Cybersecurity Awareness Month 2024: Imperva gibt 4 Tipps für mehr Sicherheit in der digitale Welt

Imperva nimmt Stellung zur internationalen Initiative, welche auf einfache Möglichkeiten fokussiert, sich selbst, die Familie und Unternehmen vor Online-Bedrohungen zu schützen

[datensicherheit.de, 19.10.2024] Der „Cybersecurity Awareness Month“ versteht sich als eine internationale Initiative, welche sich demnach auf einfache Möglichkeiten konzentriert, sich selbst, die Familie und Unternehmen vor Online-Bedrohungen zu schützen. Das Leitthema des Jahres 2025, „Secure our World“, solle die Allgegenwärtigkeit digitaler Technologien unterstreichen, welche Verbindungen auf der ganzen Welt ermöglichen, und aufzeigen, wie einfache, aber wirksame Maßnahmen eine nachhaltige Wirkung entfalten könnten. „In einer Welt, in der die digitalen Leben immer stärker miteinander verflochten sind, erhöht jeder abgesicherte Angriffsvektor die Sicherheit der vernetzten Menschen.“ In diesem Zusammenhang werden nachfolgend von Imperva „die vier besten Wege zur Absicherung der digitalen Welt“ vorgestellt:

1. Imperva-Tipp zur Absicherung: Schutz von Zugangsdaten – und zwar ohne Passwörter

Bedrohungsakteure würden immer geschickter darin, gezielt auf Zugangsdaten zuzugreifen, daher bewege sich die Branche allmählich weg von Passwörtern und hin zu einer passwortlosen Zukunft. „Das bedeutet, dass man auf andere Formen der Authentifizierung umsteigt, die biometrische Daten, PINs, Muster und Passkeys anstelle von Passwörtern nutzen können.“ Mit einer wachsenden Anzahl von Passkeys und passwortlose Authentifizierung unterstützenden Plattformen werde die Abkehr von Passwörtern immer einfacher und reibungsloser.

„Wenn passwortlose Optionen nicht machbar sind, sollten sichere Passwörter mit einem Passwortmanager verwendet werden!“ Leider verwendeten weniger als 40 Prozent aller Online-Nutzer für jedes Konto ein eigenes Passwort, so der Bericht der „National Cybersecurity Alliance 2023 Oh Behave!“. Wiederverwendete Passwörter gäben Cyber-Kriminellen einen Bonus-Zugang zu anderen Bereichen des digitalen Lebens einer Person, wenn sie sich nur die Mühe gemacht hätten, einen einzigen Zugangscode zu stehlen bzw. zu kaufen oder gar zu knacken.

Abgesehen davon, dass man sich für jede Website anders anmelden sollte, empfehle die gängige Meinung (s. z.B. CISA), dass ein sicheres Kennwort Folgendes enthalten sollte:

• Mindestens 16 Zeichen.
• Zufallsgenerierung mit einer Mischung aus Buchstaben, Symbolen und Zahlen.
• Möglicherweise eine „Passphrase“ aus vier bis sieben Wörtern, wobei eine Zufallsgenerierung empfohlen werde.

In beiden Fällen – Passwörter oder passwortlose Schlüssel – werde ein Passwort-Manager benötigt. Angesichts der Tatsache, dass eine Durchschnittsperson etwa 100 verschiedene Anmeldedaten verwalten müsse, sei es kein Wunder, dass fast ein Drittel der Internetnutzer einen Passwort-Manager verwende, um diese alle zu verwalten.

2. Imperva-Tipp zur Absicherung: Erkennen und Melden von Phishing

Laut dem „Thales 2024 Data Threat Report“ (DRT) sei Phishing der am zweitschnellsten wachsende Angriffsvektor. Phishing-Taktiken würden dank KI immer raffinierter, und es sei wichtiger denn je, Arbeitnehmer in die Lage zu versetzen, deren verräterischen Zeichen zu erkennen. KI-basierte Kampagnen könnten nun wortgetreue E-Mails in jeder beliebigen Sprache verfassen, in der Regel:

• Ein Gefühl der Dringlichkeit erzeugen (Panik erzeugen und das kritische Denkvermögen kurzschließen).
• Aufforderung zu einer ungefragten Handlung (z.B. „Ändern Sie Ihr Passwort jetzt!“ oder „Downloaden Sie jetzt!“).
• Aufforderung zur Eingabe persönlicher Daten (in der Regel Finanzdaten, wie beim „Business Email Compromise“ / BEC-Betrug).

Der effektivste Weg, Menschen in die Lage zu versetzen, Phishing-E-Mails zu erkennen und zu melden, sei jedoch die Stärkung der „menschlichen Firewall“. Unternehmen sollten in Schulungsprogramme zum Sicherheitsbewusstsein nicht nur für ihre Mitarbeiter, sondern auch für deren Familien investieren, um eine positive Kultur zu schaffen – „in der jeder aufgefordert ist, Fehler zu melden, z.B. das Klicken auf einen bösartigen Link“.

