Phishing-Attacken abwehren

Technologien, die vor Phishing-Angriffen schützen sollen, gibt es jede Menge. Doch schlussendlich ist der Mensch die letzte Verteidigungslinie. Wie eine aktuelle Studie von Trend Micro gezeigt hat, benötigen Unternehmen allerdings dringend Unterstützung bei der Cyberrisikobewertung. Mit dem unzufriedenstellenden Reifegrad der Bewertungsfähigkeit für Bedrohungen geht eine erhöhte Gefahr einher, Opfer von Phishing-Attacken zu werden. Doch das Bewusstsein für Sicherheitsrisiken zu schaffen, ist nur eine Seite der Medaille. Es braucht auch technisch betrachtet einen effektiven Schutz gegen Phishing.

Leider wird Software, mittels derer bösartige Zugriffe erkannt werden können, oftmals gezielt durch den gutgläubigen Nutzer umgangen. Dass ein Großteil der Nutzer noch nicht über das ausreichende Sicherheitswissen und -verhalten für einen umfassenden Schutz bei alltäglichen digitalen Aktivitäten verfügt, legen auch die Ergebnisse des DsiN-Sicherheitsindex 2022 nahe. Die Studie unterstreicht nochmals, dass die Sicherheitslage zunehmend vom Faktor Mensch abhängig ist. Erschwerend hinzu kommt, dass Phishing auch 2022 mit 30,5 Prozent zu den am meisten angewendeten Angriffsmethoden zählt.

Eine vermeintlich sichere Methode, um sich vor Phishing-Attacken zu schützen, ist die Multi-Faktor-Authentifizierung (MFA). Dass sich diese Authentifizierungsmethode jedoch erfolgreich umgehen lässt, bewies nicht zuletzt die großangelegte Phishing-Kampagne, die die Sicherheitsforscher von Microsoft zuletzt aufgedeckt und bis September 2021 zurückverfolgen konnten. Besonders schockiert hatte dabei die Tatsache, dass sich die Cyberkriminellen dezidiert auf das Vorhandensein und das Umgehen der Multi-Faktor-Authentifizierung eingestellt hatten. Und in der Tat hat sich gezeigt, dass viele der implementierten Authentifizierungslösungen nicht Phishing-resistent sind.

Die Lücken der Multi-Faktor-Authentifizierung

Trotz der Flut und Raffinesse der Cyberangriffe greifen viele Unternehmen zum Schutz kritischer Anwendungen und Daten weiterhin auf herkömmliche Methoden der Multi-Faktor-Authentifizierung, wie Benutzernamen und Passwörter sowie mobile Authentifikatoren, zurück. Die Folgen sind Angriffe, die die Abwehr durchdringen, und Mitarbeiter, die zunehmend frustriert sind. Denn Cyberkriminelle versuchen mit hochentwickelten Methoden, wie Spear-Phishing, Man-in-the-middle-Angriffen oder Credential Stuffing, Anmeldedaten für privilegierte Accounts zu stehlen, um auf diese Weise Zugriff auf Systeme und Daten zu erlangen. Schlimmer noch: Im weiteren Verlauf des Angriffs könnten sich die Eindringlinge nach dem initialen Eintritt in das Netzwerk vertikal und horizontal weiterbewegen, um die ergaunerten Privilegien noch weiter auszubauen.

Zwar bietet jede Form der MFA mehr Sicherheit als die herkömmliche Authentifizierung mit Benutzername und Passwort, dennoch sind nicht alle Formen der MFA gleich. Tatsächlich sind auf Mobilgeräten basierende MFA-Verfahren, wie SMS, OTP und Push-Benachrichtigungen, äußerst anfällig für Phishing-Angriffe, Man-in-the-Middle-Attacken (MiTM), Malware, SIM-Swapping und Kontoübernahmen.

Das Problem sind die Mobilgeräte, die zur Authentifizierung zum Einsatz kommen. Denn bei dieser Form der Multi-Faktor-Authentifizierung gibt es keine Garantie, dass der private Schlüssel auf einem sicheren Speicher des Mobilgerätes landet. Diese Geräte bieten per se eine große Angriffsfläche. Cyberkriminelle kapern zunehmend OTP und Push-Benachrichtigungen durch Abfangen oder Phishing, wobei sowohl der Angreifer als auch die Übernahme des Kontos für den Nutzer nahezu unsichtbar sind.

