Katz-und-Maus-Spiel der Cyberkriminellen
Angriffswelle auf Zwei-Faktor-Authentifizierung

Hannover, 22. September 2022 – Jedes Mal, wenn sich eine Sicherheitsmaßnahme in der Praxis durchgesetzt hat, finden Hacker Mittel und Wege, sie systematisch auszuhebeln. Diesem Leitsatz fällt nun auch die Zwei-Faktor-Authentifizierung (2FA) zum Opfer. Das IT-Profimagazin iX erklärt in Ausgabe 10/22, wie Unternehmen sich technisch vor Angriffswellen schützen und dabei ihre Mitarbeiter einbeziehen.

Seit 2021 sind sämtliche Unternehmen, die Onlinezahlungen durchführen, gesetzlich zur Zwei-Faktor-Authentifizierung verpflichtet. Und auch im Arbeitsleben breiten sich zweistufige Authentifizierungsverfahren aus – per VPN im Homeoffice, vor Ort beim Kunden oder innerhalb von Cloud-Szenarien.

Doch wo sich Menschen in Sicherheit wiegen, sind Hacker nicht weit. So wächst das Angebot an Phishing-Kits im Darknet oder auf privaten Telegram-Kanälen. Diese Werkzeugkästen enthalten Elemente, mit denen selbst technische Laien beispielsweise die Anmeldeseiten bekannter Unternehmen und Onlinedienste nachahmen können. „Basis dieser Angriffe ist die Man-in-the-Middle-Methode“, erklärt iX-Autor David Kelm. Hier schaltet sich der Hacker unbemerkt in die Kommunikation von Nutzer und Anbieter und fängt gezielt Informationen ab. „Wer sich wirksam vor Log-In-Datenklau schützen will, braucht eine aus drei Bausteinen bestehende Sicherheitsstrategie: Toolset, Mindset, Skillset“, sagt Kelm.

Zum neuesten Stand der 2FA-Technik gehört FIDO2. Bei diesem Verfahren erfolgt die Registrierung für einen Onlinedienst mittels automatisch erzeugter kyrptographischer Schlüssel, die Eingabe von Passwörtern ist überflüssig. FIDO2 nutzt außer Hardwaretoken auch biometrische Verfahren wie Fingerabdruckscans oder Gesichtserkennung.

Neben technischen Sicherheitsmaßnahmen sollten Unternehmen in den Aufbau einer nachhaltigen Sicherheitskultur investieren: „Angreifer nutzen die Schwachstelle Mensch, darum sollte man das Bewusstsein jedes Mitarbeiters in Trainings gezielt schärfen“, rät Kelm. Dazu zählt auch der richtige Umgang mit Social Media. Ziel ist, die Beschäftigten für die Gefahr durch Cyberattacken zu sensibilisieren. Ihre Aufmerksamkeit ist mitentscheidend für die IT-Sicherheit des gesamten Unternehmens.

Für die Redaktionen: Auf Wunsch schicken wir Ihnen gern den Artikel zur Rezension.