[datensicherheit.de, 13.02.2025] Thales gibt die Einführung von OneWelcome FIDO Key Lifecycle Management bekannt. Dabei handelt es sich um eine neue Lösung, die großen Unternehmen bei der erfolgreichen Bereitstellung und Verwaltung von FIDO-Sicherheits-Passkeys im großen Maßstab helfen soll.

Das Produkt kombiniert nach Angaben des Herstellers eine interoperable Managementplattform mit den FIDO-Hardware-Sicherheitsschlüsseln des Unternehmens (Passkeys). Die Nutzung ist insbesondere im Umfeld von großen Unternehmen vorgesehen und kann CISOs dabei unterstützen die Authetifizierung per Nutzernamen-Passwort-Kombination zu ersetzen. Dies soll durch das einfache und effiziente skalierbare Management von FIDO-Sicherheitsschlüsseln über deren gesamten Lebenszyklus hinweg ermöglicht werden.

Danny de Vreeze, Vice President, Identity & Access Management bei Thales, sagt: „Die Authentifizierung steht im Mittelpunkt des Identitätsschutzes. Wir unterstützen Organisationen beim sicheren Übergang zur passwortlosen Authentifizierung. Mit dieser Lösung erfolgt der Übergang reibungslos und IT-Teams werden auch nach der Einführung bei der einfachen Verwaltung von FIDO-Sicherheitsschlüsseln unterstützt. OneWelcome FIDO Key Lifecycle Management ist ein wesentlicher Teil unseres Konzepts Passwordless 360°, das Unternehmen dazu ermutigt, die passwortlose Authentifizierung in großem Maßstab zu implementieren und deren strategische Vorteile zu nutzen.“

FIDO-Sicherheitsschüssel sind der Goldstandard für den Schutz von Unternehmen vor Phishing-Angriffen. Umständliche Registrierungs- und Lifecycle-Management-Prozesse führen jedoch häufig zu Benutzerfrustration, IT-Overhead und Verzögerungen bei der Bereitstellung der passwortlosen Authentifizierung.

Die neue Lösung soll IT-Teams ermöglichen, Schlüssel zügig vorab zu registrieren und sie von der Vergabe bis zum Entzug einfach und sicher zu verwalten. OneWelcome FIDO Key Lifecycle Management entlastet dabei die Endnutzer, die diese Aufgaben nicht mehr selbst durchführen müssen. Darüber hinaus beschleunigt es die Bereitstellung der FIDO-Authentifizierung im großen Maßstab und schützt den gesamten Lebenszyklus von FIDO-Schlüsseln.

Andrew Shikiar, Executive Director und CEO bei The FIDO Alliance, sagt: „Die FIDO Alliance hat es sich zur Aufgabe gemacht, die weltweite Abhängigkeit von Passwörtern durch eine einfachere, stärkere Authentifizierung zu reduzieren. Als aktives Mitglied im Vorstand der FIDO Alliance bekräftigt Thales diese Mission, indem es mit seiner gerätegebundenen Passkey-Managementlösung, die zudem das Management von Schlüsseln über den gesamten Lebenszyklus hinweg ermöglicht, eine breitere Bereitstellung der FIDO-Standards unterstützt.“

Die interoperable Managementplattform ist über APIs für die Bereitstellung von FIDO2 in Microsoft Entra ID integriert, wodurch Unternehmen FIDO-Schlüssel von Thales für ihre Endnutzer vorab registrieren können.

Natee Pretikul, Principal Product Management Lead bei Microsoft Security, sagt: „ Mit APIs für die Bereitstellung von FIDO2 und unserer langjährigen Zusammenarbeit mit Thales versetzen wir Unternehmen in die Lage, Phishing-resistente Authentifizierung im großen Maßstab bereitzustellen. Indem Endnutzer vorab für einen Passkey (FIDO2) registriert werden, können Phishing-resistente Multifaktor-Authentifizierungsmethoden schneller eingesetzt werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung

[datensicherheit.de, 21.02.2024] Google und Yahoo! werden laut Medienberichten neue E-Mail-Authentifizierungsanforderungen einführen. Rob Holmes, „Group Vice President“ und „General Manager, Sender Security and Authentication“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass die E-Mail offensichtlich eines der meistgenutzten Kommunikationsmittel in Unternehmen und der bevorzugte Kommunikationskanal für Verbraucher ist. Er warnt daher: „Deshalb nutzen Kriminelle dieses Medium für Phishing, ,Business Email Compromise’ (BEC), Spam und andere Betrugsmethoden.“ Google und Yahoo! kämpften jetzt mit neuen Anforderungen an die E-Mail-Authentifizierung gegen diesen Missbrauch von E-Mails. „Eine gute Nachricht für Verbraucher“, meint Holmes, allerdings hätten Unternehmen nicht mehr viel Zeit, um sich darauf vorzubereiten: „Sowohl Google als auch Yahoo! werden ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft setzen!“

Foto: Proofpoint

Rob Holmes: Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene…

Google und Yahoo! legen Finger in die Wunde der Unternehmen

E-Mail-Authentifizierung sei seit vielen Jahren bewährte Praxis. Holmes erläutert: „Das offene Protokoll DMARC (Domain-based Message Authentication Reporting and Conformance) beispielsweise gibt es schon seit zehn Jahren. Es ist der ,Goldstandard’ gegen die Nachahmung einer E-Mail-Absender-Domain, einer Schlüsseltechnik für BEC- und Phishing-Angriffe.“ Aber viele Unternehmen hätten es noch nicht implementiert und liefen durch die neuen Anforderungen Gefahr, „dass ihre E-Mails nicht mehr an ,Gmail’- und ,Yahoo’-Adressen zugestellt werden“. Die DMARC-Implementierung könne sich als schwierig erweisen, da sie eine Reihe von technischen Schritten und kontinuierliche Wartung erfordere. Nicht alle Unternehmen verfügten intern über die Ressourcen oder das Wissen, um die Anforderungen rechtzeitig zu erfüllen.

