Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Sicherer Log-In durch den zweiten Faktor?

Aufgrund seiner Vielseitigkeit und der Vereinfachung von alltäglichen Arbeitsschritten setzen viele Unternehmen Microsofts Cloud-basiertes Office 365 ein. Da verwundert es nicht, dass dessen Verbreitung bei Cyberkriminellen Begehrlichkeiten weckt. Um es ihnen jedoch zu erschweren, in sensible Mitarbeiter-Accounts einzudringen, setzen sicherheitsbewusste Firmen zunehmend die so genannte Multi-Faktor-Authentifizierung (MFA oder 2FA) ein. Eine einfache Anmeldung unter Verwendung des Benutzernamens, zumeist die E-Mail-Adresse, und des Passworts reicht somit nicht mehr aus, um Zugang zum Benutzerkonto zu erlangen. Zwar muss dieser Schritt auch weiterhin durchgeführt werden, doch das System verlangt die Authentifizierung des Nutzers auf Basis eines weiteren Faktors. Zu diesem Zweck wird häufig das Mobiltelefon des Anwenders herangezogen. Das System verschickt einen mehrstelligen Zahlencode per SMS an die bei der Einrichtung des Accounts hinterlegte Mobilnummer. Erst durch die Eingabe des Zahlencodes bestätigt der Nutzer seine Identität und das System gewährt ihm Zugriff. Aber auch eine Authentifizierung mit Hilfe eines Zertifikats auf einem USB-Stick kommt zuweilen als zweiter Faktor zum Einsatz. Aufgrund der Einfachheit, bevorzugen Organisationen aber oftmals erstgenannte Authentifizierungsmethode. Ganz gleich jedoch, welche dieser Methoden zum Einsatz kommt, erhöhen sie die Sicherheit des Benutzerkontos erheblich. Dennoch entwickeln Kriminelle stets neue Angriffsformen und -Methoden. Insbesondere im Falle von MFA sind Möglichkeiten, die Authentifizierung zu umgehen oder gar zu knacken, äußerst lukrativ. Nicht zuletzt sind bei der MFA die verwendeten Zertifikate beziehungsweise Token ein potenzielles Ziel der Angreifer. Daher war es keine Überraschung, als im Jahr 2011 das Sicherheitsunternehmen RSA von einem gezielten Datendiebstahl betroffen war, bei dem bis zu 40 Millionen Hardware-Token entwendet wurden. Diese wurden in der Folge natürlich ausgetauscht.

Aber auch wenn als zweiter Faktor die SMS-Methode eingesetzt wird, sind Nutzer nie zur Gänze geschützt. Insbesondere dann, wenn das Smartphone selbst zum Angriffsziel wird. Denn ist das moderne Mobiltelefon erst einmal kompromittiert, ist die Schutzfunktion von MFA dahin. Ein Angreifer wäre dadurch in der Lage, bei einem erneuten Log-In des Nutzers in seinen Office-365-Account, sowohl die Zugangsdaten als auch den entsprechenden Zahlencode abgreifen und somit das Benutzerkonto unter seine Kontrolle zu bringen. Darüber hinaus kann auch ein Mailzugriff via Exchange Online erhebliche Risiken in sich bergen. Denn nicht in jedem Fall ist diese Form des Zugriffs auch durch eine MFA abgesichert. Speziell, wenn die MFA nicht in allen Teilsystemen integriert ist, kann das zu einer Hintertür für Cyberkriminelle werden. Hybride E-Mail-Konfigurationen spielen in diesem Zusammenhang eine wichtige Rolle. Denn setzt das Unternehmen beispielsweise Applikationen ein, die über Exchange Web Services (EWS) oder ActiveSync die Verbindung herstellen, ist in vielen Fällen eine MFA nicht möglich. Auch dies kann einem versierten Angreifer Tür und Tor zum Office-365-Konto eines Angestellten öffnen.

