- Anzeigen -

Sichere Zwei-Faktor-Authentisierung bringt Abhilfe


Gefahr offensichtlich unterschätzt: Illegaler Onlinehandel mit gehackten Daten boomt
Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall

- Anzeigen -





Kommentar von Thorsten Krüger, Director Regional Sales IDP DACH & CEE bei Gemalto

Aktuell macht ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten werden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheint die Lage nicht besser zu werden. Besonders kritisch ist, dass gerade beim Thema von persönlichen Informationen bekannte Best Practices nicht umgesetzt werden. Drei Schlüsse sind besonders wichtig:

Punkt 1: Schutz von Accounts nur durch Passwörter ist nicht mehr zeitgemäß
In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planen die Kriminellen mit ein. Die Hintermänner bewerben im Beispiel Credential-Stuffing-Attacken. Hierbei werden E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter erstmal nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit bei der Nutzer lassen sich so weitere Accounts übernehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: "Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet." Ein zweiter Faktor ist traditionell eine Smart Card, kann aber auch über ein PushTAN über das Mobiltelefon erfolgen. Entsprechende Angebote gibt es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie.

Punkt 2: Unzureichende Anwendung von starker Verschlüsselung
Beim genannten Vorfall waren die Passwörter teilweise im Klartext gespeichert. Einige Informationen waren mit dem schon seit Jahren als unsicher gelten Algorithmus MD5 verschlüsselt. Sicherheitsexperten sowie das BSI sind von den Vorteilen von Kryptographie überzeugt, warnen aber auch vor dem Versagen der Schutzwirkung, falls diese unsauber implementiert wird. Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen. Besonders das Schlüsselmaterial muss verwaltet und geschützt werden, denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys.

Punkt 3: Unternehmen fokussieren sich zu einseitig auf Perimetersicherheit
Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall. Viele Firmen sind immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warnt das BSI bereits seit 2016 und spricht von "Assume the Breach". Genau weil sich durch IoT, Cloud Computing und BYOD immer neue Angriffsvektoren auftun, müssen IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen.

Fazit
Es fehlt nicht an Awarness und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gibt es immer wieder und spätestens seit der Anwendbarkeit der DSGVO stehen Organisationen unter Zugzwang. Es ist daher umso überraschender, dass bei den grundlegenden Mechanismen so nachlässig gehandelt wird. Das Beispiel verdeutlicht, dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht.
(Gemalto: ra)

eingetragen: 11.03.19
Newsletterlauf: 03.05.19

Gemalto: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Justizgewährungsanspruch in Gefahr

    Die Corona-Pandemie wirkt sich auch auf die deutschen Arbeits- und Sozialgerichte aus. Es herrscht Notbetrieb in vielen Gerichtssälen, wenn überhaupt verhandelt wird. Mit einem neuen Gesetzentwurf (COVID-19 ArbGG/SGG-AnpassungsG) und weiteren Gesetzesanpassungen will die Bundesregierung den Gerichten helfen, schießt dabei aber übers Ziel hinaus. Der Sozialverband VdK hält die Vorschläge für inakzeptabel. Die VdK-Präsidentin Verena Bentele dazu: "Dieses Gesetz soll die Effizienz der Sozialgerichte steigern. Aber das geht nur auf Kosten verfassungsmäßiger Rechte. Das Gesetz beschneidet die Rechte der Bürgerinnen und Bürger massiv. Geht der Gesetzentwurf so durch, dann ist der Justizgewährungsanspruch in Gefahr. Die Menschen können dann nicht mehr ungehindert die staatlichen Gerichte in Anspruch nehmen."

  • Veränderungen an der Digitalwährung Libra Coin

    Facebook hat in einem neuen Positionspapier Veränderungen an seiner Digitalwährung Libra Coin angekündigt. Dazu sagt Andreas Krautscheid, Hauptgeschäftsführer des Bundesverbands deutscher Banken: "Nach berechtigter, weltweiter Kritik kündigt Libra nun einen Libra Coin in veränderter Form an. Würden die neuen Vorschläge in die Tat umgesetzt, könnten sich die Kräfteverhältnisse unter den Zahlungsdienstleistern in Europa massiv verschieben."

  • Fünf Bedingungen für eine "Anti-Corona-App"

    In Deutschland wird über den möglichen Einsatz von Handydaten diskutiert, um mögliche Kontaktpersonen von Infizierten zu finden und zu warnen. Österreich hat bereits eine "Stopp-Corona-App" auf freiwilliger Basis gestartet. Der Verbraucherzentrale Bundesverband (vzbv) hält den Einsatz einer solchen App auch in Deutschland für sinnvoll, wenn fünf Bedingungen erfüllt sind. vzbv-Vorstand Klaus Müller kommentiert: "Die Corona-Pandemie ist ein nie dagewesener Stresstest für unseren Lebensalltag. Schnelle, pragmatische Lösungen zum Schutz von Gesundheit und Leben sind nötig. Eine Anti-Corona-App kann hier helfen, wenn sie folgende fünf Bedingungen erfüllt: Sie muss freiwillig, geeignet, nötig, verhältnismäßig und zeitlich befristet sein."

  • Novellierung des Jugendschutzgesetzes (JuSchG-E)

    Für eco stellt der vom Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) vorgelegte Entwurf zur Novellierung des Jugendschutzgesetzes (JuSchG-E) keine praktikable Lösung für einen zeitgemäßen Kinder- und Jugendmedienschutz dar. Der Verband der Internetwirtschaft begrüßt eine Modernisierung der gesetzlichen Grundlagen des Kinder- und Jugendmedienschutzes und unterstützt den Grundgedanken, Kindern und Jugendlichen mehr Teilhabe zu ermöglichen. Doch der vorgelegte Entwurf bleibt hinter den selbst gesteckten Zielen in der Praxis weit zurück. Durch die Vielzahl der parallelen Regelungen im Bereich des Jugendmedienschutzes, droht eine Zerklüftung des Rechts, die zu erheblicher Rechtsunsicherheit bei den betroffenen Unternehmen führen wird.

  • "Recht auf Reparatur"

    Die EU-Kommission stellte den neuen Aktionsplan für die Kreislaufwirtschaft vor. Dazu erklärt Bitkom-Präsident Achim Berg: "Dass wir weniger Müll und Elektroschrott erzeugen müssen, wie die EU-Kommission mit ihrem Aktionsplan für die Kreislaufwirtschaft festlegt - daran besteht kein Zweifel. Zweifelhaft ist aber, ob ein "Recht auf Reparatur" auf dieses Ziel einzahlen wird. Denn neben der gesetzlichen Gewährleistung bieten die meisten Hersteller von Elektronikprodukten wie Smartphones, Tablets oder Laptops bereits eine freiwillige Garantie an. Darüber hinaus gibt es eine große Bandbreite an Reparaturmöglichkeiten, die auch rege genutzt werden: Wie eine aktuelle Studie im Auftrag des Bitkom zeigt, haben 56 Prozent der Verbraucher, die schon einmal einen Defekt an ihrem Smartphone oder Handy hatten, diesen reparieren lassen oder - wenn möglich - selbst repariert.