[datensicherheit.de, 30.06.2020] Durch eine erhöhte Anzahl an Fernzugriffen auf Unternehmensnetzwerke wird eine starke Authentifizierung der Nutzer immer wichtiger. Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) hat sich deshalb mit Marc Bütikofer (MB), Head of Innovation Security Solutions bei Airlock, zusammengesetzt und über das Thema Zwei-Faktor-Authentifizierung (2FA) gesprochen.

Marc Bütikofer , Head of Innovation Security Solutions bei Airlock, Bild: Airlock

ds: Wiese sollten Zugänge über eine 2FA gesichert werden?

MB: Einerseits verlangen das staatliche Regulierungen, wie die PSD-2 für Zahlungsdienstleister, andererseits hilft es dabei, andere Richtlinien, wie die EU-DSGVO, besser zu erfüllen. Außerdem schafft es ein höheres Vertrauen der Kunden in die Dienste und damit das Unternehmen, weil jene sicher sein können, dass personenbezogenen Daten doppelt geschützt werden. Außerdem erlaubt eine Sicherung der Zugänge über 2FA es, komfortable Angebote, wie Single-Sign-On für alle Web-Services eines Unternehmens oder den Zugriff auf User-Self-Services sicher zur Verfügung zu stellen. Auch für den Zugriff von Mitarbeitern auf das Firmennetzwerk lässt sich Airlock 2FA gut einsetzen, etwa zur Absicherung von VPN-Fernzugriffen in Zeiten des Home Offices.

ds: Welche Form der Zwei-Faktor-Authentifizierung offeriert der Airlock-Secure-Access-Hub und warum?

MB: Der Zugang wird über eine App abgewickelt, die auf Bordmittel der Smartphones zurückgreift, wie FaceID für die Gesichtserkennung oder TouchID für den Fingerabdruck. Diese sind einerseits bewährt und andererseits geht damit die Implementierung schnell und günstig über die Bühne. Prinzipiell gibt es vier Methoden: One-Touch schickt bei der Anmeldung am Desktop eine Push-Nachricht auf das Smartphone, die bestätigt werden muss. Zero-Touch greift zur Bestätigung auf Umgebungs-Informationen zurück, wie Hintergrundgeräusche; eine umständliche Interaktion des Nutzers fällt weg. Fehlt die Datenverbindung des Smartphones, kann eine Offline-Anmeldung mittels QR-Code erfolgen. Außerdem lässt sich Offline auch ein Passcode verwenden, der alle 30 Sekunden automatisch geändert wird. Das entspricht beispielsweise der Funktion des bereits gängigen Hardware-Tokens, den viele Firmen für den Zugriff auf ihr VPN-Netzwerk einsetzen. Die Kommunikation zwischen Airlock 2FA und Smartphones findet über einen Cloud-Dienst statt.

Wer auf das Smartphone verzichten möchte, kann auch den Airlock 2FA Hardware Token verwenden, der, wie ein Smartphone, über Display und Kamera verfügt.

ds: Wie implementieren Sie 2FA/ den Secure Access Hub in Unternehmen?

MB: Bislang haben wir externe 2FA Lösungen für unsere Kunden auf Wunsch für diese eingebaut. Nun haben wir auf die starke Nachfrage nach 2FA mit einer eigenen Lösung reagiert und sie als Komponente unseres bewährten Secure Access Hubs gestaltet. Damit können wir sie besser auf die Bedürfnisse unserer Kunden und die anderen Komponenten des Hubs abstimmen. Airlock 2FA lässt sich bei neuen Kunden zusammen mit dem Secure Access Hub oder als Erweiterung bei Bestandskunden einführen.

ds: Gibt es besondere Hürden in den IT-Infrastrukturen, welche die Implementierung erschweren?

MB: Natürlich ist es stets einfacher, wenn keine Legacy-Systeme eingebunden werden müssen oder direkt mit 2FA zusammenarbeitende Komponenten, wie ein cIAM, von uns kommen und aufeinander abgestimmt sind. Aber Airlock 2FA lässt sich tatsächlich sehr einfach integrieren und mit bestehenden Systemen verknüpfen. Die zugehörige App wird über die bekannten App-Stores heruntergeladen und kann völlig generisch an Branding und Bedürfnisse des Kunden angepasst werden. Ein SDK erlaubt es außerdem, die 2FA-Funkionen in eigene Anwendungen zu integrieren.

ds: Wie schnell lässt sich 2FA integrieren?

