Absicherung gegen Phishing-Attacken - Welche Authentifizierungsmethoden bieten noch Schutz?
02.01.2024
Gastbeitrag von Alexander Koch, VP Sales EMEA bei Yubico
Die Kombinationen von Benutzernamen und Passwörtern sind nicht mehr sicher vor Cyberkriminellen. Im Darknet werden Milliarden solcher Anmeldedaten zum Verkauf angeboten. Dennoch zeigen sich viele Nutzer unbeeindruckt: Laut aktuellen Studien von Yubico verlassen sich immer noch 59 Prozent der Mitarbeiter auf Passwörter als Hauptmethode, um ihre Konten zu schützen – ein bequemer, aber riskanter Ansatz, der Unternehmen teuer zu stehen kommen kann.
Die Art und Weise, wie Unternehmen ihre Nutzer überprüfen, ist in komplexen Unternehmensumgebungen von großer Bedeutung, da sie darüber entscheidet, ob Cyberangriffe Erfolg haben und erheblichen Schaden anrichten können. Ineffektive Methoden zur Überprüfung der Identität bergen nicht nur Sicherheitsrisiken, sondern können auch die Produktivität beeinträchtigen. Eine zeitgemäße Multi-Faktor-Authentifizierung bietet, wenn richtig angewendet, eine relativ einfache, kostengünstige und effiziente Möglichkeit für Organisationen, ihre Sicherheit zu verbessern. Dennoch nutzen viele Unternehmen diese Möglichkeit noch nicht voll aus, wie die Yubico-Umfrage zur globalen Unternehmensauthentifizierung zeigt.
Wahrnehmung und Realität klaffen auseinander: Überraschenderweise sind fast ein Viertel der Deutschen davon überzeugt, dass die Kombination von Benutzernamen und Passwörtern die sicherste Form der Überprüfung ist, trotz zahlreicher Warnungen in den letzten Jahren und Schulungen, die die Risiken bei der Nutzung von Passwörtern betonten. Weiterhin vertrauen 20 Prozent der Deutschen auf die mobile Authentifizierung per SMS, die aufgrund des hohen Phishing-Risikos als unsicherste Form der Multi-Faktor-Authentifizierung gilt.
Angesichts der regelmäßigen Nachrichten über erfolgreiche Phishing-Angriffe ist es erstaunlich, dass laut den Recherchen von Yubico 74 Prozent der Deutschen glauben, dass die Authentifizierungsoptionen ihres Unternehmens ausreichend Sicherheit bieten. Tatsache ist jedoch: Die Bedrohungslage war noch nie so ernst – 78 Prozent der Befragten waren in den letzten zwölf Monaten privat oder beruflich einem Cyberangriff ausgesetzt. Ob Spear-Phishing, Whaling, Vishing oder Smishing – jede Art von Cyberangriff birgt besorgniserregende Risiken und die hohe Wahrscheinlichkeit erheblicher Schäden. Weniger als 30 Prozent der Befragten berichteten von keinen Konsequenzen als Folge von Angriffen, während 35 Prozent über Imageschäden und weitere 35 Prozent über Gewinneinbußen sprachen. Alarmierend ist auch, dass 20 Prozent aufgrund eines erfolgreichen Cyberangriffs ihre Geschäfte einstellen mussten.
Was die Wirksamkeit von Korrekturen betrifft: Trotz der schwerwiegenden Folgen erfolgreicher Cyberangriffe sind viele Unternehmen nicht darauf aus, umfassende Verbesserungen vorzunehmen. Das bloße Zurücksetzen von Benutzernamen und Passwörtern reicht nicht aus, da dies nicht verhindert, dass die Daten erneut gestohlen werden. Sicherheitstrainings erhöhen zwar das Bewusstsein für Risiken, lösen aber das Problem nicht eigenständig. Zudem haben 18 Prozent der deutschen Unternehmen noch keine Multi-Faktor-Authentifizierung für alle Anwendungen und Dienste eingeführt, weil sie einen Angriff für unwahrscheinlich halten. Die Einführung neuer Methoden verläuft langsam: Zu teuer (19 Prozent), zu zeitaufwendig (16 Prozent), zu kompliziert (15 Prozent) und unnötig (16 Prozent) sind die gängigen Meinungen der Befragten. Solange jedoch diese wahrgenommenen Hindernisse überwiegen, sind die Risiken nicht zu unterschätzen – besonders, da Unternehmen eine Schlüsselrolle beim Aufbau eines Sicherheitsbewusstseins spielen.
Mitarbeiter nehmen die Cybersicherheit ernst, je ernster ihr Arbeitgeber das Thema behandelt. Die Cyberhygiene in Deutschland ist stark verbesserungsbedürftig: 55 Prozent der Mitarbeiter geben zu, in den letzten zwölf Monaten Passwörter aufgeschrieben oder weitergegeben zu haben. Die Forderung nach einer Phishing-resistenten Multi-Faktor-Authentifizierung für alle Konten könnte verhindern, dass diese Schwachstellen zu ernsthaften Problemen werden.
Phishing-resistente MFA für eine robuste, konforme Sicherheitslage
Die Cyberrisiken werden in naher Zukunft weiter zunehmen: Unternehmen sollten daher an einer starken Multi-Faktor-Authentifizierung arbeiten, da die Anzahl der Angriffe steigt, Compliance-Anforderungen wachsen und die zu erwartenden Schäden größer werden. Eine phishing-resistente MFA kann hierbei enorme Fortschritte bringen. Diese Methode ist unabhängig davon, ob Hacker Zugang zu den Anmeldedaten eines Benutzers haben, da sie nicht in der Lage sind, die zweite MFA-Schicht zu überwinden. Angesichts der Tatsache, dass viele Unternehmen immer noch auf Ein-Faktor-Authentifizierung setzen, obwohl sie mit Phishing-Angriffen konfrontiert sind, ist eine stärkere Authentifizierungsmethode dringend erforderlich.
Physische Sicherheitsschlüssel eignen sich besonders gut für die Anmeldung bei Online-Konten, da sie das Risiko von Remote-Angriffen vollständig ausschließen. Sie enthalten einen eindeutigen kryptografischen Code, der nicht extrahiert werden kann, und arbeiten nach den sicheren FIDO2-Protokollen. Anders als bei der Authentifizierung per SMS oder einer mobilen App darf nur der registrierte Dienst die Authentifizierungsanfrage initiieren. Ein Hardware-Sicherheitsschlüssel ermöglicht es Nutzern, sich für eine Vielzahl von Diensten zu registrieren, wobei für jeden Dienst ein eindeutiges öffentliches oder privates Schlüsselpaar erzeugt wird. Zwischen den Diensten findet kein Austausch statt, und der private Schlüssel wird sicher auf dem Hardwareschlüssel gespeichert, sodass er sich nicht extrahieren lässt. Zusätzlich erfordern diese Hardware-Sicherheitsschlüssel eine physische Interaktion, um die Anwesenheit des Nutzers zu bestätigen und Angriffe aus der Ferne, Man-in-the-Middle-Angriffe sowie Phishing zu verhindern. Diese Sicherheitsschlüssel sind in verschiedenen Formfaktoren erhältlich und ermöglichen eine einfache Verbindung mit verschiedenen Geräten, auch kontaktlos für Mobilgeräte.
Dennoch haben nur 15 Prozent der Unternehmen in Deutschland laut der Umfrage Hardware-Sicherheitsschlüssel als Reaktion auf einen erfolgreichen Cyberangriff im Einsatz. Selbst wenn die aktuell genutzte mobile Authentifizierung als ausreichend angesehen wird, könnte sie möglicherweise nicht den künftigen MFA-Compliance-Standards entsprechen. Eine langfristige Investition in eine starke Authentifizierung, die zukunftssicher ist, sollte daher von Unternehmen in Erwägung gezogen werden.
