Sichere Zwei-Faktor-Authentisierung bringt Abhilfe


Gefahr offensichtlich unterschätzt: Illegaler Onlinehandel mit gehackten Daten boomt
Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall



Kommentar von Thorsten Krüger, Director Regional Sales IDP DACH & CEE bei Gemalto

Aktuell macht ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten werden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheint die Lage nicht besser zu werden. Besonders kritisch ist, dass gerade beim Thema von persönlichen Informationen bekannte Best Practices nicht umgesetzt werden. Drei Schlüsse sind besonders wichtig:

Punkt 1: Schutz von Accounts nur durch Passwörter ist nicht mehr zeitgemäß
In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planen die Kriminellen mit ein. Die Hintermänner bewerben im Beispiel Credential-Stuffing-Attacken. Hierbei werden E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter erstmal nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit bei der Nutzer lassen sich so weitere Accounts übernehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: "Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet." Ein zweiter Faktor ist traditionell eine Smart Card, kann aber auch über ein PushTAN über das Mobiltelefon erfolgen. Entsprechende Angebote gibt es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie.

Punkt 2: Unzureichende Anwendung von starker Verschlüsselung
Beim genannten Vorfall waren die Passwörter teilweise im Klartext gespeichert. Einige Informationen waren mit dem schon seit Jahren als unsicher gelten Algorithmus MD5 verschlüsselt. Sicherheitsexperten sowie das BSI sind von den Vorteilen von Kryptographie überzeugt, warnen aber auch vor dem Versagen der Schutzwirkung, falls diese unsauber implementiert wird. Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen. Besonders das Schlüsselmaterial muss verwaltet und geschützt werden, denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys.

Punkt 3: Unternehmen fokussieren sich zu einseitig auf Perimetersicherheit
Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall. Viele Firmen sind immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warnt das BSI bereits seit 2016 und spricht von "Assume the Breach". Genau weil sich durch IoT, Cloud Computing und BYOD immer neue Angriffsvektoren auftun, müssen IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen.

Fazit
Es fehlt nicht an Awarness und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gibt es immer wieder und spätestens seit der Anwendbarkeit der DSGVO stehen Organisationen unter Zugzwang. Es ist daher umso überraschender, dass bei den grundlegenden Mechanismen so nachlässig gehandelt wird. Das Beispiel verdeutlicht, dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht.
(Gemalto: ra)

eingetragen: 11.03.19
Newsletterlauf: 03.05.19

Gemalto: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • "Recht auf schnelles Internet"

    Der Digitalausschuss des Bundestages hat über die Anhebung der Mindestversorgung mit Telekommunikationsdiensten entschieden. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Statt neue Verpflichtungen für die Netzbetreiber aufzubauen, sollte die Bundesregierung die bürokratischen Hürden für den Netzausbau abbauen. Alle Menschen und Unternehmen brauchen einen schnellen Zugang ins Internet. Damit dieses Ziel in Deutschland erreicht wird, haben die Netzbetreiber den Gigabit-Ausbau massiv beschleunigt und investieren bis 2025 rund 50 Milliarden Euro in den Ausbau von Glasfasernetzen."

  • Bitkom zum Recht auf Reparatur

    Am 23. April 2024 stimmte das EU-Parlament über das Recht auf Reparatur ab. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Länger nutzen ist oft umweltfreundlicher - das gilt auch für Smartphones, Tablets und andere digitale Geräte. Bitkom begrüßt daher, dass sich die EU dieses Themas mit der Einführung eines Rechts auf Reparatur annimmt. Positiv sticht bei der neuen EU-Richtlinie heraus, dass defekte IT-Geräte durch gebrauchte und professionell wiederaufbereitete Geräte - sogenannte Refurbished-IT - ersetzt werden können."

  • AI Act nahm letzte Hürde

    Die Mitgliedsstaaten der EU beschlossen am 21. Mai 2024 im Ministerrat den AI Act. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen bereits sechs Monate später erste Regeln befolgen. Dazu erklärt Bitkom-Präsident Dr. Ralf Wintergerst,

  • Sechs Jahre DSGVO

    Am 25. Mai wurde die Datenschutz-Grundverordnung (DSGVO) sechs Jahre alt. Seit ihrer Anwendbarkeit verhängten europäische Datenschutzbehörden in mehr als 2.200 öffentlich bekannten Fällen Bußgelder in Höhe von insgesamt rund 4,5 Milliarden Euro. Insbesondere Big-Tech-Unternehmen sind anfällig für hohe Bußgelder.

  • Sicherheit des Bankensektors in Europa

    Das Europäische Parlament hat am 24. April 2024 seine Position zu den Gesetzesvorschlägen der EU-Kommission für eine Änderung des Rahmenwerks für die Bankenabwicklung und Einlagensicherung (CMDI-Review) verabschiedet. Aus Sicht der Deutschen Kreditwirtschaft werden dadurch bewährte Sicherungssysteme gefährdet und Finanzierungsmöglichkeiten für die Wirtschaft beeinträchtigt.

Thema digitale Ethik vorantreiben Politischer Willkür Tür und Tor geöffnet

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen