Sicherheit ist das A&O in der IT und benötigt Aufmerksamkeit bei allen Firmen. Identitätsdiebstahl bei den TOP-100-Firmen, in vielen Krankenhäusern und Universitäten zeigen, dass es kein Problem nur kleiner Firmen ist, sondern alle treffen kann. Eine häufige Methode, die uns begegnet, ist eine Phishing-Mail, die auf eine gefälschte Webseite verlinkt. Dort gibt der User dann seinen Usernamen und sein Passwort ein und wird auf die richtige Webseite weitergeleitet. Im Hintergrund fischt der Angreifer die Zugangsdaten ab und hat ein leichtes Spiel. Gemäß der Verizon Data Breach Investigation Reports aus 2023 sind 74% der Sicherheitsverletzungen durch gestohlene Zugangsdaten verursacht.
Eine sehr bekannte Methode ist die Multifaktor-Authentifizierung. An dieser Stelle wird dann z.B. eine SMS an ein Handy mit einer Nummer gesendet oder per Authenticator APP eine Zahl generiert, die zusätzlich abgefragt wird.
MFA ist nicht gleich MFA
Mobile-App, Token oder SMS / Telefon / Mail bieten schon einen höheren Schutz und werden sehr gerne eingesetzt, da viele Kunden Mobiltelefone besitzen. Aber wie der Report zeigt, werden auch diese Systeme nun häufiger Ziel von Angriffen, da oftmals noch Lücken bestehen. Hier ist der Aufwand schon wesentlich höher, aber wer sagt dir, dass eine SMS nicht auch abgefangen werden kann – durch eine auf dem Handy installierte APP. Es wird also schwieriger aber nicht unmöglich.
Phishing-resistentes MFA, ohne Passwort
Sicherheitskey’s wie der Yubikey oder auch der NitroKey wurden extra designt, um keine Angriffsmöglichkeit zu bieten und setzen auf das FIDO2 Protokoll. Mit FIDO wird der Nutzer weiterhin auf die gefälschte Webseite geroutet, wenn er die Attacke nicht erkennt. Jetzt kommt der Angreifer aber nicht weiter, da er zwar einen Usernamen und Passwort hat aber keinen FIDO Authenticator. Und dieser fragt nun vom Client Portal des Anbieters den FIDO Stick an. Dieser muss eine Bestätigung zurückgeben, um eingeloggt zu sein. Diese Session läuft aber vom wirklichen Server aus und kann nicht von der gefälschten Webseite emuliert werden.
Vorteile von Yubike’s
- Speziell für die Sicherheit und Zusammenarbeit mit FIDO2 entwickelt
- Public/Private Keys Verfahren
- Keine Netzwerkverbindung benötigt
- Keine Client Software notwendig
- Kann 100 gerätegebundene FIDO2 Schlüssel verwalten
- 64x OATH seeds
- 24x PIV Zertifikate (z.B. Windows Domänen Anmeldung)
- 2x OTP Seeds (Startwerte = sehr lange Passworte)
- Wird mit eigenen Mitarbeitern in USA und Schweden produziert
- Hat keine Probleme wenn er mitgewaschen wird (Dichtes Gehäuse)
- Hat CPSN und ist vom BSI vollständig anerkannt
- YubiKey hat keine Batterie, bewegliche Teile, braucht keinen Empfang.
- Es gibt keinerlei Verfallsdatum
- Einsatz in Mobile Restricted Areas sind kein Problem
- Kann mit PCs, IPhones und Android Telefonen über NFC genutzt werden.
Seit Januar 2023 kannst du die Hardware-Sicherheitsschlüssel auch zur Sicherung deines Apple iCloud Accounts nutzen. Hierzu benötigst du einen Haupt- und einen Backup-Schlüssel.
Wenn auch du überlegst, den Zugang für die Mitarbeiter deiner Firma sicherer zu machen, kontaktiere uns gerne. Wir kennen viele Firmen bei denen es nur ein Passwort gibt und das ist häufig der Firmenname oder der eines Fußball Vereins. Hier glaubt man wirklich, dass Schalke04 oder BVBDortmund ein sicheres Passwort wären.
Frag einfach einmal deine Mitarbeiter, was diese über solche Passworte denken oder ob deren Passwort wirklich „geheim“ ist? Dann sollten wir dringend sprechen und zusammen überlegen, wie wir das Login für die Mitarbeiter einfach machen, aber für Datenschutz in deinem Unternehmen sorgen. Kontaktiere uns gerne auch zu weiteren Fragen rund um die Sicherheit deiner EDV.