Ungeschützte Kommunikation zwischen zwei Systemen

Werden Daten zwischen zwei Maschinen ausgetauscht, kann auch das einen Angriffsversuch begünstigen. In solchen Fällen besteht meist keine Möglichkeit, MFA einzusetzen. Gelingt es einem Kriminellen dadurch in die Kommunikation zweier Maschinen einzudringen, kann das schlimmstenfalls dazu führen, dass er dadurch auch Zugriff auf weitere Teile des Firmennetzes erhält. Dadurch hätte er die Möglichkeit, mögliche Opfer zu erkennen und deren E-Mail-Konten ebenfalls zu attackieren. Die bisher genannten Szenarien belegen daher, dass die MFA – obgleich sie einen nicht zu vernachlässigenden Zugewinn an Sicherheit darstellt – keinen vollumfänglichen Schutz gewährleisten kann. Und es gibt noch weitere Angriffsformen, die die Sicherheit von MFA gefährdet.

Bis vor kurzem war Rechenleistung ein teures Gut. Doch seit einigen Jahren besteht durch die zunehmende Verfügbarkeit der Cloud eine kostengünstige Möglichkeit, Rechenleistung für die unterschiedlichsten Anwendungen einzusetzen. Das führt nicht nur zu Einsparpotenzialen für Unternehmen, sondern hat auch zur Folge, dass sich Kriminelle dieser oftmals günstigen Ressource bedienen. Insbesondere rechenintensive Brute-Force-Angriffe werden hierdurch ermöglicht. Bei dieser Angriffsform soll durch das simple Ausprobieren aller möglichen Zeichenkombinationen ein Passwort geknackt werden. Dank der Cloud-Rechenleistung können Brute-Force-Angriffe heute in kürzester Zeit zum Erfolg für die Kriminellen führen. Diese Form von Angriffen lässt sich durch den Administrator nur dadurch verhindern, indem die Anzahl der Zugriffsversuche beschränkt wird, beziehungsweise sich die Zeit bis zur neuerlichen Eingabe des Passworts sukzessive verlängert. Zugangsdaten und zum Teil auch weitere Faktoren zur Authentifizierung werden jedoch mitunter auch im Darknet feilgeboten.

Cyberkriminelle haben bislang immer bewiesen, dass Sie einen unglaublichen Einfallsreichtum an den Tag legen, wenn es darum geht, Schwachstellen auszunutzen und davon zu profitieren. Dies bedeutet für Unternehmen, dass sie auch weiterhin lukrative Ziele für neuartige Attacken von Cyberkriminellen sein werden. Folglich sollten Organisationen neben der MFA weitere Schutzmaßnahmen auf all ihren Systemen implementieren. Dazu zählen vor allem Sicherheitsmechanismen, die geeignet sind, kompromittierte Benutzerkonten zu identifizieren und zu isolieren, um weitergehende Schäden zu verhindern.
Darüber hinaus müssen die Sicherheitssysteme eines Unternehmens in der Lage sein, effektive Gegenmaßnahmen zur Unterbindung des Angriffs einzuleiten und die betroffenen Accounts zurückzusetzen, damit der Angreifer nicht länger Zugriff auf diese hat. Denn ein kompromittiertes E-Mail-Konto stellt nicht nur eine Gefahr hinsichtlich eines möglichen Datendiebstahls dar. Viel wahrscheinlicher ist, dass sich ein Angreifer den Zugang zunutze macht, um die Unternehmenshierarchien zu erforschen und dadurch Social-Engineering-Angriffe auf ein geeignetes Opfer anpasst. Durch einen solchen, so genannten CEO-Betrug (auch BEC-Fraud – Business Email Compromise) erschleichen sich Cyberkriminelle oftmals hohe Summen, indem sie vorgeben, ein Vorgesetzter zu sein, der eine Zahlung an eine bestimmte Bankverbindung autorisiert. Aufgrund dessen sind das Wissen um Hierarchien im Unternehmen und ein möglicher Zugriff auf ein echtes Benutzerkonto von Führungskräften für Kriminelle äußerst lohnende Ziele innerhalb einer Organisation.