3. Imperva-Tipp zur Absicherung: Multifaktor-Authentifizierung einschalten

Die Multifaktor-Authentifizierung (MFA) werde von vielen Anbietern von „Cloud“-Diensten und noch mehr von normalen Unternehmen als Sicherheitsebene verlangt. CISA, ENISA und andere globale Sicherheitsbehörden rieten dazu, „dass jeder sie einführt, da sie zusätzliche Sicherheitsebenen neben den Passwörtern allein schafft (z.B. einen Textverifizierungscode oder einen Fingerabdruck)“. Es seien verschiedene MFA-Optionen verfügbar:

• Phishing-resistente MFA werde von der CISA als „Goldstandard“ bezeichnet und umfasse FIDO/WebAuthn-Authentifizierung und PKI-basierte Methoden (Public Key Infrastructure ).
• App-basierte MFA-Methoden erhöhten die Sicherheit, indem sie eine „Pop-up“- oder „Push“-Benachrichtigung an das Telefon des Benutzers sendeten, ein Einmalpasswort (OTP) generierten oder ein token-basiertes OTP verwendeten.
• Bei SMS- oder Voice-MFA werde dem Benutzer einfach ein Verifizierungsanruf oder -text geschickt.

Trotz der Bedeutung und Vielfalt solcher MFA-Methoden zeige der „DTR“-Bericht von Thales 2024, dass nur 46 Prozent der Unternehmen MFA für mehr als 40 Prozent ihrer Mitarbeiter nutzten. Eine phishing-resistente MFA sei zwar am effektivsten gegen KI-gestützte Social-Engineering-Angriffe, aber jede Form von MFA schon gleich viel besser als gar keine MFA. Darüber hinaus biete die Einführung von MFA einen großen geschäftlichen Nutzen. Der „Thales 2024 Digital Trust Index“ zeige, dass 81 Prozent der Kunden erwarteten, „dass Marken MFA anbieten, was zu einer größeren Loyalität und einem größeren Vertrauen führt“.

4. Imperva-Tipp zur Absicherung: Software aktualisieren: Eine wichtige Abwehrmaßnahme, aber mit Vorsicht zu genießen

Alle Mitarbeiter müssten wissen, „dass sie jedes Mal, wenn sie daran erinnert werden, Software-Updates akzeptieren und anwenden müssen“. Sicherheitslücken könnten nur so geschlossen werden. Einem Ponemon-Bericht zufolge gingen 60 Prozent der Sicherheitsverletzungen auf nicht gepatchte Schwachstellen zurück, was diese einfache Maßnahme noch wichtiger mache.

Cyber-Kriminelle hätten sich schnell KI zu eigen gemacht, um selbst Zero-Day-Schwachstellen zu erkennen und auszunutzen. Interessanterweise öffneten diese ungepatchten Lücken den Weg für die Verbreitung störender Ransomware-Angriffe.

Unternehmen, insbesondere in Kritischen Infrastrukturen, sollten ihre Systeme jedoch mit Bedacht und nicht aus Angst patchen. Auch wenn rechtzeitige Sicherheitsupdates von entscheidender Bedeutung seien, sei es ebenso wichtig, diese Updates in einer kontrollierten Umgebung zu testen. Dies sollte erfolgen, „bevor sie veröffentlicht werden, um die Möglichkeit zu minimieren, dass Kritische Systeme beschädigt werden“.

Impervas Fazit:

Das übergeordnete Ziel des „Cybersecurity Awareness Month“ sei die Sicherheit von Identitäten, Anwendungen, Daten und Software – sowohl von persönlichen als auch von Unternehmensdaten – zu verbessern. Wie die oben genannten Methoden zeigten, müssten gute Verteidigungsmaßnahmen nicht schwierig zu handhaben oder umzusetzen sein. „Wenn man es einfach hält, und praktische, leicht zu handhabende Werkzeuge und Verfahren einsetzt, wird es auch besser angenommen.“

Als Unternehmen sollten die oben genannten bewährten Verfahren durch Lösungen ergänzt werden, „die einen zuverlässigen Anwendungs- und Datenschutz bieten, um das Risiko einer Datenverletzung zu verringern“. Diese Lösungen schützten Anwendungen und APIs, könnten sensible Daten erkennen und klassifizieren, böten Risikoinformationen und ergänzten die Bemühungen der Mitarbeiter um mehr Sicherheit. Die oben genannten benutzerfreundlichen Methoden ermöglichten es Mitarbeitern, die „erste Verteidigungslinie“ zu sein, und die Bereitstellung z.B. von Imperva-Lösungen sei die nächste Verteidigungsebene.

Weitere Informationen zum Thema:

NATIONAL CYBERSECURITY ALLIANCE, 24.09.2024
Cybersecurity Awareness Month / Oh Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2024

THALES, 2024
Global Edition: 2024 Thales Data Threat Report / Navigating New Threats and Overcoming Old Challenges

THALES BLOG, Amit Prakaash, 02.07.2024
Redefining Security: The Power of Passwordless Authentication

THALES BLOG, Pedro Martinez, 02.02.2024
Passkeys and The Beginning of Stronger Authentication

imperva, Blog, Nik Hewitt, 10.10.2022
Why we all Need a Password Manager / What is a password manager?

CISA America’s Cyber Defense Agency
Require Strong Passwords / Enforcing a password manager protects your business / Strong Passwords Mean Safer Business Accounts