Thumbnail

Insider Threats: Warum 3 Faktoren immer besser sind als 2

Sarina Kraft 25/01/2019, Security

Über den letzten großen Hackerangriff im Januar 2019 brauchen wir eigentlich gar nicht mehr zu reden. Vermutlich ist alles zu diesem Thema bereits gesagt worden. Die Bundesjustizministerin Barley forderte ein schnelleres Sperren gehackter Accounts, der Hacker, ein 19-jähriger aus Heilbronn, wurde recht schnell gefunden. Aber: Was lernen wir daraus? Vermutlich haben Sie bereits überprüft, ob Ihr Passwort kompromittiert worden ist und es gegebenenfalls geändert. Sollten Sie also eine E-Mail mit diesem oder ähnlichen Wortlaut erhalten – „wir kennen Ihr Passwort und haben einen Trojaner auf Ihren PC geschleust“, – können Sie diese getrost löschen. Ein neues Passwort allein wird jedoch in Unternehmen nie ausreichen, um sensible Daten vor böswilligen Zeitgenossen, Industriespionage oder so genanntem Social Engineering zu schützen. Daher gilt: 3 Faktoren sind immer besser als 2.

 

Social Engineering und die fiesen Tricks der Betrüger

Stellen Sie sich einmal das folgende Szenario vor. Es ist kurz vor Feierabend und ein Mitarbeiter (m/w/d) erhält einen Anruf vom Tech-Support mit diesem oder ähnlichem Inhalt: „Nach Beendigung der regulären Arbeitszeit werden alle Rechner neu aufgesetzt. Damit Ihre persönlichen Inhalte nicht verloren gehen, müssen sie separat gesichert werden. Dazu benötigt der Systemadministrator den Login-Namen und das persönliche Passwort eines jeden Mitarbeiters. Nach den notwendigen Arbeiten am System könne man sich am darauffolgenden Morgen wieder mit dem alten Passwort einloggen und sollte dies dann aus Sicherheitsgründen unbedingt sofort ändern.“ Klingt plausibel, oder?

Wer kennt schon alle Mitarbeiter im IT-Support. Oftmals sind auch Vertragsunternehmen, Contractors oder freie Mitarbeiter mit dem Thema Sicherheit befasst. Wer es also eilig hat, nachhause zu kommen, wird dieses Vorgehen des vermeintlichen Systemadministrators vermutlich nicht hinterfragen. So oder so ähnlich kann Social Engineering funktionieren. Die Schwachstelle in punkto Sicherheit sitzt also meistens vor dem Computer.

 

Was ist eigentlich Social Engineering?

Der Begriff des Social Engineerings stammt aus der Philosophie und basiert auf einer Idee von Karl Popper. Es ging hierbei – sehr vereinfacht gesagt - darum, dass jeder Mensch optimiert werden kann, dies aber ausgehend von einem positiven Ansatz: Die Menschen sollten besser miteinander umgehen. Heutzutage wird der Begriff jedoch eher im Zusammenhang mit unterschwelliger Beeinflussung in betrügerischer Absicht verwendet. Was können Sie also tun, um sich gegen diese Betrüger zu wappnen?

 

Wie können Sie die Compliance-Anforderungen einhalten?

Die Europäische Union fordert in der neuen Datenschutz-Grundverordnung (DSGVO) von Unternehmen in der EU, ihre Sicherheitstechnik auf den neuesten Stand zu bringen. Eine zeitgemäße und anerkannte Technologie ist die Multifaktor-Authentifizierung (MFA).

Eine Multifaktor-Authentifizierungslösung, also drei Faktoren, ist derzeit der Königsweg bei der Sicherung vor unbefugtem Zugriff auf unternehmenskritische Daten. Sie erschaffen sozusagen ein mehrschichtiges Bollwerk. Bei dieser sehr sicheren Art der Authentifizierung werden mehrere Berechtigungsnachweise eingesetzt. Sollte ein Faktor kompromittiert sein, hat der Hacker mindestens noch eine weitere Barriere zu überwinden, um in das System eindringen zu können. Eine MFA sieht zum Beispiel so aus:

  • Was kennt der Anwender (Passwort)
  • Was hat der Anwender (Security Token, Hardware oder Software)
  • Was ist der Anwender (biometrische Verifizierung)

Die genutzten Faktoren basieren also auf speziellem Wissen, einem mitgeführten Gegenstand oder biometrischen Merkmalen.

Praktisch ist die benutzerfreundliche Software-Variante, die tokenlose Remote-Authentifizierung, die sowohl als On-Premise-, Hybrid-, oder Cloud-Lösung verfügbar ist.  Schützen Sie sich also vor Social Engineering und unterstützen Sie Ihre Mitarbeiter dabei, einen sicheren Zugang zu sensiblen Daten zu erhalten. Auch wenn der Mitarbeiter auf einen böswilligen „Social Engineer“ hereinfällt und die Login-Daten preisgibt, wird der Hacker an der nächsten Hürde scheitern.

Wenn Sie mehr über die Lösungen von SecurEnvoy wissen möchten, kontaktieren Sie uns gerne.

Related Posts