Phishing und BEC stellten eine enorme Bedrohung für Unternehmen aller Branchen dar. Proofpoints aktueller „State of the Phish“-Report zeigt demnach, dass 87 Prozent der deutschen Unternehmen im Jahr 2022 mit Phishing-Angriffen konfrontiert waren. Das FBI habe BEC aufgrund der enormen finanziellen Verluste der Opfer als „26-Milliarden-Dollar-Betrug“ bezeichnet. „Die E-Mail-Authentifizierung bietet Schutz vor diesen Bedrohungen, indem sie die Angriffskette bei E-Mail-basierten Angriffen unterbricht“, so Holmes.

Zeit als größte Herausforderung für Nutzer der E-Mail-Angebote von Google oder Yahoo!

DMARC und die damit verbundenen Authentifizierungsmechanismen – die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Key Identified Mail) – arbeiteten zusammen, um E-Mails zu sichern und Techniken wie E-Mail-Spoofing zu verhindern. Holmes führt aus: „SPF ermöglicht es beispielsweise dem empfangenden E-Mail-Server zu überprüfen, ob die eingehende E-Mail von einer autorisierten IP-Adresse des Unternehmens stammt.“ Diese Überprüfung verhindere, „dass ein Angreifer die E-Mail-Identität eines Unternehmens annimmt“, und biete sowohl den Mitarbeitern als auch den Kunden ein gewisses Maß an Schutz.

Holmes unterstreicht: „Wenn Unternehmen mit ihren Kunden über ,Gmail’ und ,Yahoo’ kommunizieren und noch keine E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC implementiert haben, ist Zeit die größte Herausforderung.“ Die Einrichtung erfordere für jedes Protokoll mehrere Schritte und könne sich als schwierig erweisen, „insbesondere wenn der Absender mehrere Domains verwendet“. Sobald die Protokolle eingerichtet sind, stehen Organisationen laut Holmes vor weiteren Herausforderungen, da sie ihre DMARC-, SPF- und DKIM-Einträge weiterhin pflegen müssten.

Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden

Eine Möglichkeit diesen Prozess zu vereinfachen seien „Tools“, „die sich in bestehende Arbeitsabläufe integrieren lassen und die Implementierung rationalisieren“. Durch die Zusammenarbeit mit einem Sicherheitspartner könnten Unternehmen außerdem auf sehr erfahrene Ressourcen zurückgreifen, „die sie möglicherweise nicht im eigenen Haus haben“.

Die neuen Anforderungen unterschieden sich geringfügig zwischen Google und Yahoo!: „Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden (5.000 oder mehr pro Tag). Es empfiehlt sich, ,Best Practices’ für die E-Mail-Authentifizierung zu implementieren, die über die Anforderungen dieser E-Mail-Anbieter hinausgehen.“ Die Einführung von „Best Practices“ erhöhe die Sicherheit und helfe, Risiken im E-Mail-Verkehr zu minimieren.

Maßnahmen von Google und Yahoo setzen manche Unternehmen unter Druck – geben aber den längst nötigen Anschub

Durch die Maßnahmen von Google und Yahoo mögen manche Unternehmen sich unter Druck gesetzt fühlen. Letztlich würden sie ihnen helfen, ihre Mitarbeiter, Teams und Stakeholder besser zu schützen. Google und Yahoo wollten ihre Nutzer schützen.

Für Unternehmen sei die E-Mail-Authentifizierung allerdings von noch größerem Nutzen, weil betrügerische E-Mails nicht nur Kunden beeinträchtigen. Daher sollten Unternehmen diese neuen Anforderungen als Katalysator betrachten, um ihren allgemeinen Schutz vor E-Mail-Bedrohungen zu verstärken und zu verbessern.

Mit Sicherheitspartner zusammenzuarbeiten, um neuen Anforderungen von Google und Yahoo! zu genügen

Holmes legt nahe: „Es empfiehlt sich, mit einem vertrauenswürdigen Sicherheitspartner zusammenzuarbeiten, der über E-Mail-Authentifizierungsexperten verfügt, die sie durch den Implementierungsprozess führen und diesen vereinfachen.“ Unternehmen könnten auch Proofpoint-Ressourcen wie die technische Kurzbeschreibung „DMARC Creation Wizard“ und das E-Mail-Authentifizierungskit nutzen, um den Einstieg zu erleichtern.

Es gebe auch „Tools“, mit denen die DMARC- und SPF-Einträge einer Domain überprüft und ein DMARC-Eintrag für die Domain erstellt werden könne. Solche sollten Teil einer umfassenden „Email Fraud Defense“-Lösung sein, „die gehostete SPF-, gehostete DKIM- und gehostete DMARC-Funktionen bietet, um die Bereitstellung und Wartung zu vereinfachen und die Sicherheit zu erhöhen“.

Neue E-Mail-Anforderungen von Google und Yahoo! sollten Unternehmen als Chance begreifen

Holmes’ Fazit: „Der Mensch ist nach wie vor das schwächste Glied in der Kette digitaler Angriffe, und menschliches Versagen ist die Hauptursache für Cyber-Vorfälle.“ Während die Sensibilisierung und Schulung der Nutzer eine wichtige Rolle bei der Stärkung der menschlichen Komponente spiele, seien technische Kontrollen wie DMARC von entscheidender Bedeutung, um Unternehmen vor E-Mail-basierten Angriffen und Betrug zu schützen.

