Authentifizierung: Wie Unternehmen hybride Arbeitsumgebungen schützen

Seit dem Ausbruch der Pandemie bieten viele Unternehmen ihren Beschäftigten an, dauerhaft im Homeoffice oder in einem Hybrid-Modell zu arbeiten. Experten warnen jedoch vor einem erhöhten Risiko von Cyberangriffen. Bei der Arbeit in einer Büroumgebung mit eingeschränktem Zugang zum Standort, sicherer Internetverbindung und starken Verschlüsselungsprotokollen ist das Risiko einer potenziellen Schwachstelle bei der Authentifizierung geringer.

Das ändert sich, wenn man im Remote-Modus arbeitet: In einer solchen Umgebung, sei es zu Hause oder unterwegs aus, können Mitarbeiter nicht immer sicher sein, dass sie die sicherste Internetverbindung mit starker Verschlüsselung nutzen. Es besteht das Risiko, dass Authentifizierungsdaten beispielsweise durch die Aufzeichnung der Passworteingabe gestohlen oder kompromittiert werden. Der Report „The Hidden Costs of Cybercrime“ von McAfee berichtet, dass die Kosten der weltweiten Cyberkriminalität im Jahr 2020 auf fast eine Billion US-Dollar gestiegen sind. Auch die vom Bundeskriminalamt 2021 gemessenen Fallzahlen der Internetkriminalität stiegen mit 146.363 Delikten um zwölf Prozent an.

Besonderes Augenmerk sollte auf die Authentifizierung gelegt werden. Das One-Time-Password, kurz OTP, ist zwar weit verbreitet, reicht aber nicht aus, um sich vor neuen Bedrohungen zu schützen. Die Tatsache, dass Einmal-Passwörter nach kurzer Zeit ungültig werden, verhindert, dass potenzielle Internetkriminelle in den Besitz der Codes gelangen, um sie anschließend wieder zu verwenden.  Die Angreifer sind aber kreativ und hartnäckig. Was gestern noch schützte, kann morgen schon unwirksam sein.

OTP-Lücken mittels simuliertem Cyberhack erkennen

Schwachstellen in Sicherheitssystemen zu finden ist wie die Suche nach einer Nadel im Heuhaufen, wenn man nicht weiß, wonach man suchen muss. Um den Authentifizierungsprozess zu verbessern, arbeitete das Sicherheitsteam von Grammarly mit einem White-Hat-Partner zusammen, um einen raffinierten Cyber-Hack auf das bestehende OTP-System zu simulieren. Sie erstellten eine Website, die die SSO-Anmeldeseite und -adresse des Unternehmens imitierte. In E-Mails wurden Empfänger aufgefordert, einem Link zu folgen. Obwohl diese E-Mails von dem White-Hat-Hacker kamen, erschienen sie dem Mailserver als von einer echten internen Adresse stammend. Einige folgten dem Link und gaben Benutzernamen und Passwörter ein.

An dieser Stelle kommt die Multi-Faktor-Authentifizierung (MFA) ins Spiel, die eine Push-Benachrichtigung sendet, in der eine weitere Benutzervalidierung gefordert wird. Einige akzeptierten jedoch die MFA-Push-Benachrichtigung. Warum also hat sie den Tag nicht gerettet? Erstens schien die Phishing-Nachricht legitim zu sein. Zweitens hatten die Teammitglieder durch den täglichen Gebrauch einen schnellen Reflex entwickelt, auf eine mobile Authentifizierungsanfrage mit Ja’zu antworten. Interne Tests in einer kontrollierten Umgebung sind ein leistungsfähiges Instrument, um potenzielle Risiken aufzudecken, bevor sie ausgenutzt werden können. Unsere Simulation deckte Probleme mit der herkömmlichen OTP-Authentifizierung auf, obwohl viele Unternehmen ihr vertrauen.

