Laut einer aktuellen Untersuchung der ESG (Enterprise Strategy Group) teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind. Deshalb plädieren sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen.
Remotezugriff ist jetzt die Norm
Die Nutzung von Online-Diensten ist in den letzten zehn Jahren exponentiell angestiegen. Unternehmen verlagern immer mehr ihrer Geschäftsprozesse in Online-Umgebungen. Dadurch sind Remotezugriffe ebenfalls stetig mehr geworden. Zugleich ist diese Methode der einfachste Weg, um Geschäftstätigkeiten durchzuführen sowie auf sensible Unternehmensdaten zuzugreifen. Doch durch die Verlagerung auf Online-Dienste hat sich auch das Risiko für Sicherheitsverletzungen erhöht, denn böswillige Dritte finden immer komplexere Möglichkeiten, unerlaubt in Systeme einzudringen.
Eine Studie von Ponemon Research, bei der über 500 Unternehmen befragt wurden, ergab, dass allein im letzten Jahr 90 Prozent dieser Firmen von Sicherheitsverletzungen betroffen waren. Derartige Statistiken deuten auf eine eklatante Diskrepanz zwischen aktuellen Sicherheitslösungen und modernen Bedrohungen hin. Es ist ganz offensichtlich, dass große Unternehmen stärkere und effektivere Sicherheitslösungen benötigen, um sich zu schützen.
- Niemals über ein offenes WLAN auf einen Account mit einem Passworte zugreifen.
Wenn Sie sich in einem offenen WLAN oder einem ähnlich unsicheren Netzwerk befinden, sollten Sie Passwörter ausschließlich auf Seiten eingeben, die HTTPS-Verschlüsselung (Hypertext Transfer Protocol Secure) verwenden oder noch besser nur via VPN (Virtual Private Network) auf die entsprechenden Accounts zugreifen. - Keine Passwort-Eingabe auf Webseiten, die Sie über einen Link in einer E-Mail erhalten haben.
Die Gefahr ist zu groß, dass es sich hier um eine Phishing-Mail handelt. Geben Sie die URL von Bank- und Shop-Webseiten immer direkt in Ihrem Browser ein und wechseln dann dort zu der entsprechenden Eingabe. - Keine Passwort-Eingabe auf "unbekannten" Systemen und Seiten
Geben Sie Ihre Passworte nicht auf Systemen ein, deren Sicherheitseinstellungen Sie nicht kontrollieren: Das gilt für den PC im Internet-Café ebenso wie für das System eines Kollegen oder Freundes. - Verwenden Sie grundsätzliche keine "Automatik-Funktionen"
Erlauben Sie keiner Webseite, dass sie Ihren Namen und Ihr Passwort speichert ("remember me"). Vermeiden Sie es ebenfalls, dass sich Ihr System beim Start automatisch bei den diversen Online-Konten wie etwa Web-Mail anmeldet. - Verwenden Sie nie das gleiche Passwort auf mehreren Internet-Seiten.
Ist eine derartige Seite kompromittiert, sind gleich alle Ihre Accounts gefährdet. - Verwenden Sie nie Passworte, die Namen, Geburtstage, Adressen oder andere persönliche Informationen beinhalten.
Solche persönlichen Informationen sollten auch teilweise nicht in Ihren Passworten zu finden sein. Das gilt auch für alle Worte, die sie in einem Lexikon finden können und für Zahlen- oder Buchstabenwiederholungen wie 222 oder Folgen wie ABCD und qwertz. - Verwenden Sie nie das gleiche Passwort über einen längeren Zeitraum.
Auch wenn es zunächst mühsam erscheint: Wechseln Sie Ihre Passworte gerade bei Online-Accounts regelmäßig. Wenigstens alle sechs Monate, besser alle drei Monate oder immer dann, wenn Sie sich auf einer Seite einloggen, die Sie schon lange nicht mehr besucht haben.
Über die Entwicklung von Hackerangriffen
In den frühen Jahren des Internet waren Benutzername und Kennwort die bevorzugte - manchmal die einzige - Form, sich zu authentifizieren. Wollten Hacker in Systeme eindringen, nutzten sie entweder Brute-Force-Angriffe, um die benötigte Information zu erraten oder sie versuchten über Wörterbuchangriffe, Identitäten von Benutzern anzunehmen. Hierbei werden diverse Kombinationen und mögliche Passwörter eingegeben, bis eine Übereinstimmung gefunden ist.
Irgendwann wurden Technologien entwickelt, mit denen verhindert werden konnte, dass solche Angriffe erfolgreich waren: Konten wurden dann nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt.
Doch auch Hacker entwickelten ihre üblen Tricks weiter. So entstanden neue Methoden wie Pharming, Phishing oder eine Kombination aus beidem. Bei solchen Angriffen werden Anwender auf eine gefälschte Webseite geleitet, die der echten täuschend ähnlich sieht. Oft erkennen Anwender nicht, dass sie umgeleitet wurden und so geben sie ihre persönlichen Anmeldedaten preis.
Bei einigen dieser fortgeschritteneren Angriffe wird die gestohlene Information in Echtzeit an Hacker gesendet, wobei viele gängige Token der Zwei-Faktor-Authentifizierung kompromittiert werden. Bei der Malware Zeus beispielsweise werden Benutzername und Passwort - sogar fortgeschrittene zeitbasierte Token-Codes - erbeutet und die Information per Sofortnachricht direkt an den Hacker gesendet.
Als wäre es nicht schon genug, die Standard-Anmeldungsmethode zu kompromittieren, sind unlängst neue, noch ausgereiftere Methoden zum Abfangen von Anmeldedaten entstanden. Dazu gehören Angriffe wie Man-in-the-Browser, Man-in-the-Middle und Session-Hijacking.
Diese Methoden sind dreister und noch verdeckter, sodass nicht einmal mehr die sicherheitsstärksten Token für die Zwei-Faktor-Authentifizierung effektiv sind. Viele Organisationen erkennen jedoch nicht, dass herkömmliche Token auf diese Weise kompromittiert werden können und ein erhebliches Sicherheitsrisiko bedeuten, dem man sich annehmen muss.