Schutz für Unternehmen

Erhöhter Schutz auch bei MFA ist daher unerlässlich. Bei modernen Security-Lösung gilt es jedoch, verschiedene Variablen zu beachten. Nicht nur die reinen Schutzfunktionen spielen dabei eine Rolle, sondern auch die Art, wie sich eine Lösung in die eigene IT integrieren lässt. So darf eine Sicherheits-Applikation den Arbeitsablauf innerhalb des Unternehmens nicht verlangsamen oder gar wichtige Geschäftsprozesse beeinträchtigen. Wichtig ist für Firmen zudem, dass sie ihre Software immer auf dem neuesten Stand halten. Das gilt nicht nur für die Sicherheitssoftware an sich. Außerdem muss eine passende Lösung ein hohes Maß an Flexibilität und Skalierbarkeit aufweisen, um sich einfach an das Unternehmen anzupassen, in dem es verwendet wird.
Trotz der genannten Variablen darf der Funktionsumfang nicht zur Nebensache werden. Das betrifft insbesondere die Geschwindigkeit, mit der die Lösung auf etwaige Angriffe reagieren kann. Im Falle des Schutzes von Office-365-Umgebungen bieten sich vor allem Cloud-basierte Lösungen an.

Auch die Art, wie eine Security-Lösung E-Mails erkennt, die dem Unternehmen schaden können und welche Kriterien zur Analyse dafür herangezogen werden, sollte näher betrachtet werden. Wichtig ist in diesem Zusammenhang, dass die Lösung sich darauf versteht, Schlüsse auf Basis kontextbezogener Daten zu ziehen. Dazu zählen neben dem Standort, von dem der Log-In-Versuch durchgeführt wird, das entsprechende Netzwerk, die Anmeldezeit und das Gerät, mit dem versucht wird, sich anzumelden. Auch die IP-Adresse kann hilfreiche Details über den Log-In-Versuch offenbaren. Kommt es bei der Analyse zu Ungereimtheiten, muss die Lösung in der Lage sein, einen Log-In zu verweigern. Dabei gilt, je mehr Daten die Lösung zur Analyse heranziehen kann, desto eher ist sie in der Lage, Gefahren vom Unternehmen abzuwenden.

Der menschliche Faktor als wichtigstes Element in der IT-Sicherheit

Dass eine Multi-Faktor-Authentifizierung und ein System zur automatischen Identifikation gekaperter Office-365-Accounts die Sicherheit für die eigene IT erhöht, ist unbestritten. Jedoch wäre es – wie gezeigt – fahrlässig, aufgrund des Einsatzes von MFA die Hände in den Schoß zu legen. Denn der entscheidende Faktor für die IT-Sicherheit jeder Organisation, ist der jeweilige Mitarbeiter. Für Firmen gilt es, die eigenen Angestellten in regelmäßigen Abständen zu schulen und sie speziell für die Taktiken eines möglichen Cyberkriminellen und somit seines Modus Operandi zu sensibilisieren. Mitarbeitern darüber hinaus auch die Verantwortung eines jeden Angestellten für die IT-Sicherheit des Arbeitsplatzes vor Augen zu führen, kann dabei den entscheidenden Unterschied ausmachen. Durch wiederkehrende Trainings und Schulungen werden sie in die Lage versetzt, angemessen auf Bedrohungen zu reagieren und auch entsprechende Vorsichtsmaßnahmen zu ergreifen. Die Technik, die eine Organisation schützen soll, kann ihren Zweck jedoch immer nur dann erfüllen, wenn die Menschen im Unternehmen ihre Funktionsweise nicht unterminieren.

Foto: Werner Thalmeier, Senior Director Systems Engineering EMEA Proofpoint 

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland