BLOG

Diebstahl von Anmeldeinformationen: So einfach wie das Schießen von Phish in einem Fass

Miniaturansicht
Veröffentlicht am 08. Februar 2017

Stellen Sie sich Ihr Best-Case-Szenario vor: Sie haben Schulungen zur Sensibilisierung Ihrer Benutzer für die Sicherheit durchgeführt und sie über alle für sie geltenden Bedrohungen aufgeklärt. Sie haben eine Sicherheitskultur aufgebaut, in der jeder die Taktiken der Phisher kennt und weiß, wie man sich vor Phishing-E-Mails schützt. Sie haben auf allen Ihren Endpunkten ein Antivirenprogramm installiert, um Drive-by-Downloads zu bekämpfen. Ihre Benutzer sind sogar fortgeschritten genug, um einen Passwort-Manager zu verwenden, da sie die Gefahren schwacher Passwörter und der Wiederverwendung von Passwörtern kennen und sich darüber im Klaren sind .

Passwort

Kommen Sie jetzt zurück in die Realität. Wir nutzen Technologie, weil Menschen fehleranfällig sind. Natürlich ist die Schulung Ihrer Benutzer sehr wichtig, da sich dadurch die Häufigkeit von Phishing-Vorfällen drastisch verringern lässt. Doch egal, wie gut Sie Ihre Benutzer schulen, es wird immer einige geben, die einen Fehler machen. Laut dem Verizon Data Breach Investigations Report (DBIR) von 2016 klicken 13 Prozent der auf Phishing getesteten Personen auf den Anhang der Phishing-E-Mail. Machen Sie sich also nichts vor und glauben Sie nicht, dass keiner Ihrer Benutzer zu diesen 13 Prozent gehört. Fehler beiseite: 20 Prozent der Mitarbeiter sind bereit, ihre Passwörter zu verkaufen, und 44 Prozent dieser Mitarbeiter würden es für weniger als 1.000 Dollar tun! Wenn Sie sich diese Statistiken ansehen und denken: „So etwas würde in meinem Unternehmen nicht passieren“, dann machen Sie den Fehler, wenn Sie Phishing-Vorfälle nicht vorhersehen und sich darauf vorbereiten.

Ein offensichtliches Motiv für Phishing besteht darin, Benutzeranmeldeinformationen zu stehlen, um dann einen umfassenderen Angriff zu starten. Im Verizon DBIR von 2016 wurden 1.429 Vorfälle erfasst, bei denen kompromittierte Anmeldeinformationen verwendet wurden. Wie ist das möglich? Die Passwortmüdigkeit der Benutzer trägt maßgeblich dazu bei. Denken Sie an all die Passwörter, die Sie für Ihren persönlichen Bedarf verwalten – für Ihre mobile Banking-App, Ihr Gmail-Konto, Ihr Facebook-Konto, Ihr Amazon Prime … die Liste ist endlos. Wenden wir diese Situation nun auf die Geschäftswelt an: 80 Prozent der Unternehmen stellen Anwendungen (Office 365, Salesforce, Concur usw.) aus der Cloud bereit. Die sensibelsten Daten eines Unternehmens befinden sich in dessen Anwendungen. Diese Anwendungen stellen möglicherweise die folgenden typischen Anforderungen an die Kennwortkomplexität:

  • Mindestens 8 Zeichen
  • Verwendung von mindestens 1 Sonderzeichen (!,@,#,$, usw.)
  • Verwendung von mindestens 1 Großbuchstaben (A-Z)
  • Verwendung von mindestens 1 Zahl (0-9)


Best Practices besagen, dass Sie für jedes dieser Konten ein einzigartiges Passwort verwenden sollten und dass Sie für viele dieser Apps Ihr Passwort alle 90–180 Tage ändern müssen. Viel Glück beim Merken all dieser Passwörter!

Wie spiegeln sich diese Passwortanforderungen in der Realität wider? Was die meisten Benutzer tatsächlich tun, ist, für die wichtigeren Apps ein oder zwei, vielleicht drei meist einzigartige Passwörter zu verwenden, möglicherweise mit einer kleinen Variation (durch Hinzufügen einer „1“ am Ende). Das bedeutet, dass ein kompromittiertes Passwort für einen Angreifer ein guter Ausgangspunkt ist, um mehrere Anmeldeinformationen zu kompromittieren. Wie können wir das stoppen?

Bei der Implementierung von Sicherheit geht es immer darum, die Balance zwischen Sicherheit und Komfort für den Benutzer zu finden. In unserem schnelllebigen Arbeitsumfeld dürfte die vollständige Beseitigung von Phishing-Angriffen eine Herkulesaufgabe sein – und möglicherweise sogar eine unmögliche. Also, was sollen wir tun? 

Eine hervorragende Lösung, um den Schaden, der durch kompromittierte Anmeldeinformationen infolge von Phishing entsteht, zu verhindern oder zumindest deutlich zu reduzieren, ist die Multi-Faktor-Authentifizierung (MFA). MFA besteht aus etwas, das Sie wissen (ein Passwort), etwas, das Sie haben (ein Token) und sogar etwas, das Sie sind (Biometrie). Durch die Eingabe Ihres Benutzernamens und Kennworts sowie die Bereitstellung einer Art Einmaltoken oder einer physischen Verifizierung stellen Sie sicher, dass nur autorisierte Benutzer auf Ihre Anwendungen zugreifen können.

Wenn Sie zufällig mit einer Reihe von Einhörnern zusammenarbeiten, wie im ersten Absatz beschrieben, gibt es dennoch zahlreiche Belege dafür, dass Sie dennoch eine MFA-Lösung implementieren sollten. Webbrowser und Passwortmanager sind zwar sicherlich nützlich, da sie den Benutzern dabei helfen, bewährte Vorgehensweisen einzuhalten, doch auch Angreifer haben sie im Visier. Wenn Benutzer die Funktion zum automatischen Vervollständigen auswählen, können Angreifer vertrauliche Felder wie Postanschrift, Geburtsdatum und Telefonnummer sowie sogar Passwörter ausblenden und nur grundlegende Eingabefelder wie Name und E-Mail anzeigen. Dies bedeutet, dass Passwörter und andere vertrauliche Informationen der Benutzer unbeabsichtigt in Textfelder eingegeben werden, die der Benutzer nicht sehen kann. Es gibt jedoch Möglichkeiten, den eingegebenen Text zu verschleiern und zu verschlüsseln, sodass er nicht lesbar ist.

Ihre Benutzer möchten von überall und mit jedem Gerät auf Anwendungen zugreifen. Es liegt an Ihnen, ihnen dabei zu helfen, dies sicher zu tun. Die Anwendungszugriffslösungen von F5 bieten eine einfache Integration mit zahlreichen MFA-Anbietern, sodass Sie Ihren Benutzern die Möglichkeit einer Authentifizierung mit einem zweiten oder sogar dritten Faktor oder einer stärkeren Authentifizierung bieten können (z. B. Push-Benachrichtigungen per Einmalkennwort [OTP] für Mobiltelefone über Authentifizierungs-Apps, Yubikey und viele andere). Darüber hinaus können in Verbindung mit den Betrugsschutzlösungen von F5, beispielsweise F5 WebSafe , in Online-Formularen eingegebene Texte, einschließlich Benutzernamen und Passwörter, für zusätzlichen Schutz verschleiert und verschlüsselt werden.

Eine sichere Authentifizierung bei Ihren Anwendungen in Kombination mit einer einfachen, aber verbesserten Erfahrung für Ihre Benutzer ist ein sicherer Gewinn für alle.