Absicherung gegen Phishing-Attacken - Welche Authentifizierungsmethoden bieten noch Schutz?
02.01.2024
Gastbeitrag von Alexander Koch, VP Sales EMEA bei Yubico
Die Kombinationen von Benutzernamen und Passwörtern sind nicht mehr sicher vor Cyberkriminellen. Im Darknet werden Milliarden solcher Anmeldedaten zum Verkauf angeboten. Dennoch zeigen sich viele Nutzer unbeeindruckt: Laut aktuellen Studien von Yubico verlassen sich immer noch 59 Prozent der Mitarbeiter auf Passwörter als Hauptmethode, um ihre Konten zu schützen – ein bequemer, aber riskanter Ansatz, der Unternehmen teuer zu stehen kommen kann.
Die Art und Weise, wie Unternehmen ihre Nutzer überprüfen, ist in komplexen Unternehmensumgebungen von großer Bedeutung, da sie darüber entscheidet, ob Cyberangriffe Erfolg haben und erheblichen Schaden anrichten können. Ineffektive Methoden zur Überprüfung der Identität bergen nicht nur Sicherheitsrisiken, sondern können auch die Produktivität beeinträchtigen. Eine zeitgemäße Multi-Faktor-Authentifizierung bietet, wenn richtig angewendet, eine relativ einfache, kostengünstige und effiziente Möglichkeit für Organisationen, ihre Sicherheit zu verbessern. Dennoch nutzen viele Unternehmen diese Möglichkeit noch nicht voll aus, wie die Yubico-Umfrage zur globalen Unternehmensauthentifizierung zeigt.
Wahrnehmung und Realität klaffen auseinander: Überraschenderweise sind fast ein Viertel der Deutschen davon überzeugt, dass die Kombination von Benutzernamen und Passwörtern die sicherste Form der Überprüfung ist, trotz zahlreicher Warnungen in den letzten Jahren und Schulungen, die die Risiken bei der Nutzung von Passwörtern betonten. Weiterhin vertrauen 20 Prozent der Deutschen auf die mobile Authentifizierung per SMS, die aufgrund des hohen Phishing-Risikos als unsicherste Form der Multi-Faktor-Authentifizierung gilt.
Angesichts der regelmäßigen Nachrichten über erfolgreiche Phishing-Angriffe ist es erstaunlich, dass laut den Recherchen von Yubico 74 Prozent der Deutschen glauben, dass die Authentifizierungsoptionen ihres Unternehmens ausreichend Sicherheit bieten. Tatsache ist jedoch: Die Bedrohungslage war noch nie so ernst – 78 Prozent der Befragten waren in den letzten zwölf Monaten privat oder beruflich einem Cyberangriff ausgesetzt. Ob Spear-Phishing, Whaling, Vishing oder Smishing – jede Art von Cyberangriff birgt besorgniserregende Risiken und die hohe Wahrscheinlichkeit erheblicher Schäden. Weniger als 30 Prozent der Befragten berichteten von keinen Konsequenzen als Folge von Angriffen, während 35 Prozent über Imageschäden und weitere 35 Prozent über Gewinneinbußen sprachen. Alarmierend ist auch, dass 20 Prozent aufgrund eines erfolgreichen Cyberangriffs ihre Geschäfte einstellen mussten.
Was die Wirksamkeit von Korrekturen betrifft: Trotz der schwerwiegenden Folgen erfolgreicher Cyberangriffe sind viele Unternehmen nicht darauf aus, umfassende Verbesserungen vorzunehmen. Das bloße Zurücksetzen von Benutzernamen und Passwörtern reicht nicht aus, da dies nicht verhindert, dass die Daten erneut gestohlen werden. Sicherheitstrainings erhöhen zwar das Bewusstsein für Risiken, lösen aber das Problem nicht eigenständig. Zudem haben 18 Prozent der deutschen Unternehmen noch keine Multi-Faktor-Authentifizierung für alle Anwendungen und Dienste eingeführt, weil sie einen Angriff für unwahrscheinlich halten. Die Einführung neuer Methoden verläuft langsam: Zu teuer (19 Prozent), zu zeitaufwendig (16 Prozent), zu kompliziert (15 Prozent) und unnötig (16 Prozent) sind die gängigen Meinungen der Befragten. Solange jedoch diese wahrgenommenen Hindernisse überwiegen, sind die Risiken nicht zu unterschätzen – besonders, da Unternehmen eine Schlüsselrolle beim Aufbau eines Sicherheitsbewusstseins spielen.