MB: Je nach Anforderungen innerhalb weniger Stunden oder Tage. Monatelange Projekte entfallen dank der einfachen Integrationsmöglichkeiten und nahtloser Integration mit den anderen Komponenten vom Secure Access Hub.

ds: Stehen sich Sicherheit und Usability bei Zwei-Faktor-Authentifizierung im Weg?

MB: Ein Spannungsfeld liegt in der Natur der Sache, aber das ist ja die Herausforderung, diesen Spagat zu schaffen. Es geht darum, IT-Sicherheit einfach zu machen, sodass sie zum Beschleuniger von Innovationen wird, nicht zur Bremse.

ds: Wie optimieren Sie die Usability ohne die Sicherheit der 2FA zu kompromittieren?

MB: Wir setzen auf komfortable Methoden, um den zweiten Faktor abzufragen, wie Zero-Touch und One-Touch, statt der umständlichen und teuren SMS-Codes oder beispielsweise OTP-Eingaben. Außerdem haben wir bestimmte Prozesse so einfach wie möglich gestaltet, damit sie nicht nur technisch versierte Nutzer ausführen können. Neue Mitarbeiter lassen sich so schnell einbinden, die Angestellten können die Art des zweiten Faktors selbst auswählen und ein Wechsel des Smartphones kann dank der durch uns optimierten Prozesse ohne Helpdesk sehr einfach vonstatten gehen.

ds: Was macht die Herangehensweise des Secure Access Hubs einzigartig?

MB: Der Secure Access Hub ist eine Plattform, die verschiedene Komponenten zentral steuert und unter einem Dach vereint – ein Sicherheitspaket sozusagen. Dazu gehören Web Application Firewall (WAF), Customer Identity and Access Management (cIAM), API Gateway und nun eben 2FA. Alle Sicherheitslösungen stammen aus einer Hand und sind daher aufeinander abgestimmt. Es kommt also nicht zu den üblichen Kommunikationsproblemen zwischen den Produkten verschiedener Hersteller, die wiederum zu Sicherheitslücken führen können. Wir haben das Experten-Wissen vieler Absolventen der ETH Zürich und stehen mit der Universität in engem Kontakt. Wir sitzen in Zürich und bauen alles bei uns im Haus. Das ist echte Schweizer Qualität. Sogar der Support wird von uns persönlich geleistet.

ds: Wie werden die Daten der Mitarbeiter geschützt (besonders bei einer Authentifizierung über Kamera oder Audio)?

MB: Biometrische Daten – also Daten aus Fingerabdrücken oder Gesichtserkennung – verlassen das Mobiltelefon nicht, sie werden also nie zum Server geschickt. Sie werden ausschließlich verwendet, um auf dem Mobile kryptografisches Schlüsselmaterial freizuschalten. Die Zero-Touch-Authentisierung kann auf dem Vergleich von Hintergrundgeräuschen basieren. Audiodaten werden ans Mobiltelefon geschickt und dort verglichen. Die dabei verwendete Datenverbindung ist Ende-zu-Ende verschlüsselt und ist damit für den Server nicht sichtbar. Die Privatsphäre des Benutzers ist damit immer gewährleistet.

ds: Wie sieht das Lizensierungsmodell des SAH und der 2FA aus?

MB: Die meisten Kunden entscheiden sich für ein Mietmodell – also monatliche/jährliche Kosten anstatt von einmaligen Lizenzzahlungen mit einem Wartungsvertrag. Für einen Neukunden mit 100.000 Usern belaufen sich die jährlichen Kosten auf ca. 100.000 Euro – also 1 Euro pro User pro Jahr.

Weitere Informationen zum Thema:

Airlock
Unternehmenswebsite

datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden

[datensicherheit.de, 29.04.2020] Obwohl die Corona-Krise weiterhin andauert und kein Ende in nächster Zeit in Sicht ist, überlegen viele Unternehmen bereits, wann und wie sie den Regelbetrieb wieder aufnehmen können. Nicht nur wirtschaftliche Interessen stehen hier im Vordergrund, die Isolation hat auch weitreichende soziologische Folgen. Da ein Großteil der zwischenmenschlichen Kommunikation nonverbal stattfindet, stellt der Wechsel ins Home-Office eine große Herausforderung für die tägliche Arbeit in Unternehmen dar.