Aber er gibt ausch abschließend zu bedenken: „Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene, um die Sicherheit insgesamt zu verbessern.“ Die neuen E-Mail-Anforderungen von Google und Yahoo! böten Unternehmen nun eine große Chance, die Lücken in ihrer E-Mail-Sicherheit zu schließen. Unternehmen müssten diesen Weg indes nicht alleine beschreiten: „Es gibt Experten und Ressourcen, die ihnen dabei helfen können, E-Mail-Betrug ganzheitlich anzugehen“.

Weitere Informationen zum Thema:

proofpoint
DMARC Creation Wizard / Create your DMARC record now

proofpoint
Awareness Material / Email Authentication Kit

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

[datensicherheit.de, 18.10.2023] Seit der flächendeckenden Einführung der Multifaktor-Authentifizierung (MFA) in einer Reihe von Unternehmen und IT-Produkten sowie Portalen häuften sich Vorfälle, bei denen die Maßnahmen umgangen werden. Angreifer hätten sich mittlerweile darauf spezialisiert, mit mehreren Authentifizierungsstufen umzugehen, meldet KnowBe4 und warnt: „Es ist zunehmend üblich, dass Angreifer QR-Codes oder Bilder verwenden, um Opfer in die Irre zu führen. In den Betreffzeilen von Phishing-E-Mails wird oft der Name bekannter Marken oder Unternehmen missbraucht, um die Aufmerksamkeit zu erregen“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Mitarbeiter aus allen Abteilungen sollten lernen, Social-Engineering-Taktiken zu erkennen!

Verbreitete Methoden zum Angriff auf die Multifaktor-Authentifizierung:

• Bilder anstelle von Text
• QR-Codes anstelle von infizierten Links und Anhängen
• Zufallsgenerierung von „Absender“-Namen und E-Mail sowie Verschlüsselung mit SHA-256
• Manipulation von Betreffzeilen zur Verfälschung von Authentifizierungsdaten (SPF, DKIM, …)

Auf diese oder ähnliche Weise überlisten demnach Angreifer vorhandene Filter und andere technische Schutzmaßnahmen, so dass Phishing-E-Mails im Posteingang der Mitarbeiter landen.

Absicht, Mehrfaktor-Authentifizierungsfaktoren hoch privilegierter Benutzer zurückzusetzen

Im September 2023 habe der Anbieter von Identitäts- und Authentifizierungsmanagement Okta vor Social-Engineering-Angriffen gewarnt, „die die Mehrfaktor-Authentifizierung umgehen“. Diese Angriffe zielten auf IT-Mitarbeiter ab und versuchten, Administratorrechte zu erlangen, um Unternehmensnetzwerke zu infiltrieren und zu übernehmen.

Dr. Krämer führt aus: „Mehrere Unternehmen in den USA waren von wiederholten Social-Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter betroffen. Bei diesen Angriffen versuchten die Angreifer, die Mitarbeiter des Service-Desks dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren (MFA), die von hoch privilegierten Benutzern eingerichtet wurden, zurückzusetzen.“

Nachdem die hoch privilegierten Okta-Superadministrator-Konten kompromittiert gewesen seien, schienen die Angreifer diese Situation auszunutzen, „um legitime Identitätsföderationsfunktionen zu missbrauchen“. Dadurch hätten sie sich innerhalb der infiltrierten Organisation als berechtigte Benutzer ausgeben können.

Sensibilisierung für Sicherheitsfragen, bevor Mehrfaktor-Authentifizierung kompromittiert wird

Nach Angaben des MFA-Anbieters hätten die Angreifer bereits über einige Informationen über die Zielorganisationen verfügt, „bevor sie die IT-Mitarbeiter kontaktierten“. Es scheine, dass sie entweder im Besitz von Passwörtern für privilegierte Benutzerkonten sind oder die Fähigkeit besitzen, den Authentifizierungsfluss über das „Active Directory“ zu beeinflussen.

„Dies tun sie, bevor sie den IT-Service-Desk einer Zielorganisation kontaktieren und das Zurücksetzen sämtlicher MFA-Faktoren des Zielkontos anfordern“, so Dr. Krämer. Bei den betroffenen Unternehmen hätten sie es speziell auf Nutzer mit Superadministrator-Rechten abgesehen. Darüber hinaus hätten sie sich außerdem mit einer gefälschten App als ein anderer Identitätsmanagement-Anbieter ausgegeben.

Eine wirksame Methode, um das eigene Unternehmen trotz kompromittierter MFA zu schützen, seien Schulungen zur Sensibilisierung für Sicherheitsfragen. Dr. Krämer erläutert abschließend: „Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor zielgerichteten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.“

Weitere Informationen zum Thema:

KnowBe4
Multi-Factor Authentication Defined

[datensicherheit.de, 23.05.2023] Eigentlich gilt die Multi-Faktor-Authentifizierung (MFA) zur Zeit als eine der sichersten Methoden zum Schutz vor Bankkonten-Betrug: Neben herkömmlichen Anmeldedaten wie Benutzername und PIN bzw. Passwort ist dann ein zusätzlicher Faktor erforderlich, um die Anmeldung erfolgreich abzuschließen – dies kann ein Token oder ein Code sein. „Darüber hinaus werden passwortlose Authentifizierungsverfahren mit biometrischer Unterstützung immer beliebter“, betont Wiebe Fokma, „Director EMEA Global Advisory“ bei BioCatch, in seiner aktuellen Stellungnahme. Der Einsatz verhaltensbiometrischer Technologien ergänzt laut Fokma sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie ,Law Enforcement Scams’ erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten.“

Foto: BioCatch

Wiebe Fokma: Herkömmliche Lösungen zur Betrugserkennung reichen nicht mehr aus!