Mitarbeiter nehmen die Cybersicherheit ernst, je ernster ihr Arbeitgeber das Thema behandelt. Die Cyberhygiene in Deutschland ist stark verbesserungsbedürftig: 55 Prozent der Mitarbeiter geben zu, in den letzten zwölf Monaten Passwörter aufgeschrieben oder weitergegeben zu haben. Die Forderung nach einer Phishing-resistenten Multi-Faktor-Authentifizierung für alle Konten könnte verhindern, dass diese Schwachstellen zu ernsthaften Problemen werden.
Phishing-resistente MFA für eine robuste, konforme Sicherheitslage
Die Cyberrisiken werden in naher Zukunft weiter zunehmen: Unternehmen sollten daher an einer starken Multi-Faktor-Authentifizierung arbeiten, da die Anzahl der Angriffe steigt, Compliance-Anforderungen wachsen und die zu erwartenden Schäden größer werden. Eine phishing-resistente MFA kann hierbei enorme Fortschritte bringen. Diese Methode ist unabhängig davon, ob Hacker Zugang zu den Anmeldedaten eines Benutzers haben, da sie nicht in der Lage sind, die zweite MFA-Schicht zu überwinden. Angesichts der Tatsache, dass viele Unternehmen immer noch auf Ein-Faktor-Authentifizierung setzen, obwohl sie mit Phishing-Angriffen konfrontiert sind, ist eine stärkere Authentifizierungsmethode dringend erforderlich.
Physische Sicherheitsschlüssel eignen sich besonders gut für die Anmeldung bei Online-Konten, da sie das Risiko von Remote-Angriffen vollständig ausschließen. Sie enthalten einen eindeutigen kryptografischen Code, der nicht extrahiert werden kann, und arbeiten nach den sicheren FIDO2-Protokollen. Anders als bei der Authentifizierung per SMS oder einer mobilen App darf nur der registrierte Dienst die Authentifizierungsanfrage initiieren. Ein Hardware-Sicherheitsschlüssel ermöglicht es Nutzern, sich für eine Vielzahl von Diensten zu registrieren, wobei für jeden Dienst ein eindeutiges öffentliches oder privates Schlüsselpaar erzeugt wird. Zwischen den Diensten findet kein Austausch statt, und der private Schlüssel wird sicher auf dem Hardwareschlüssel gespeichert, sodass er sich nicht extrahieren lässt. Zusätzlich erfordern diese Hardware-Sicherheitsschlüssel eine physische Interaktion, um die Anwesenheit des Nutzers zu bestätigen und Angriffe aus der Ferne, Man-in-the-Middle-Angriffe sowie Phishing zu verhindern. Diese Sicherheitsschlüssel sind in verschiedenen Formfaktoren erhältlich und ermöglichen eine einfache Verbindung mit verschiedenen Geräten, auch kontaktlos für Mobilgeräte.
Dennoch haben nur 15 Prozent der Unternehmen in Deutschland laut der Umfrage Hardware-Sicherheitsschlüssel als Reaktion auf einen erfolgreichen Cyberangriff im Einsatz. Selbst wenn die aktuell genutzte mobile Authentifizierung als ausreichend angesehen wird, könnte sie möglicherweise nicht den künftigen MFA-Compliance-Standards entsprechen. Eine langfristige Investition in eine starke Authentifizierung, die zukunftssicher ist, sollte daher von Unternehmen in Erwägung gezogen werden.