Rückkehr zum Arbeitsplatz regeln

Deswegen soll nun Schritt für Schritt die Rückkehr zum Arbeitsplatz geregelt werden, wenn auch unter Auflagen. In Deutschland etwa besteht in vielen Bundesländern ab dem 27. April Maskenpflicht am Arbeitsplatz. Wie so oft rufen außergewöhnliche Situationen Kriminelle auf den Plan, die sich an ihnen bereichern wollen. Forscher des E-Mail-Security- und Cyber-Resilience-Anbieters Mimecast haben festgestellt, dass von Januar bis März dieses Jahres die Anzahl der Bedrohungen in Zentraleuropa von 3,3 Millionen auf 3,49 Millionen gestiegen ist. Dies ist ein Zuwachs von 5,75 Prozent. Zu den festgestellten Bedrohungen gehören etwa Malware-, Spam-und Impersonantion-Attacken.

Ein häufiges Ziel waren hierbei Unternehmensnetzwerke und -Daten, wobei sich die Cyber-Kriminellen verschiedener Angriffsmethoden bedienten. Die häufigsten waren:

• Opportunistische Angriffe: Eine breit gestreute Spam- und Phishing-Kampagne, die die Empfänger dazu verleiten soll, auf einen Link zu klicken oder einen Anhang zu öffnen
• Impersonation-Angriffe: Nach ausführlicher Recherche in Sozialen Medien oder der Unternehmens-Website gibt sich der Angreifer als Kollege oder Bekannter aus, um sein Opfer zur ungewollten Installation seiner Malware zu bringen
• Phishing mit Hilfe von Webseiten-Spoofing: Eine gefakte Internetseite, die auf den ersten Blick authentisch wirkt, soll Privatnutzer und Angestellte dazu verleiten, persönliche Daten einzugeben (Geschlecht, Alter, E-Mail- und physische Adresse usw.). Seit Beginn der Krise ist die Anzahl der Spoofing-Webseiten beträchtlich gestiegen.

Angriffe zielen immer auf fünf Schichten eines Unternehmens und ihre Schwachpunkte ab:

• Hardware: Der physische Zugriff auf Geräte, die mit dem Unternehmensnetzwerk verbunden sind
• Software: Veraltete, nicht aktualisierte Programme und Dienste
• Personal: Während des Home Office sorglos gewordene Mitarbeiter übertragen dort angeeignete problematische Verhaltensweisen auf ihren festen Arbeitsplatz
• Richtlinien und Prozesse: Wie Unternehmen die Rückkehr an den Arbeitsplatz konzipieren
• Partner und Drittanbieter: Ist das ins Auge gefasste Unternehmen zu stark gesichert, versuchen Kriminelle über Schwachstellen in Anwendungen von Drittanbietern ins Netzwerk zu kommen

Hilfreiche Maßnahmen

Die Angriffe werden wahrscheinlich zahlreicher und raffinierter, je länger die Krise andauert. Die Rückkehr zum Arbeitsplatz wird darüber hinaus eine weitere willkommene Gelegenheit für Kriminelle bieten, ihre Kampagnen zu fahren. Betriebe sollten deshalb darauf achten, dass ihre Applikationen auf dem aktuellen Stand sind.

Genauso wichtig ist es, die eigenen Mitarbeiter und Partner zu schulen. Hierunter fällt, sie über aktuelle Trends bei Phishing-Versuchen auf dem Laufenden zu halten und ihre Sensibilität gegenüber Cyber-Attacken zu verbessern. Die Schulung der Mitarbeiter darf keine einmalige Sache sein, sondern sollte in regelmäßigen Abständen wiederholt werden.

Foto: Mimecast

Carl Wearn, Head of E-Crime bei Mimecast

Carl Wearn, Head of E-Crime bei Mimecast, dazu: „Die nächsten Monate werden von der Rückkehr an den Arbeitsplatz geprägt sein. Cyberkriminelle werden sich diese Gelegenheit nicht entgehen lassen, ihre Agenda auf Kosten von Unternehmen zu verfolgen. Es ist wichtig, bei der Kommunikation mit Dritten und Zulieferern wachsam zu sein, da es in den kommenden Monaten zu einer Zunahme von Geschäftszusammenbrüchen kommen kann und die Kriminellen versuchen könnten, frühere Kunden oder Auftraggeber eines Unternehmens auszunutzen. Umso wichtiger ist es, dass Organisationen ihre Mitarbeiter bestmöglich schulen und auf die Gefahren von Phishing aufmerksam machen.“

Wenn die Prozesse bei der Wiederaufnahme der Arbeit klar strukturiert und transparent sind, steht einer Wiederaufnahme des normalen Geschäftsbetriebs nach der Krise nichts mehr im Weg.

Weitere Informationen zum Thema:

Mimecast
Email Cloud Services for Security & Archiving

datensicherheit.de, 16.04.2020
Video-Streaming-Portale: Spoofing auf dem Vormarsch

datensicherheit.de, 27.02.2020
Mimecast Threat Intelligence Report – Emotet ist zurück

datensicherheit.de, 12.01.2020
Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten

[datensicherheit.de, 24.07.2019] Heute finden sich zahlreiche DAX-Unternehmen sowie diverse internationale Großunternehmen in den Schlagzeilen. Verschiedenen Quellen zufolge wurden verschiedenste Organisationen in jüngster Zeit Opfer von Cyberangriffen mit der Winnti-Malware. Nach Meinung von Vectra, Anbieter von Cybersicherheit auf Basis künstlicher Intelligenz, kommen diese Meldungen alles andere als überraschend. Attacken mit Winnti wurden unlängst mehrfach beobachtet und die oft unzureichende Transparenz von Unternehmensnetzwerken macht es Angreifern relativ leicht für lange Zeit unentdeckt zu bleiben.

Andreas Müller, Regional Director DACH bei Vectra, bewertet die aktuellen Schlagzeilen und benennt zentrale Defizite aktueller Sicherheitsarchitekturen: „Die Meldung zur Infektion von Bayer mit Winnti kam vor einigen Monaten. Die Winnti-Malware gibt es bereits seit Jahren und in jüngster Zeit auch in einer Linux-Variante. Bayer behauptete, die Malware Anfang 2018 entdeckt zu haben. Die Aussage „Es gibt keine klaren Beweise für Datendiebstahl“, sorgt dabei nicht für Vertrauen, da dies nicht bedeutet, dass es keinen Verstoß gab, sondern nur, dass Bayer keinen Beweis dafür rückwirkend finden konnte, was konkret passiert ist. Der Angriff wurde chinesischen Akteuren zugeordnet, was aber nicht exakt belegt werden konnte. Daher lässt sich nur spekulieren, dass der Diebstahl geistigen Eigentums hier durchaus eine Motivation gewesen sein könnte.

Angreifer operieren zu leicht und zu lange ungestraft in Netzwerken; im Bericht M-Trends 2019 wurde festgestellt, dass in der EMEA-Region die Verweildauer der Angreifer im Netzwerk bei 177 Tagen im Median liegt. Dies erinnert deutlich daran, dass viele Unternehmen, auch wenn sie über eine robuste Abwehr der äußeren Netzwerkgrenzen verfügen, oft nicht in der Lage sind, die subtilen Signale von Angriffen innerhalb ihrer Unternehmen zu erkennen. Es gibt fast immer mehrere Möglichkeiten, den Angreifer durch sein unveränderliches Verhalten zu finden. Hierzu gehören beispielsweise die ferngesteuerte Orchestrierung der Angriffe (Command-and-Control), interne Auskundschaftung, seitliche Bewegung mit Privilegien-Eskalation und letztlich Datendiebstahl, Datenbeschädigung sowie Störung von Diensten und Denial-of-Service.

Im Gegensatz zu herkömmlichen Sicherheitssystemen erfordert der signaturlose Ansatz keine Vorkenntnisse über die Tools, Exploits oder Malware. Die schiere Menge an Kommunikation, in der Angreifer diese Verhaltensweisen verbergen, macht es jedoch schwierig, sie in Echtzeit zu finden. Das Erkennen solcher, von den Angreifern stammender Signale ist komplex. Diese Aufgabe übernehmen zunehmend automatisierte Lösungen, die von KI unterstützt werden und mit einer Geschwindigkeit und Skalierung arbeiten können, die Menschen allein einfach nicht erreichen können.

Wir müssen unsere Einstellung zur Sicherheit ändern und davon ausgehen, dass Angreifer irgendwann einen Weg hineinfinden werden. Ebenso müssen wir uns von der allzu großen Konzentration auf reine Verteidigungsmaßnahmen verabschieden und eine breitere Vision verfolgen, die Erkennung und Reaktion umfasst. Nur dann können wir die Chance verbessern, einen Angreifer frühzeitig im Lebenszyklus des Angriffs zu finden. Genau dies macht stets den Unterschied zwischen einem isolierten, unter Kontrolle gebrachten Sicherheitsvorfall und der Bewältigung eines gravierenden Ereignisses, wie es Bayer im April berichtet hat.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

[datenssicherheit.de, 04.03.2015] Check Point Software Technologies Ltd. analysiert Sicherheitsvorfälle, die zwischen 2010 und 2011 auftraten und die das holländische Unternehmen Gemalto vor ein paar Tagen öffentlich machte. Dabei haben Hacker die interne Kommunikation überwacht und die Verschlüsselungscodes von SIM-Karten abgefangen.

Wie bekannt wurde, wurde bei einem Angriff auf Phishing-Techniken zurückgegriffen, bei denen gefälschte E-Mails zur Installation von Malware führten. In der Zwischenzeit richtete sich ein anderer Angriff auf die Überwachung der Kommunikation zwischen einem internen Mitarbeiter und der Außenwelt. Außerdem räumte das Unternehmen Gemalto in der Meldung ein, dass mehrere Versuche aufgedeckt wurden, bei denen auf die Computer von Mitarbeitern und Partnern zugegriffen werden sollte, während diese mit Kunden im Dialog standen.

Dem Hersteller zufolge nutzten die Hacker Social-Engineering-Techniken, um bei ihren Angriffen eine bessere Verfeinerung zu erzielen und beispielsweise ihre Phishing-Techniken zu verbessern. In den sozialen Netzwerken werden jedoch eine Menge Informationen ausgetauscht; Informationen, die für Angreifer nützlich sind, um ihre Angriffe zu entwickeln. Sobald man das Netzwerk betritt, kann man ganz einfach damit navigieren und auf Daten und bestimmte kritische Anwendungen zugreifen oder Kommunikationen abfangen.

© Check Point

Dietmar Schnabel, Regional Director Central Europe, Check Point

Dietmar Schnabel, Regional Director Central Europe betont, dass „der Mitarbeiter für den Zugang von Hackern zum Unternehmensnetzwerk eine Schlüsselrolle innehat. Dies zeigt wieder einmal, dass Unternehmen das Thema Sicherheit aus einem ganzheitlichen Blickwinkel betrachten und die erforderlichen Technologien einsetzen müssen, aber auch die Schulung der Mitarbeiter verstärken müssen, da diese oft das schwächste Glied in der Kette sind.“

Check Point warnt vor dem Anstieg von gezielten Angriffen, bei denen Mitarbeiter anvisiert werden, um über sie in das Netzwerk einzudringen. „Wenn ein Mitarbeiter der Personalabteilung eine E-Mail mit dem Betreff ‚Lohnabrechnung März 2015’ erhält, wird er sie höchstwahrscheinlich öffnen. Es ist äußerst wichtig, dass der Mitarbeiter um die Risiken weiß und die Details kennt, an denen man verdächtige Absender erkennt. Höchste Vorsicht ist auch beim Herunterladen von Apps sowie beim Online-Surfen geboten, d.h. an allen möglichen Eintrittspunkten, an denen menschliche Fehler auftreten können“, sagt Schnabel.

Dem von Check Point 2014 veröffentlichten Annual Security Report zufolge, für den Hunderte von Unternehmen weltweit befragt wurden, hatten 84 Prozent der analysierten Unternehmen Malware in ihrem Netzwerk. 33 Prozent von ihnen hatten mindestens eine mit Malware infizierte unbekannte Datei heruntergeladen und 88 Prozent der Unternehmen, die an der Studie teilnahmen, gaben an, mindestens einen Vorfall mit potentiellem Datenverlust erlebt zu haben.

Passend zu diesem neuen Vorfall und den alarmierenden Daten der Studie warnt Check Point vor dem zunehmenden Anstieg der Cyberkriminalität und der dringenden Notwendigkeit, dass Unternehmen, bei der Einführung ihrer IT-Sicherheitsstrategien die erforderlichen Sicherheitsmaßnahmen zum Schutz ihrer Unternehmensnetzwerke und ihrer kritischen Daten treffen.

„Der jetzt von Gemalto öffentlich gemachte Angriff ist ein weiterer Vorfall in einer langen Reihe anderer Beispiele jüngerer Zeit, wie Anthem oder Sony. Um die Gefährdungslage zu entschärfen und die Ausbreitung der Bedrohungen zu stoppen, müssen Unternehmen mehrere Schutzebenen, darunter Emulation oder „Sandboxing“ sowie einen Informationsdienst für Bedrohungen in Echtzeit einrichten, um Sicherheitslösungen auf den neuesten Stand zu bringen und Angriffe automatisch abzuwehren. Nur durch die Umsetzung eines Gesamtkonzepts werden Unternehmen eine erfolgreiche Reduzierung der Angriffe sowie der Kosten und der damit verbundenen Probleme erleben“, so Schnabel.

Weitere Informationen zum Thema:

datensicherheit.de, 28.10.2014
Check Point Capsule: Sicherung von Daten auf mobilen Geräten

datensicherheit.de, 09.12.2013
Check Point: Die 10 größten Bedrohungen für die IT-Sicherheit im Jahr 2014