Bei passwortbasierter Multi-Faktor-Authentifizierung kommen Social-Engineering-Attacken zum Einsatz

Cyber-Kriminelle verfügten indes über Methoden, um auch das beste MFA-Verfahren zu umgehen, warnt Fokma und erläutert: „Bei ,einfachen’ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing.“

Bei den als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegten sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit – zum Beispiel „Law Enforcement Scams“.

Auch Law Enforcement Scam zur Aushebelung der Multi-Faktor-Authentifizierung

Beim „Law Enforcement Scam“ geben sich Hacker demnach als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch „WhatsApp“ werde für diese Masche immer beliebter:

„Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erläutert Fokma.

Zusätzliche Sicherheit für Multi-Faktor-Authentifizierung durch Verhaltensbiometrie

Das Problem laut Fokma: „Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen.“

Ein wirksames Mittel sei hierzu die Beobachtung des Nutzerverhaltens, „insbesondere wenn dieses vom bisherigen Muster abweicht“. Ein für den Bankkunden bislang untypisches Verhalten könne ein Zeichen dafür sein, „dass ein Betrugsversuch in Echtzeit vorliegt“. Mit Hilfe von Verhaltensbiometrie ließen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.

Multi-Faktor-Authentifizierung wird ergänzt um Erfassung ungewöhnlicher Verhaltensweisen

„Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden.“ Dadurch sei das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußere. Beim „Mobile Banking“ via Smartphone werde der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolge vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. „Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten“, berichtet Fokma.

„Erfolgt die Überweisung am PC, können ziellose Maus-Bewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten.“ Ein weiteres Zeichen für Echtzeitbetrug seien verzögerte Tastatureingaben, „da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt“, führt Fokma abschließend aus.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2021
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede / Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet

[datensicherheit.de, 25.05.2022] Patrick McBride, „Chief Marketing Officer“ von Beyond Identity, kommentiert das endgültige Inkrafttreten der Datenschutz-Grundverordnung (DSGVO): Mit der DSGVO sei ein einheitlicher Standard geschaffen worden, welcher auf widerstandsfähigen Cyber-Sicherheitspraktiken beruhe und unsere Daten und Privatsphäre schützen solle. „Bei der Umsetzung wird dabei jedoch gerne übersehen, dass ,Privacy‘ und ,Security‘ Hand in Hand gehen, und keine wirkliche Sicherheit gewährleistet werden kann, solange Passwörter und traditionelle MFA im Spiel sind“, sagt McBride.

Foto: Beyond Identity

Patrick McBride: Herkömmliche MFA ist im Grunde genommen nutzlos…

DSGVO macht keine spezifischen Aussagen zur Verwendung von Passwörtern

Die DSGVO mache an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichte Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. McBride rät: „Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.“
Dabei herrsche in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten könnten, „wenn sie nur lang und komplex genug sind“. McBride betont: „Doch diese Annahme ist einfach nur FALSCH. Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine passwort-basierte Authentifizierung in Unternehmern abzuschaffen.“

Nicht nur klassische Passwörter weisen große Sicherheitsmängel auf

Doch nicht nur klassische Passwörter wiesen große Sicherheitsmängel auf, auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – könnten von Cyber-Kriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden. „Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht.“
Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. McBride fordert abschließend: „Staatliche Stellen müssen sicherstellen, dass Unternehmen phishing-resistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

[datensicherheit.de, 05.05.2022] Am 5. Mai 2022 jährt sich der „World Password Day“ zum neunten Mal – und das Thema der sicheren Authentifizierung ist offensichtlich so aktuell wie nie. „Denn nach wie vor zählen Passwörter zu den schwerwiegendsten Sicherheitsrisiken für Privatpersonen und Unternehmen. Und mindestens ebenso lange sind IT-Verantwortliche um die Umsetzung und Einhaltung einer effektiven Passwortrichtlinie bemüht“, führt Dirk Decker, „Regional Sales Director DACH“ bei Ping Identity, in seinem aktuellen Kommentar aus. Er betont: „Statt uns darauf zu konzentrieren, eine gute ,Kennworthygiene‘ zu etablieren, könnten wir uns also auch fragen, warum wir überhaupt noch Passwörter verwenden sollten.“

Foto: Ping Identity

Dirk Decker: Drängen Vorgesetzten auf ein häufig zu änderndes Passwort, besteht die Gefahr der späteren Wiederverwendung…

Passwortlose Authentifizierung als sicherere und benutzerfreundlichere Methode

Obwohl man in Unternehmen versucht sei, das Bewusstsein für die Sicherheit von Passwörtern zu schärfen und die Richtlinien zu stärken, verließen sich immer noch zu viele Anwender auf riskante Passwort-Praktiken. Decker erläutert: „Werden diese jedoch von ihren Vorgesetzten dazu gezwungen, komplexe Kennwörter zu wählen oder diese häufiger zu ändern, könnte sich natürlich die Wahrscheinlichkeit erhöhen, dass diese notiert oder für mehrere Konten wiederverwendet werden, so dass sich das Problem verschärft. Müssen Passwörter häufig zurückgesetzt werden, geraten außerdem die Helpdesks unter Beschuss, da sie das erhöhte Ticket-Aufkommen abfedern müssen.“

Vor dem Hintergrund, dass Sicherheitsteams also vor der Herausforderung stünden, einerseits die Unternehmenssicherheit zu verbessern und andererseits Reibungspunkte für den Anwender auszumerzen, stelle die passwortlose Authentifizierung eine sicherere und benutzerfreundlichere Methode dar. „Denn sie gewährleistet, beispielsweise über Push-Benachrichtigungen mit Einlesen eines Fingerabdrucks auf einem dedizierten Gerät, integrierte MDM-Lösungen oder Hardware-Tokens, dass die richtigen Personen aus den richtigen Gründen auf Daten und Anwendungen zugreifen“, so Decker.

Passwort-Verzicht senkt Attraktivität eines Unternehmens für Cyber-Kriminelle

Der weitgehende – oder vollständige – Verzicht auf Passwörter senke die Attraktivität eines Unternehmens für Cyber-Kriminelle, und deren Ersatz durch alternative Sicherheitsfaktoren erschwere es ihnen außerdem, erfolgreiche Angriffe zu lancieren. „Entscheiden sich die Verantwortlichen zusätzlich für fortschrittliche Authentifizierungsmechanismen, wie etwa die Nachverfolgung von Risikosignalen oder die Überprüfung der Vertrauenswürdigkeit von Endgeräten, erhöhen sie die Sicherheit zusätzlich“, unterstreicht Decker.

Nicht vergessen werden sollten auch die positiven Effekte für kundenzentrierte Unternehmen: So ermögliche der Verzicht auf Passwörter ein nahtloses digitales Erlebnis, da Anwender weder Kennwörter erstellen noch verwalten oder zurücksetzen müssten, denn sie könnten sich darauf verlassen, „dass die Transaktionen sicher über bequeme Anmeldemechanismen vonstatten gehen“.

Unternehmen sollten sich auf passwortlose Authentifizierung vorbereiten

In erster Linie erzeugten Veränderungen Misstrauen. Obwohl Passwörter nach wie vor die Angriffsfläche eines Unternehmens erhöhten und es anfällig machten für Datenverletzungen, Diebstahl und Missbrauch von Daten, nicht autorisierte Transaktionen etc., hielten viele aus Gewohnheit oder Misstrauen gegenüber neuen Methoden daran fest.

„Wichtig ist, sich bewusst zu werden, dass Benutzerfreundlichkeit entscheidend dafür ist, ob sich die passwortlose Authentifizierung durchsetzt“, stellt Decker klar. Schließlich sorge ein schlechtes Kundenerlebnis aufgrund komplexer Anmeldeverfahren oder eine zu komplizierte Passwort-Politik für jede Menge Frust, einer missglückten Registrierung, einem abgebrochenen Einkauf oder – schlimmer noch – einer Abwanderung zur Konkurrenz. „Der zunehmende Einsatz und die breite Akzeptanz von QR-Codes, biometrischer Erkennung und kontaktloser Zahlung, insbesondere seit der ,Corona-Pandemie‘, ist ein ideales Sprungbrett für die Etablierung der passwortlosen Authentifizierung“, bilanziert Decker.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

[datensicherheit.de, 15.10.2020] Wohl fast jeder IT-Anwender hat mindestens zehn oder zwanzig Passwörter – wenn sie nicht mehrfach genutzt werden, könnten es auch locker vierzig oder noch mehr sein: Ob im Web bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in Sozialen Netzwerken oder am Arbeitsplatz benötigt, kommt es immer häufiger vor, dass Hacker versuchen, solche Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen – in der Regel mit finanziellem Schaden für die Nutzer. Hiervor warnt Stephan Wiefling, Doktorand in der „Gruppe für Daten- und Anwendungssicherheit“ (DAS) bei Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS). Wiefling arbeitet nach eigenen Angaben „an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch ihr Ziel nicht erreichen“.

Foto: TH Köln

Stephan Wiefling rät zur RisikoBasierten Authentifizierung (RBA)

RisikoBasierte Authentifizierung, um Hacker draußen zu halten

„Es geht um RisikoBasierte Authentifizierung, kurz RBA“, so Wiefling und erklärt das Prinzip: Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. „Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung.“
Verdächtig sei sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System laut Wiefling dies als „abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung“.

Abbildung: Stephan Wiefling

Allgemeine RBA-Funktionsweise

RBA gegen Hacker signifikant sicherer als rein passwortbasierte Authentifizierung

RisikoBasierte Authentifizierung sei damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssten, um von der Webseite akzeptiert zu werden, „sofern nichts Ungewöhnliches vor sich geht“. Dies bestätige auch eine Laborstudie mit knapp 70 Nutzern:
Sie nehmen laut Wiefling RBA zudem als „signifikant sicherer“ wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugten sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

Beim Online-Banking wird 2FA noch gegenüber RBA zur Hacker-Abwehr bevorzugt

Damit nicht genug: Wiefling untersucht in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert:
Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, erläuzrt Wiefling, aber es gebe eine Ausnahme: „Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.“

Mit gestohlener E-Mail-Adresse und Passwort probieren Hacker, ob diese Kombination auch auf anderen Webseiten funktioniert

Zur Beantwortung der Fragen, wie Cyber-Kriminelle überhaupt an Passwörter herankommen, welche Techniken sie dafür nutzen und wie sichere Passwörter beschaffen sein sollten geht Wiefling zunächst auf die die beiden kritischen Situationen ein:
Zunächst benennt er massive sogenannte Datenbank-Leaks. Dabei würden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probierten die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heiße diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert werde.

Ausgeklügeltes Raten von Passwörtern mit verblüffendem Erfolg für Hacker

Die zweite Methode sei das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiere auf Annahmen und vorhandenen Daten. Jemand sammele Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres.
Danach berechne der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. „Wir sind nun mal Menschen und können uns kryptische Zeichenkombinationen nur schwer merken“, erläutert Wiefling den erschreckenden Erfolg dieser Methode, die schon 2016 wissenschaftlich beschrieben worden sei.

Dem Hacker voraus sein: Passwort-Manager verwenden!

