benutzernamen oder einer E-Mail-Adresse abgefragt. Diese Form der Authentifizierung ist jedoch – wie eingangs erwähnt – anfällig für Sicherheitsvorfälle. Gerät die Kombination dieser einfachen Zugangsdaten in die Hände einer weiteren Person, kann diese sich ungehindert Zugang zum Account verschaffen und sogar den eigentlichen „Besitzer“ aussperren – etwa indem sie Passwort oder/und die hinterlegte E-Mail-Adresse ändert. Im schlimmsten Fall erhält dadurch ein Angreifer nicht nur Zugriff auf den Account, sondern kann diesen sogar gänzlich übernehmen. Daher sollten Sie auf eine alleinige Authentifizierung mit Passwort und Nutzernamen verzichten. Wann immer ein Dienst eine weitere Form der Authentifizierung anbietet, sollten Sie diese auch nutzen.

Sicherheitsfragen bieten keine Sicherheit

Bei Sicherheitsfragen handelt es sich nicht wirklich um eine Form der Multifaktor Authentifizierung. Dennoch haben die meisten von uns sie sicherlich schön öfter eingesetzt. Grundsätzlich erfüllen diese Abfragen einen ähnlichen Zweck wie die Multifaktor Authentifizierung; sie kommen dann zum Einsatz, wenn sich ein Benutzer aus dem eigenen Mail-Account „ausgesperrt“ hat und nun das Passwort zurücksetzen möchte. Oder aber, um bei Änderungen am Account die Identität zu verifizieren. Dies diente auch dazu, den oben beschriebenen Fall zu verhindern, dass jemand einfach so den Account übernehmen kann.

Leider sind die Antworten oftmals beinahe noch leichter zu erraten als das Passwort selbst. Der Name Ihres Haustiers? Lässt sich bestimmt auf Facebook oder Instagram finden! Der Mädchenname Ihrer Mutter? Über Facebook oder Instagram. Ihre Lieblingsfarbe? Sie ahnen es schon – genau, auf Facebook oder Instagram. Daher ist es wenig ratsam, diese Methode als 2. Faktor zu betrachten. Wenn überhaupt genutzt, kann man hier natürlich das System „überlisten“ und etwa statt der Farbe den Mädchennamen der Mutter an dieser Stelle eintragen. Doch seinen Sie ehrlich: Wüssten Sie das nach einem Jahr noch?

SMS- oder Voice-Code als gängigster zweiter Faktor

Eine sehr verbreitete Form der Multifakor Authentifizierung stellt der sog. SMS- oder Voice-Code dar. Bei dieser Form der Authentifizierung hinterlegen Sie eine Mobilfunk- oder Festnetzrufnummer, an die Sie zur Authentifizierung jeweils einen Code per SMS oder Sprachnachricht geschickt bekommen. Mit diesem Code wiederum verifizieren Sie sich bei der Anwendung. Die Hürden zum Einsatz dieser MFA-Methode sind gering: Die meisten von uns tragen ihr Smartphone ständig bei sich, sodass eine Authentifizierung jederzeit möglich ist. Auch die Eingabe eines vier- bis sechsstelligen Codes aus der SMS ist denkbar einfach.

Obgleich sehr verbreitet, handelt es sich hierbei um eine vergleichsweise schwache Form der Multifaktor Authentifizierung. Das liegt an mehreren Dingen:

  • Die Zustellung von SMS ist nicht fehlerfrei: Eine Zustellung ist z. B. aufgrund von Empfangsproblemen nicht möglich. Mitunter können SMS auch beim Senden „verloren“ gehen. Oder eine Zustellung länger benötigen, als das Time-out der Anwendung erlaubt.
  • Gleichzeitig sind SMS- und Telefonanrufe ebenso anfällig für Phishing und Social Engineering wie Passwörter selbst. Dies betrifft etwa die Möglichkeit, sich anhand von durch Manipulation erschlichenen Daten eine Ersatz-SIM-Karte ausstellen zu lassen.
  • Weiter könnten SMS mittels eines bereits auf Ihrem Smartphone aufgespielten Trojaners mitgelesen werden.
  • Ein Smartphone kann gestohlen werden oder verloren gehen; ist hier keine Bildschirmsperre eingerichtet, könnte ein Dritter Zugang zu Ihren Codes bekommen.

Verstehen Sie uns nicht falsch: Diese Form der MFA ist sicherer, als auf eine MFA zu verzichten. Ein aufgespielter Trojaner ist das wahrscheinlichste Szenario. Aber letztlich müssten die Daten zu Ihrem Account (Passwort/Nutzername) mit Ihren Telefondaten oder Ihrem Smartphone gestohlen werden. Zu einem Zeitpunkt, an dem ein Code gültig ist. Dies ist zusammen genommen doch recht unwahrscheinlich; oder benötigt viel Vorarbeit seitens der Hacker, um alle Informationen zu Ihnen, Ihren Passwörtern und Ihren Devices gebündelt zu erhalten.

