Auf einen Blick
Immer wieder gelangen geheime oder schützenswerte Informationen von Unternehmen und Privatpersonen in die Hände Dritter. Damit erhalten diese Unbefugten auch häufig Zugänge zu internen Systemen oder ihnen wird die Auslösung von Buchungsaufträgen ermöglicht. Dies geschieht, weil entweder Zugangsdaten gestohlen werden oder keine bzw. ungenügende Authentifizierungsmechanismen in Prozessen vorhanden sind. Eine häufige Ursache ist dabei die Nutzung unsicherer Passwörter oder die Weitergabe von Anmeldeinformationen, weil Nutzer nicht für entsprechende Gefahren sensibilisiert sind.
Deshalb ist es, gerade auch in kleinen und mittleren Unternehmen, notwendig, entsprechende Schutzmaßnahmen und Verfahren zu implementieren, um vertrauliche Informationen zu schützen.
Bedrohungs- und Gefährdungslage
Seit Beginn der Pandemie haben sich Arbeitsprozesse in Unternehmen stark verändert, wodurch der Anteil von Remote-Tätigkeiten (z. B. im Homeoffice) deutlich zugenommen hat. Hierbei kam es zu einer Vielzahl von Identitätsdiebstählen aufgrund unzureichend geschützter Benutzerkonten, aber auch durch gezielte Betrugsmaschen, wie dem so genannten „CEO-Fraud“. Dabei geben Angreifer über Telefon oder E-Mail vor, eine wichtige Person aus dem Unternehmen zu sein (wie z. B. Unternehmensführung) und gelangen so an wichtige Informationen oder lösen Geldüberweisungen aus. In der „Anonymität“ des Homeoffice und der Nutzung verschiedener Tools inkl. Benutzerkonten ist die Bedrohungslage für Unternehmen sehr groß.
Die wesentlichen Gefahren lassen sich anhand des „VIVA-Prinzips“ (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) der IT-Sicherheitsschutzziele ableiten. Beim klassischen Datendiebstahl werden Informationen preisgegeben, wodurch die Vertraulichkeit nicht mehr gewährleistet ist. Geht es darüber hinaus, z. B. beim CEO-Fraud, können ausgetauschte Informationen nicht mehr zwangsweise als integer (unversehrt) bezeichnet werden bzw. ist die Authentizität der Information („mit wem wird kommuniziert?“) unklar.
Maßnahmen und Lösungsansätze
Zur Wahrung der IT-Sicherheitsschutzziele können Unternehmen auf einen Fundus technischer und organisatorischer Handlungsempfehlungen zurückgreifen. Einerseits sollten auf der technischen Seite bei unternehmenseigenen Systemen zunächst die Benutzerkonten geprüft werden. Deshalb sollten zur Authentifizierung immer sehr sichere Passwörter oder sogar eine Mehrfaktor-Authentifizierung verwendet werden. Neben dem Passwort werden dabei weitere Komponenten verwendet (mindestens eine; Zwei-Faktor-Authentifizierung „2FA“), die zusammen eine Zugriffsberechtigung herstellen. Diese können auf Besitz (z. B. Token), Wissen (z. B. TAN) und Inhärenz (z. B. Biometrie) zurückzuführen sein. Eine technische Alternative zu Passwörtern ist der webbasierte Standard FIDO2.
Andererseits sollten auf der organisatorischen Seite alle Prozesse kontrolliert werden, bei denen Informationen ausgetauscht werden. Dabei geht es insbesondere um Berechtigungen und Zugriffsschutz mit Sicht auf Informationen bzw. Daten. Diese Zugriffsberechtigungen können z. B. in Form von Benutzergruppen geregelt sein. Darüber hinaus sollten auch Freigabeprozesse (bspw. Auslösen von Geldbewegungen) durch Authentifizierungsmethoden begleitet werden.
Herausforderungen
Die größten Herausforderungen bestehen für die Unternehmen in der Umsetzung von Mehrfaktor-Authentifizierungen, da diese in der Regel bei den Nutzenden zu einem Mehraufwand führen. Daher muss die Belegschaft von Anfang an bei der Einführung neuer Authentifizierungsmaßnahmen mitgenommen werden. Schlupflöcher („Workarounds“), durch die eine sichere Authentifizierung ausgehebelt wird, sind zu vermeiden. Ebenfalls ist es wichtig, die Mitarbeiter:innen zu verschiedenen Gefährdungslagen zu sensibilisieren, wie z. B. über den CEO-Fraud oder weitere Methoden des Social Engineerings. Hierbei sollte ein Bewusstsein darüber geschaffen werden, wann Unternehmensinformationen preisgegeben oder Daten ausgetauscht werden. Dabei sollte immer sichergestellt werden, dass die Kommunikation immer mit einem validierten Gegenüber stattfindet – dieser also authentifiziert ist.
In der Praxis gestaltet sich dies oft schwierig, insbesondere im E-Mail-Verkehr. Zur einfacheren Sicherstellung der Authentizität sollte bei einem Datenaustausch per Mail eine Signierung implementiert werden.
Weiterführende Informationen
- Passwortcheck.ch
- Hasso Plattner-Institut-Identity Leak Checker
- Bundesamt für Sicherheit in der Informationstechnik: Social Engineering – der Mensch als Schwachstelle
- Bundesamt für Sicherheit in der Informationstechnik: Zwei-Faktor-Authentisierung