Da sich Unternehmen auf eine neue, dezentrale Arbeitsweise zubewegen, ist es nicht mehr effektiv, sich allein auf die Perimetersicherheit zu verlassen. Unternehmen, die heute mobilfunkbasierte Authentifikatoren verwenden, sollten in jedem Fall ihre langfristige MFA-Strategie überdenken und den Wechsel zu modernen, Phishing-resistenten MFA-Lösungen in Betracht ziehen. In diesen Szenarien bietet ein Hardware-Sicherheitsschlüssel Unternehmen eine breite Abdeckung von Anwendungsszenarien und Benutzergruppen und gewährleistet gleichzeitig eine hohe Sicherheit und Benutzerfreundlichkeit.

Von moderner Phishing-resistenter Authentifizierung hin zum passwortlosen Login

Dass klassische Authentifizierungsmethoden, die Benutzernamen und Passwörter sowie mobile Authentifizierungsverfahren wie SMS, OTP und Push-Benachrichtigungen verwenden, allesamt anfällig für Phishing, gezielte Angriffe und Kontoübernahmen sind, liegt daran, dass diese Authentifizierungsmethoden auf „gemeinsamen Geheimnissen“ beruhen, die durch Phishing-Angriffe, Malware, Man-in- the-Middle-Angriffe und Co. verletzt werden können. Cyberkriminelle sind heute in der Lage, eine einfache MFA auf eine Art und Weise aushebeln, die für den Nutzer kaum zu erkennen ist.

Um eine hohe Phishing-Resistenz zu erzielen, sollten Unternehmen auf eine starke Zwei-Faktor- oder Multi-Faktor-Authentifizierung setzen, die speziell entwickelte Hardware-Sicherheitsschlüssel verwendet, um den Benutzerzugang zu sichern und gleichzeitig eine gute Nutzererfahrung zu bieten. Ein Hardware-Sicherheitsschlüssel, der moderne Authentifizierungsprotokolle unterstützt, ermöglicht es Nutzern, sich für Hunderte von Diensten zu registrieren, wobei für jeden Dienst ein eindeutiges öffentliches oder privates Schlüsselpaar erzeugt wird. Zwischen den Diensten findet kein Austausch statt, und der private Schlüssel wird sicher auf dem Hardwareschlüssel gespeichert, sodass er nicht exfiltriert werden kann. Außerdem erfordern Hardware-Sicherheitsschlüssel vom Nutzer eine Berührung, um seine Anwesenheit nachzuweisen. Auf diese Weise werden Fern-, MiTM- und Phishing- Angriffe verhindert.

Anders als bei der Authentifizierung per SMS oder einer mobilen App, darf nur der registrierte Dienst die Authentifizierungsanfrage initiieren. Auch wenn die mobile Authentifizierung heute als ausreichend erachtet wird, erfüllt sie möglicherweise nicht die künftigen MFA-Compliance-Standards. Eine zukunftssichere Investition sollte ein Unternehmen für sichere und moderne Anmeldevorgänge sowie für die langfristige Compliance rüsten. Moderne Hardware-Sicherheitsschlüssel wie der YubiKey unterstützen Authentifizierungsprotokolle wie FIDO U2F und FIDO, sowie OTP, SmartCard und OpenPGP, wodurch sichergestellt wird, dass ein einziger Schlüssel in älteren und modernen Infrastrukturen und Anwendungen gleichermaßen funktioniert. Sie arbeiten mit gängigen IAM- und PAM-Lösungen zusammen und lassen sich mit zahlreichen Drittanbietersystemen integrieren.

Um an kritische und sensible Daten zu gelangen, schrecken Cyberkriminelle heute vor nichts zurück. Nur eine Phishing-resistente Authentifizierung schützt das Unternehmen vor Cyberbedrohungen. Moderne Hardware-Sicherheitsschlüssel bieten eine starke MFA-Lösung, die den Anforderungen von Unternehmen für Remote-Mitarbeiter, gemeinsam genutzte Arbeitsplätze, mobil eingeschränkte Umgebungen, privilegierte Nutzer, Drittanbieter und auch Endkunden gerecht wird. Für Unternehmen, die eine passwortlose Authentifizierung anstreben, schlägt ein Hardware-Sicherheitsschlüssel wie der YubiKey eine Brücke zwischen der heutigen Welt und einer passwortlosen Zukunft ohne „Rip and Replace“. Für Unternehmen sind diese Hardware-Sicherheitsschlüssel eine zukunftssichere Investition, die nicht nur eine hohe Sicherheit bieten, sondern ihnen auch dabei helfen, sich der stetig verändernden Compliance-Landschaft anzupassen.