Neue Bedrohungen erfordern neue Sicherheitsnormen
Warum Nutzername und Passwort nicht mehr schützen
Laut einer aktuellen Untersuchung der ESG (Enterprise Strategy Group) teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind. Deshalb plädieren sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen.
Remote-Zugriff ist jetzt die Norm
Die Nutzung von Online-Diensten ist in den vergangenen zehn Jahren exponentiell angestiegen. Unternehmen verlagern immer mehr ihrer Geschäftsprozesse in Online-Umgebungen. Dadurch sind Remote-Zugriffe ebenfalls stetig mehr geworden. Zugleich ist diese Methode der einfachste Weg, Geschäftstätigkeiten durchzuführen sowie auf sensible Unternehmensdaten zuzugreifen. Doch durch die Verlagerung auf Online-Dienste hat sich auch das Risiko für Sicherheitsverletzungen erhöht, denn böswillige Dritte finden immer komplexere Möglichkeiten, unerlaubt in Systeme einzudringen.
Eine Studie von Ponemon Research, bei der über 500 Unternehmen befragt wurden, ergab, dass allein im vergangenen Jahr 90 Prozent dieser Firmen von Sicherheitsverletzungen betroffen waren. Derartige Statistiken deuten auf eine eklatante Diskrepanz zwischen aktuellen Sicherheitslösungen und modernen Bedrohungen hin. Es ist ganz offensichtlich, dass große Unternehmen stärkere und effektivere Sicherheitslösungen benötigen, um sich zu schützen.
- Ein guter Weg zum sicheren Passwort
Wer sein Passwort nach dieser Vorgehensweise anlegt, kann sicher sein, ein schwer zu knackendes und starkes Passwort zu besitzen (nach Anregungen aus dem Microsoft Safety & Security Center). - Das Safety & Security Center von Microsoft bietet auch die Möglichkeit, ein Passwort auf seine Verschlüsselungsstärke zu testen
Hier wurde ein Passwort eingegeben, dass nach der Tabelle in Bild 1 erstellt wurde. - Warum manuell ein Passwort erstellen, wenn es auch dafür Software gibt?
Mit der freien Software PWGen werden wirklich sichere und sehr komplexe Passworte erstellt. - Nach einmal die Überprüfung
Hier wurde ein Passwort eingegeben, das zuvor mittels des Programms PWGen erstellt worden ist. Allerdings ist der Hinweis wichtig, dass diese Überprüfung allein kein sicheres Passwort garantieren kann. - Die Anmeldung an die Passwort-Datenbank
Hier sind alle wichtigen Passworte versammelt und können übersichtlich verwaltet werden. - Wer mit wirklich komplexen unterschiedlichen Passworten arbeitet, kommt um den Einsatz eines Passwort-Managers nicht herum
Hier die Open-Source-Lösung KeePass, die durch ihre vielfältigen Möglichkeiten auch sehr gut in Unternehmensnetzwerken eingesetzt werden kann. - Professionelle Lösungen wie die hier gezeigte Lösung Passwort-Depot bieten natürlich noch viel mehr Möglichkeiten
Hier steht beispielsweise auch eine umfangreiche Suchmöglichkeit in der Datenbank zur Verfügung. - Vielfältige Möglichkeiten
Das Passwort-Depot ermöglicht es, die gesicherten und verschlüsselten Daten auch auf externe Medien auszulagern. - Integration ist wichtig
Sollen die Anwender leicht und schnell mit den komplexen Passworten umgehen können, so ist wie hier eine direkte Einbindung in den Browser sinnvoll: Die Nutzer geben dann die Passworte direkt aus dem „Safe“ in die Webseite ein. - Enge Integration in den jeweiligen Browser
Die Lösung Robo kann ebenfalls Passworte verwalten, ist aber primär darauf ausgerichtet, den Anwender beim sicheren Ausfüllen von Web-Formularen zu unterstützen. - Master-Passwort
Das Master-Passwort wird bei Installation von RoboForm auch daraufhin untersucht, ob es entsprechend sicher und komplex genug ist. - Nach der Installation
Roboform kommt auch ins Spiel, wenn sich der Anwender über Web auf einem anderen Windows-System anmelden will. - Direkte Erinnerung
Das Programm wird direkt in den Browser integriert – die funktioniert neben dem Internet-Explorer auch im Firefox und unter Opera. - Zusatzfunktionen
Das eigentliche RoboForm-Programm stellt dem Anwender neben der reinen Verwaltung von Passworten noch andere Funktionen zur Verfügung, so auch die Möglichkeit Notizen sicher abzuspeichern.
Über die Entwicklung von Hacker-Angriffen
In den frühen Jahren des Internets waren Benutzername und Kennwort die bevorzugte - manchmal die einzige - Form, sich zu authentifizieren. Wollten Hacker in Systeme eindringen, nutzten sie entweder Brute-Force-Angriffe, um die benötigte Information zu erraten oder sie versuchten über Wörterbuchangriffe, Identitäten von Benutzern anzunehmen. Hierbei werden diverse Kombinationen und mögliche Passwörter eingegeben, bis eine Übereinstimmung gefunden ist.
Irgendwann wurden Technologien entwickelt, mit denen verhindert werden konnte, dass solche Angriffe erfolgreich waren: Konten wurden dann nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt.
Doch auch Hacker entwickelten ihre üblen Tricks weiter. So entstanden neue Methoden wie Pharming, Phishing oder eine Kombination aus beidem. Bei solchen Angriffen werden Anwender auf eine gefälschte Webseite geleitet, die der echten täuschend ähnlich sieht. Oft erkennen Anwender nicht, dass sie umgeleitet wurden, und so geben sie ihre persönlichen Anmeldedaten preis.
Bei einigen dieser fortgeschritteneren Angriffe wird die gestohlene Information in Echtzeit an Hacker gesendet, wobei viele gängige Token der Zwei-Faktor-Authentifizierung kompromittiert werden. Bei der Malware Zeus beispielsweise werden Benutzername und Passwort - sogar fortgeschrittene zeitbasierte Token-Codes - erbeutet und die Information per Sofortnachricht direkt an den Hacker gesendet.
Als wäre es nicht schon genug, die Standard-Anmeldungsmethode zu kompromittieren, sind unlängst neue, noch ausgereiftere Methoden zum Abfangen von Anmeldedaten entstanden. Dazu gehören Angriffe wie Man-in-the-Browser, Man-in-the-Middle und Session-Hijacking.
Diese Methoden sind dreister und noch verdeckter, sodass nicht einmal mehr die sicherheitsstärksten Token für die Zwei-Faktor-Authentifizierung effektiv sind. Viele Organisationen erkennen jedoch nicht, dass herkömmliche Token auf diese Weise kompromittiert werden können und ein erhebliches Sicherheitsrisiko bedeuten, dessen man sich annehmen muss.