Wiefling lässt seine Passwörter „von einem Passwort-Manager erstellen, den manche Internetbrowser direkt anbieten“. Außerdem sollte kein Passwort für mehrere Internetdienste benutzt werden, rät er und ergänzt, nicht jedes Passwort müsse unendlich kompliziert sein.
Ein längerer Satz wie „Montags arbeite ich oft sehr gerne“ bringe meist höhere Sicherheit als schwer merkbare, dafür aber kürzere Zeichenkombinationen wie etwa „$Le90pch“. Damit entstehe eine Fülle von Passwörtern, die er in einem Online-Safe für Passwörter speichere, wo sie automatisch verschlüsselt würden. Nutzer müssten sich dann nur noch ein einziges Passwort merken: „Es öffnet den Safe und entschlüsselt die Passwörter.“

Weitere Informationen zum Thema:

Hochschule Bonn-Rhein-Sieg
/DAS> Gruppe für Daten- und Anwendungssicherheit

Schneier on Security, 05.10.2020
On Risk-Based Authentication

‚;–have i been pwned?
Check if you have an account that has been compromised in a data breach

datensicherheit.de, 14.07.2020
Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern

[datensicherheit.de, 30.06.2020] Durch eine erhöhte Anzahl an Fernzugriffen auf Unternehmensnetzwerke wird eine starke Authentifizierung der Nutzer immer wichtiger. Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) hat sich deshalb mit Marc Bütikofer (MB), Head of Innovation Security Solutions bei Airlock, zusammengesetzt und über das Thema Zwei-Faktor-Authentifizierung (2FA) gesprochen.

Marc Bütikofer , Head of Innovation Security Solutions bei Airlock, Bild: Airlock

ds: Wiese sollten Zugänge über eine 2FA gesichert werden?

MB: Einerseits verlangen das staatliche Regulierungen, wie die PSD-2 für Zahlungsdienstleister, andererseits hilft es dabei, andere Richtlinien, wie die EU-DSGVO, besser zu erfüllen. Außerdem schafft es ein höheres Vertrauen der Kunden in die Dienste und damit das Unternehmen, weil jene sicher sein können, dass personenbezogenen Daten doppelt geschützt werden. Außerdem erlaubt eine Sicherung der Zugänge über 2FA es, komfortable Angebote, wie Single-Sign-On für alle Web-Services eines Unternehmens oder den Zugriff auf User-Self-Services sicher zur Verfügung zu stellen. Auch für den Zugriff von Mitarbeitern auf das Firmennetzwerk lässt sich Airlock 2FA gut einsetzen, etwa zur Absicherung von VPN-Fernzugriffen in Zeiten des Home Offices.

ds: Welche Form der Zwei-Faktor-Authentifizierung offeriert der Airlock-Secure-Access-Hub und warum?

MB: Der Zugang wird über eine App abgewickelt, die auf Bordmittel der Smartphones zurückgreift, wie FaceID für die Gesichtserkennung oder TouchID für den Fingerabdruck. Diese sind einerseits bewährt und andererseits geht damit die Implementierung schnell und günstig über die Bühne. Prinzipiell gibt es vier Methoden: One-Touch schickt bei der Anmeldung am Desktop eine Push-Nachricht auf das Smartphone, die bestätigt werden muss. Zero-Touch greift zur Bestätigung auf Umgebungs-Informationen zurück, wie Hintergrundgeräusche; eine umständliche Interaktion des Nutzers fällt weg. Fehlt die Datenverbindung des Smartphones, kann eine Offline-Anmeldung mittels QR-Code erfolgen. Außerdem lässt sich Offline auch ein Passcode verwenden, der alle 30 Sekunden automatisch geändert wird. Das entspricht beispielsweise der Funktion des bereits gängigen Hardware-Tokens, den viele Firmen für den Zugriff auf ihr VPN-Netzwerk einsetzen. Die Kommunikation zwischen Airlock 2FA und Smartphones findet über einen Cloud-Dienst statt.

Wer auf das Smartphone verzichten möchte, kann auch den Airlock 2FA Hardware Token verwenden, der, wie ein Smartphone, über Display und Kamera verfügt.

ds: Wie implementieren Sie 2FA/ den Secure Access Hub in Unternehmen?

MB: Bislang haben wir externe 2FA Lösungen für unsere Kunden auf Wunsch für diese eingebaut. Nun haben wir auf die starke Nachfrage nach 2FA mit einer eigenen Lösung reagiert und sie als Komponente unseres bewährten Secure Access Hubs gestaltet. Damit können wir sie besser auf die Bedürfnisse unserer Kunden und die anderen Komponenten des Hubs abstimmen. Airlock 2FA lässt sich bei neuen Kunden zusammen mit dem Secure Access Hub oder als Erweiterung bei Bestandskunden einführen.

ds: Gibt es besondere Hürden in den IT-Infrastrukturen, welche die Implementierung erschweren?

MB: Natürlich ist es stets einfacher, wenn keine Legacy-Systeme eingebunden werden müssen oder direkt mit 2FA zusammenarbeitende Komponenten, wie ein cIAM, von uns kommen und aufeinander abgestimmt sind. Aber Airlock 2FA lässt sich tatsächlich sehr einfach integrieren und mit bestehenden Systemen verknüpfen. Die zugehörige App wird über die bekannten App-Stores heruntergeladen und kann völlig generisch an Branding und Bedürfnisse des Kunden angepasst werden. Ein SDK erlaubt es außerdem, die 2FA-Funkionen in eigene Anwendungen zu integrieren.

ds: Wie schnell lässt sich 2FA integrieren?

MB: Je nach Anforderungen innerhalb weniger Stunden oder Tage. Monatelange Projekte entfallen dank der einfachen Integrationsmöglichkeiten und nahtloser Integration mit den anderen Komponenten vom Secure Access Hub.

ds: Stehen sich Sicherheit und Usability bei Zwei-Faktor-Authentifizierung im Weg?