Vertrauenswürdiges Gerät für einfache Verifizierung

Sie können ebenfalls ein Gerät, das nicht dupliziert werden kann, zur Authentifizierung verwenden. Bei diesem „vertrauenswürdigen Gerät“ kann es sich etwa um ein Smartphone handeln, das aufgrund der Zusammensetzung aus individuellen Hard- und Softwarekomponenten einzigartig ist. Meist wird zur Abfrage der Identität hierbei zusätzlich z. B. der Sperrcode des Startbildschirms genutzt, um eine missbräuchliche Nutzung des Devices auszuschließen. Die Nutzung dieser Form der Authentifizierung ist ebenfalls sehr einfach. Das Smartphone tragen wir ständig bei uns und die Eingabe unseres Sperrcodes sind wir aus dem Alltag gewohnt. Ein Verlust der Hardware kann jedoch dazu führen, dass Sie keinen Zugriff mehr auf Ihre durch MFA geschützten Services und Applikationen erhalten. Daher ist es ratsam, eine alternative Authentifizierungsmöglichkeit zu hinterlegen.

Multiwaffe Authenticator Apps

Verschiedene Hersteller bieten sog. Authenticator Apps an. Diese sind für die gängigen iOS- und Android-Versionen geeignet und können auf den allermeisten Smartphones genutzt werden. Um einen Dienst oder eine Applikation zu dem Authenticator hinzuzufügen, bieten kompatible Dienste meist den Scan per QR-Code an. Dieser wird einmalig für den Nutzer erzeugt. Nach der Verknüpfung von Authenticator und Applikation kann eine weitere Authentifizierung auf einem bestimmten Gerät mittels 2. Faktor für einen bestimmten Zeitraum ausgeschlossen werden. Dies erhöht die Nutzerfreundlichkeit erheblich.

Grundsätzlich gibt es für Authenticator Apps drei Anwendungsmöglichkeiten:

  • Push-Approvals
    Diese sind eine bequeme Möglichkeit, einen Anmeldeversuch bei einem verbunden Dienst zu bestätigen. User können den eigenen Anmeldeversuch mit einem Klick bestätigen – oder aber verdächtige Ereignisse ablehnen. Erst nach der Bestätigung wird der Zugriff freigegeben. Für eine erhöhte Sicherheit sind diese Push-Approvals nur eine festgelegte Zeit gültig.
  • Erzeugung von Einmalcodes
    Gleichzeitig erstellen Authenticator Apps Prüfcodes. Die Codeerstellung beruht meist auf der automatisierten sog. OATH TOTP (Time-based One-Time Password)-Methode; diese nutzt einen Ihnen und dem Server bekannten Schlüssel sowie die aktuelle Zeit, um alle 30 Sekunden einen neuen, individuellen Code zu erzeugen. Durch die Kurzlebigkeit dieser Codes wird selbst ein geknackter Code wertlos.
  • Biometrische Anmeldung
    Eine oft genutzte Möglichkeit ist die Anmeldung mit biometrischen Merkmalen wie Fingerabdruck oder Gesichtsscan. Diese werden einmalig in der App hinterlegt, sodass künftig keine Anmeldeinformationen mehr eingegeben müssen. Die biometrische Anmeldung gilt als besonders sicher, da deren Fälschung extrem schwer ist. Doch biometrischer Scan ist nicht gleich biometrischer Scan; je nach Hersteller kann die Sicherheit der Systeme aufgrund der Methode unterschiedlich ausfallen.

Die Authenticator Apps verbinden mehrere Vorteile für den Nutzer. Sie laufen auf herkömmlichen (mobilen) Devices, die jeder von uns ständig bei sich trägt. Gleichzeitig automatisieren sie die Anmeldung an verschiedenen Diensten oder Applikationen und sind durch ihre Einstellmöglichkeiten sehr nutzerfreundlich. Und dabei sind sie besonders sicher. Einige Authenticator Apps bieten zudem eine verschlüsselte Speicherung in der Cloud an – oder zumindest einen verschlüsselten Back-up-Token über diese. So sind diese verlust- und ausfallsicher, da diese nicht an ein einzelnes Gerät gebunden sind.

Hardware-Token

Eine weitere Möglichkeit ist die Nutzung von sog. Hardware-Token. Dies sind kleine Speicherchips mit je nach Hersteller verschiedenem Erscheinungsbild und Funktionsumfang. Ebenso wie Authenticator Apps diesen sie zur Erzeugung von Einmalpasswörtern, weshalb sie auch unter dem Begriff OTP-Token (One-Time Password) bekannt sind. Die erzeugten Einmalcodes funktionieren ähnlich der in einer Authenticator App erzeugten Codes. Neben OTP-Token gibt es auch die Möglichkeit auf  FIDO U2F TOKEN zu setzen. Dieser beruht auf einer Public-Key-Verschlüsselung und setzt somit auf eine gänzlich andere Form der Verschlüsselung, bei der der Nutzer sich ebenfalls an der Hardware ausweisen muss.

Der Vorteil von Hardware-Token liegt klar darin, dass auch Mitarbeiter kostengünstig ausgestattet werden können, die kein Firmen-Smartphone besitzen. Gleichzeitig bieten Hardware-Token weniger Komfort in der Anwendung als etwa ein Smartphone. Denn Letzteres ist integraler Bestandteil unseres Alltags, während ein Hardware-Token oftmals als störend empfunden wird.

Auf welche Form der Authentifizierung mit einem zweiten Faktor Sie letztlich setzen, ist Ihren Vorlieben überlassen. Jede Form hat Vor- und Nachteile, insbesondere im Bereich des Handlings und der Nutzerfreundlichkeit.

Und doch bleibt anzumerken: Jede Form der Multifaktor Authentifizierung ist besser als keine Multifaktor Authentifizierung.