Authentifizierung: FIDO2 bietet Schutz vor Phishing 

Um die Sicherheit vor Phishing-Angriffen zu gewährleisten, bietet sich ein fortschrittliches Tool an: FIDO2 (Fast IDentity Online). Hierbei wird das OTP von einem Gerät generiert und an ein anderes gesendet, zum Beispiel per SMS. Während beide Parteien glauben, dass sie direkt miteinander kommunizieren, können Hacker ihre Konversation heimlich weiterleiten und möglicherweise verändern. FIDO2 verwendet Kryptographie-Techniken mit öffentlichem Schlüssel, um ein sicheres System zu gewährleisten. Allen Benutzern wird bei der Einrichtung ein eindeutiges öffentliches oder privates Schlüsselpaar zugewiesen. Die Authentifizierung erfolgt, indem das Gerät der Nutzerin oder dem Nutzer den Besitz des privaten Schlüssels durch Unterzeichnung einer Anfrage nachweist. Dieser verlässt niemals deren Gerät – ein entscheidender Sicherheitsvorteil.

Blessing Flow unterstützt neue Sicherheitspraktiken

Sicherheit und Usability müssen bei Remote-Arbeitsmodellen Hand in Hand gehen. Nur so könne eine erfolgreiche Transformation stattfinden. Man kann ein hochsicheres System implementieren, aber wenn es von der Organisation nicht einfach zu übernehmen ist, wird es das Ziel der erhöhten Sicherheit nicht erreichen. Aus diesem Grund sollte FIDO2 mit einer Kombination aus Yubico-Sicherheitsschlüsseln (YubiKeys) und biometrischen Geräten wie Windows Hello und macOS TouchID unterstützt werden. YubiKeys sind die Hardware, die an ein mobiles Gerät angeschlossen und die Authentifizierung ermöglichen.

Für eine überzeugende Usability sind zwei Schritte notwendig: Die Implementierung eines Blessing Flows, bei dem sich die Teammitglieder einmalig mit ihrem physischen Schlüssel anmelden und sich dann für die biometrische FIDO2-Authentifizierung registrieren. Darüber hinaus erhalten die Teammitglieder einen YubiKey Nano, der permanent mit dem Arbeits-Notebook verbunden bleibt.

Authentifizierung: Interne Aufklärung über neue Standards

Die globale Umstellung einer bestimmten Authentifizierungsmethode ist eine große Herausforderung. Nach der Einführung des neuen Standards gibt Grammarly einige Tipps für eine erfolgreiche Umsetzung. Erstens müssen die Sicherheitsverantwortlichen während des Scopings überprüfen, ob alle kritischen Systeme wie VPN, SSO, SaaS, Cloud-Anbieter, On-Premise und Desktop-Apps den FIDO2-Standard unterstützen.

Ein weiterer wichtiger Teil der Implementierung sind interne Tests und eine effektive Kommunikation mit dem Team. Tests sind entscheidend, um Feedback zu erhalten und die Nutzererfahrung zu verbessern. Lösungen und Handbücher müssen geprüft werden, um zu sehen, wie sie mit den Geschäftsprozessen der Mitarbeitenden funktionieren. Außerdem sollten Teammitglieder vor der Einführung über die neuen Initiativen informiert sein und verstehen, warum sich der Prozess ändert sowie die Vorteile für das Unternehmen erfahren.

Cybersicherheit muss höchste Priorität haben

Eine kürzlich veröffentlichte Umfrage von Deloitte ergab, dass die Unternehmen als Ergebnis ihrer Cybersecurity-Initiativen positive Auswirkungen auf ihren eigenen Ruf (62 Prozent) und das Vertrauen der Kunden (64 Prozent) wahrnehmen. Auch die betriebliche Stabilität hat sich für 59 Prozent der befragten Organisationen verbessert. Sicherheit und Schutz vor Angriffen aus dem Netz sind also entscheidend für den Erfolg.

Um die Sicherheitsbemühungen kontinuierlich zu verbessern, ist es wichtig, einen iterativen Ansatz zu verfolgen und die bestehenden Lösungen regelmäßig zu überarbeiten. Was gestern noch funktioniert hat, kann morgen schon überholt sein. Simulierte Hacks und Penetrationstests in kontrollierten Umgebungen sowie Bug Bounty-Programme sind hervorragende Beispiele für die ständige Überprüfung bestehender Lösungen, um potenzielle Risiken zu minimieren. Dabei ist es wichtig, ständig nach neuen Herausforderungen Ausschau zu halten und die neuesten Sicherheitsstandards zu befolgen. (sg)

Lesen Sie auch: Datenverlust: Wie sich Unternehmen und Anwender davor schützen