MB: Ein Spannungsfeld liegt in der Natur der Sache, aber das ist ja die Herausforderung, diesen Spagat zu schaffen. Es geht darum, IT-Sicherheit einfach zu machen, sodass sie zum Beschleuniger von Innovationen wird, nicht zur Bremse.

ds: Wie optimieren Sie die Usability ohne die Sicherheit der 2FA zu kompromittieren?

MB: Wir setzen auf komfortable Methoden, um den zweiten Faktor abzufragen, wie Zero-Touch und One-Touch, statt der umständlichen und teuren SMS-Codes oder beispielsweise OTP-Eingaben. Außerdem haben wir bestimmte Prozesse so einfach wie möglich gestaltet, damit sie nicht nur technisch versierte Nutzer ausführen können. Neue Mitarbeiter lassen sich so schnell einbinden, die Angestellten können die Art des zweiten Faktors selbst auswählen und ein Wechsel des Smartphones kann dank der durch uns optimierten Prozesse ohne Helpdesk sehr einfach vonstatten gehen.

ds: Was macht die Herangehensweise des Secure Access Hubs einzigartig?

MB: Der Secure Access Hub ist eine Plattform, die verschiedene Komponenten zentral steuert und unter einem Dach vereint – ein Sicherheitspaket sozusagen. Dazu gehören Web Application Firewall (WAF), Customer Identity and Access Management (cIAM), API Gateway und nun eben 2FA. Alle Sicherheitslösungen stammen aus einer Hand und sind daher aufeinander abgestimmt. Es kommt also nicht zu den üblichen Kommunikationsproblemen zwischen den Produkten verschiedener Hersteller, die wiederum zu Sicherheitslücken führen können. Wir haben das Experten-Wissen vieler Absolventen der ETH Zürich und stehen mit der Universität in engem Kontakt. Wir sitzen in Zürich und bauen alles bei uns im Haus. Das ist echte Schweizer Qualität. Sogar der Support wird von uns persönlich geleistet.

ds: Wie werden die Daten der Mitarbeiter geschützt (besonders bei einer Authentifizierung über Kamera oder Audio)?

MB: Biometrische Daten – also Daten aus Fingerabdrücken oder Gesichtserkennung – verlassen das Mobiltelefon nicht, sie werden also nie zum Server geschickt. Sie werden ausschließlich verwendet, um auf dem Mobile kryptografisches Schlüsselmaterial freizuschalten. Die Zero-Touch-Authentisierung kann auf dem Vergleich von Hintergrundgeräuschen basieren. Audiodaten werden ans Mobiltelefon geschickt und dort verglichen. Die dabei verwendete Datenverbindung ist Ende-zu-Ende verschlüsselt und ist damit für den Server nicht sichtbar. Die Privatsphäre des Benutzers ist damit immer gewährleistet.

ds: Wie sieht das Lizensierungsmodell des SAH und der 2FA aus?

MB: Die meisten Kunden entscheiden sich für ein Mietmodell – also monatliche/jährliche Kosten anstatt von einmaligen Lizenzzahlungen mit einem Wartungsvertrag. Für einen Neukunden mit 100.000 Usern belaufen sich die jährlichen Kosten auf ca. 100.000 Euro – also 1 Euro pro User pro Jahr.

Weitere Informationen zum Thema:

Airlock
Unternehmenswebsite

datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden

Ein Gastbeitrag von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies

[datensicherheit.de, 13.06.2020] Während die Welt darum bemüht war, die Corona-Krise an alle Fronten zu bekämpfen, sahen Kriminelle ihre Chance in der globalen Pandemie. Nicht zum ersten Mal versuchen Hacker globale Ereignisse zu ihrem Vorteil zu nutzen. Böswillige Webseiten rund um die Pandemie und Phishing-Kampagnen mit Inhalten zu dem Virus waren die Folge. Und diese Attacken beschränken sich mitnichten lediglich auf die verängstigten Teile der Bevölkerung, die mit zu den leichtesten Opfern zählen. Neue Berichte belegen, dass selbst die Experten an vorderster Front im Kampf gegen die Pandemie zu den Zielen solcher Attacken wurden. Die deutsche Corona-Task-Force besteht mitunter aus Vertretern großer deutscher Konzerne. Über 100 der Mitglieder der Task Force wurden das Ziel von Phishing-Angriffen. Wie viele der Angriffe dabei erfolgreich waren, ist nicht bekannt.

Christine Schönig, Foto: Check Point Software Technologies

Phishing nicht nur in der aktuellen Situation eine große Gefahr

Es zeigt sich einmal mehr, welch große Gefahr Phishing nicht nur in der aktuellen Situation für Unternehmen und Einzelpersonen darstellt. Durch die hohe Skalierbarkeit solcher Angriffe kann jeder ein potenzielles Ziel sein. Umso wichtiger ist es, dass sich auch jeder darüber bewusst ist. Seien es Phishing-Versuche per Mail oder Social-Engineering per Telefon – jeder von uns sollte durchgehend auf der Hut sein, wenn es um das Klicken auf Links oder das weitergeben persönlicher Daten geht. Zudem müssen Sicherheitssysteme in der Lage sein, zusätzlichen Schutz durch solche Bedrohungen zu liefern. Neben virtuellen Sicherheitsnetzen, die Mails mit maliziösen Inhalten abfangen, bevor sie die Postfächer von Mitarbeitern erreichen, gehören auch zusätzliche Authentifizierungsschritte zu den notwendigen Sicherheitsstandards. Dadurch kann nicht nur der unerlaubte Zugang zu E-Mailkonten erheblich erschwert, sondern auch der Schaden von erfolgreichen BEC-Angriffen (Business Email Compromise) in Grenzen gehalten werden. Unternehmen müssen proaktiv die Sicherheit ihrer Systeme und Infrastruktur an die Gegebenheiten und Trends anpassen, denn selbst wenn der Virus COVID-19 einmal überstanden ist – die virtuellen Gefahren werden leider nicht abebben, im Gegenteil.

