IT Security März/April

27.02.2023 Aufrufe
18 | IT SECURITY Wie vermeidet man MFA-Fatigue Angriffe? WAS STECKT HINTER DIESEM BEGRIFF, WELCHE VARIANTEN TRETEN DERZEIT AUF UND WELCHE ABWEHRMASSNAHMEN HELFEN? Cyberkriminelle nutzen eine neue Taktik, um auch Multifaktor-Authentifizierung (MFA) zu knacken. Sie fordern hartnäckig die nötige Authentifizierung, bis das Opfer aus purer „Ermüdung“ irgendwann bestätigt. Unser Rat: Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren! Fast täglich sind dabei neue Varianten zu beobachten. Derzeit gibt es vor allem verstärkt MFA-Fatigue-Angriffe, wie die Hackerattacke auf den Fahrdienstleister Uber zeigt, um nur einen prominenten Namen zu nennen. Die Cyber- Ark Labs haben fünf gängige Phishing- Attacken der jüngsten Vergangenheit identifiziert. Darauf aufbauend gibt das Unternehmen Tipps zur Verringerung der Cyberrisiken. #1 SMS- und Voice-Phishing Diese MFA-Fatigue-Attacken werden genutzt, um sich als vertrauenswürdige Quellen auszugeben – dabei „ermüden“ Angreifer die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Angreifer finden immer wieder neue Wege, um MFA-Anwendungen und Sicherheitskontrollen zu umgehen. Die Nutzung von Phishing-resistenten MFA-Faktoren wie FIDO, QR-Codes oder physischen Token kann dabei helfen, diese Bemühungen zu vereiteln. Eine wirkungsvolle Abwehrmethode gegen MFA-Fatigue-Attacken ist auch die Änderung der MFA-Konfiguration. So können zum Beispiel Push-Benachrichtigungen durch One-Time Passwords (OTPs) ersetzt werden. Die OTP-Nutzung ist zwar weniger komfortabel, kann aber das MFA-Fatigue-Risiko minimieren. Ein benutzerfreundlicherer Ansatz besteht darin, für eine erfolgreiche MFA- Authentifizierung einen Nummernabgleich zu verlangen. Dabei wird Nutzern, die auf MFA-Push-Benachrichtigungen mit der Authenticator-App antworten, eine Zahlenfolge angezeigt. Diese muss in die App eingeben werden, um den Prozess abzuschließen. #2 Social-Engineering-Angriffe Eine wirksame Methode zum Schutz vor Social Engineering sind Security-Awareness-Trainings für die Mitarbeiter. Routinemäßig sollten Schulungen durchgeführt werden, um das sicherheitsbewusste Verhalten in der Unternehmenskultur zu verankern und die Mitarbeiter über die Entwicklung von Social- Engineering- und Phishing-Angriffstechniken zu informieren. Aber auch technische Schutzmaßnahmen müssen getroffen werden. Dazu zählt etwa die Nutzung von Spam-Filtern, die verhindern, dass verdächtige E-Mails oder unerwünschte Anhänge wie Gewinnspiele oder infizierte Bewerbungen in die Posteingänge der Mitarbeiter gelangen. #3 Identitätskompromittierung Der Diebstahl von Zugangsdaten ist eine weitere beliebte Phishing-Methode, bestes Beispiel dafür sind Manin-the-Middle-Angriffe. Awareness-Kampagnen können nicht immer verhindern, dass ein Benutzer Opfer von Phishing wird. Folglich muss eine Verteidigungsstrategie auch ein Endpoint Privilege Management beinhalten, das die clientseitigen Credentials schützt und den Diebstahl von Cookies verhindert, der ein MFA-Bypassing ermöglichen kann. #4 System- und Serverkompromittierung Mit Seitwärtsbewegungen können Angreifer tiefer in kompromittierte Umge- März/April 2023 | www.it-daily.net

IT SECURITY | 19 bungen eindringen und Zugriffsrechte ausweiten – bis hin zu Domain Controllern. Eine Abwehrmaßnahme ist die Durchsetzung des Least-Privilege-Prinzips in der gesamten Infrastruktur, auch im Hinblick auf Anwendungen und Daten. Hier kommen intelligente Berechtigungskontrollen ins Spiel, die den Zugriff für alle Identitäten verwalten, sichern und überwachen. #5 Datenexfiltration Bei einem der jüngsten Phishing-Vorfälle versuchten Angreifer, wieder in das Netzwerk einzudringen, nachdem sie Daten gestohlen hatten, aber anschließend entdeckt worden waren. Dabei zielten sie auf Mitarbeiter ab, die nach dem obligatorischen Zurücksetzen der Anmeldedaten möglicherweise nur einzelne Zeichen an ihren Passwörtern geändert hatten. Die EIN WIRKSAMER ANTI- PHISHING-SCHUTZ MUSS EINERSEITS TECHNISCHE LÖSUNGEN UMFASSEN UND ANDERERSEITS AUCH DIE MENSCHLICHE KOMPONENTE BERÜCK- SICHTIGEN. Michael Kleist, Area Vice President DACH, CyberArk, www.cyberark.de Angreifer waren in diesem Fall nicht erfolgreich, aber er zeigt, wie wichtig sichere Passwortverfahren sind. Idealerweise wird dabei eine Lösung genutzt, die automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert. Fazit Phishing hat eine neue Stufe der Innovation erreicht. Die jüngsten Ereignisse zeigen, wie weit Angreifer gehen, um ihre ahnungslosen Opfer zu täuschen. Betroffen sind auch solche Mitarbeiter, die denken, dass sie dank MFA gefahrlos agieren. Ein wirksamer Anti-Phishing- Schutz muss deshalb einerseits technische Lösungen umfassen und andererseits auch die menschliche Komponente berücksichtigen. Schließlich ist davon ausgehen, dass unerwünschte Klicks letztlich immer unvermeidlich sind. Folglich sollten auch Bedrohungen prinzipiell frühzeitig erkannt werden, bevor ein größerer Schaden entsteht. Außerdem muss die Security mehrstufig aufgebaut sein, um im Falle des Falles den Angreifer in der nächsten Verteidigungslinie abfangen zu können. Michael Kleist Passwörter ZWEI-FAKTOR-AUTHENTIFIZIERUNG NIMMT ZU In einer von KnowBe4 im Januar 2023 durchgeführten Umfrage wurden 106 Personen zum Thema „Passwörter vs. Passwordless“ befragt. Die Mehrheit der Befragten (61 Prozent) verwendet beim Online-Banking eine Zwei-Faktor-Authentifizierung und 46 Prozent beim Online-Shopping. Die Befragten scheinen großes Vertrauen in diese Methode der Authentifizierung zu setzen, denn deutlich mehr als die Hälfte hält sie für sicher und nur rund ein Viertel hat Bedenken wegen der Sicherheit. Es ist interessant zu beobachten, dass etwa ein Drittel (34 Prozent) ein jeweils leicht modifiziertes Passwort für verschiedene Konten nutzt und ebenso fast ein Drittel (32 Prozent) für jedes Konto ein komplett anderes Passwort verwendet. Was macht die Sicherheit von Passwörtern aus? Die steigende Bedeutung der Zwei-Faktor-Authentifizierung zeigt sich auch darin, dass es viele Bedenken in Bezug auf die grundsätzliche Sicherheit von klassischen Passwörtern, egal wie komplex sie sind, gibt. So halten nur 30 Prozent komplexe Passwörter für sehr sicher, während fast ein Viertel (24 Prozent) nicht weiß, wie sie die Lage einschätzen sollen. Und fast ein Drittel der Befragten (29 Prozent) halten selbst komplexe Passwörter für eher unsicher. Nutzer sollten einige Grundregeln verinnerlichen: 1 Komplexere Passwörter sind besser als kurze – Passphrasen sind eine geeignete Methode zur Steigerung der Komplexität. 2 Multifaktorauthentifizierung verfügt über bessere Sicherheit als einfache Authentifizierung. 3 Im Schnitt schützen Nutzer ihre Accounts durch die Verwendung von Passwortmanagern mehr, als dass sie sie verwundbar machen. www.knowbe4.de www.it-daily.net | März/April 2023

Seite 1 und 2: Detect. Protect. Respond. März/Apr

Seite 3 und 4: INHALT | 3 COVERSTORY 04 40 Inhalt

Seite 5 und 6: COVERSTORY | 5 Uwe Gries, Country-M

Seite 7 und 8: IT SECURITY | 7 SAP ? Selbst wenn m

Seite 9 und 10: IT SECURITY | 9 Fälschung oder Rea

Seite 11 und 12: IT SECURITY | 11 Infrastrukturen so

Seite 13 und 14: IT SECURITY | 13 endpunktsicherheit

Seite 15 und 16: IT SECURITY | 15 mentierung des Dat

Seite 17: IT SECURITY | 17 sich dabei um ein

Seite 21 und 22: IT SECURITY | 21 sich damit kaum ne

Seite 23 und 24: mehr als nur tägliche IT-News! SCA

Seite 25 und 26: IT SECURITY | 25 Bild 2: Die Umwand

Seite 27 und 28: IT SECURITY | 27 zum Betrieb ganzer

Seite 29 und 30: IT SECURITY | 29 Unabhängig davon

Seite 31 und 32: 04.08.21 09:49 is IT IT NEWS Der t

Seite 33 und 34: IT SECURITY | 33 direkt erstellt un

Seite 35 und 36: IT SECURITY | 35 Das PBAC-Modell fr

Seite 37 und 38: IT SECURITY | 37 beruht vor allem a

Seite 39 und 40: Data Lake: Die etwas ANDERE ART des

Seite 41 und 42: IT SECURITY | 41 hin zur Entdeckung

Seite 43 und 44: IT SECURITY | 43 Passwortmanager wi

Seite 45 und 46: IT SECURITY | 45 blematisch werden,

Seite 47 und 48: IT SECURITY | 47 DIE GRÖSSTEN RISI

IT Security März/April

Template löschen?

Als Template speichern ?