Weitere Informationen zum Thema:

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

[datensicherheit.de, 01.05.2020] „Bis Freitag gepatcht oder bis Montag gehackt“, warnt der leitende Sicherheitsberater Olle Segerdahl von F-Secure . „So würde ich das Dilemma beschreiben, in dem sich momentan Admins befinden, die Salt einsetzen.“

Bei Salt handelt es sich um eine Open-Source-Software des Unternehmens SaltStack, die in Infrastruktur-, Netzwerk- und Sicherheitsautomatisierungslösungen eingesetzt wird. Es ist ein beliebtes Tool, das zur Wartung von Rechenzentren und Cloud-Umgebungen verwendet wird. Olle und sein Team haben im Rahmen eines Kundenauftrags die Schwachstellen entdecktet und Mitte März 2020 SaltStack gemeldet. Darüber hinaus hat F-Secure die neue Schwachstellen bei Salt (CVE-2020-11651 and CVE-2020-11652) in einem Advisory von F-Secure Labs bekannt gegeben.

Angreifer können Authentifizierungs- und Autorisierungskontrollen umgehen

Die Schwachstellen ermöglichen es Angreifern, die Authentifizierungs- und Autorisierungskontrollen zu umgehen, mit denen der Zugriff auf die Salt-Implementierungen (die aus einem „Master“-Server und einer beliebigen Anzahl von sogenannten „Minions“-Clients bestehen) geregelt wird. Ein Angreifer kann diese Schwachstellen ausnutzen, um aus der Ferne Code mit Root-Privilegien auf dem Master und schließlich auf allen mit dem Master verbundenen Minions auszuführen.

Angreifer könnten einfach den Master und seine Minions (von denen es Hunderte von Servern geben könnte) einsetzen, um Kryptowährungen zu farmen. Erfahrene Angreifer können jedoch auch Angriffe mit größerer Wirkung durchführen. Sie können zum Beispiel Hintertüren installieren, durch die sie das Netzwerk erkunden können, und dann zum Diebstahl vertraulicher Daten übergehen, zu Erpressung (entweder durch Lösegeld oder die Drohung, vertrauliche Informationen nach außen preiszugeben) oder zu einer Vielzahl anderer Angriffe, die auf ihr spezifisches Ziel und ihre Ziele zugeschnitten sind.

Schwachstellen sehr kritisch

Wie Mikko Hyppönen, Chief Research Officer bei F-Secure, Anfang der Woche twitterte, werden die Schwachstellen im Common Vulnerability Scoring System mit einer 10 bewertet. Das ist somit die höchstmögliche Bewertung des Schweregrades. Sie wird nur für Schwachstellen vergeben, die von der National Vulnerability Database als sehr kritisch eingestuft werden.

Was Olle jedoch wirklich beunruhigt, sind die 6000 Master, die er bei seinen Nachforschungen im Internet entdeckt hat und die, wie er sagt, in Cloud-Umgebungen wie AWS und GCP sehr beliebt sind.

„Ich hatte eigentlich erwartet, dass nicht so viele Master öffentlich im Internet stehen. Es gibt nicht viele Gründe, Infrastrukturmanagementsystemedem Internet auszusetzen“, sagt Olle. „Wenn neue Schwachstellen bekannt werden, versuchen Angreifer schnellst möglich anfällige Hosts auszunützen, bevor Admins sie patchen können. Wenn ich also einen dieser 6000 Master betreiben würde, würde ich mich nicht wohl dabei fühlen, mich ins Wochenende zu verabschieden, obwohl ich weiß, dass ich noch ungepatchte Systeme habe .“

Von den Sicherheitslücken sind die Salt-Versionen 3000.1 und älter betroffen, die im Grunde alle Salt-Implementierungen abdecken, die vor dem heute veröffentlichten SaltStack Update im Einsatz waren. Und obwohl es für Angreifer schwieriger sein wird, vom Internet versteckte Hosts zu erreichen, können sie die Master dennoch ausnutzen, indem sie auf andere Weise auf Unternehmensnetzwerke zugreifen.

Olle empfiehlt Organisationen, die Auto-Update-Funktionen von Salt zu nutzen, um sicherzustellen, dass sie diese und künftige Patches erhalten, sobald sie verfügbar sind. Er schlägt außerdem vor, dass Unternehmen mit gefährdeten Salt-Hosts zusätzliche Kontrollen einsetzen, um den Zugang zu den Salt-Master-Ports (4505 und 4506 bei Standardkonfigurationen) einzuschränken. SaltStack hat auf seiner Website zusätzliche Anleitungen zur Absicherung von Salt-Implementierungen veröffentlicht.

Bisher kein Exploit bekannt

Auch wenn es sich um eine kritische Schwachstelle handelt, gibt es Stand heute noch keinen Exploit, um es Angreifern zu ermöglichen, die Schwachstelle auszunutzen. Und wenn, ist es für Unternehmen möglich, Angriffe zu erkennen. Betroffene Unternehmen können in den gespeicherte Logs nach Anzeichen für bösartige Inhalte oder verdächtige Aktivitäten suchen.

Weitere Informationen zum Thema:

F-Secure
SaltStack authorization bypass

datensicherheit.de, 31.05.2019
Venafi warnt: Open-Source-Bibliotheken gefährden Unternehmen

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein