Sichere Zwei-Faktor-Authentisierung bringt Abhilfe


Gefahr offensichtlich unterschätzt: Illegaler Onlinehandel mit gehackten Daten boomt
Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall



Kommentar von Thorsten Krüger, Director Regional Sales IDP DACH & CEE bei Gemalto

Aktuell macht ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten werden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheint die Lage nicht besser zu werden. Besonders kritisch ist, dass gerade beim Thema von persönlichen Informationen bekannte Best Practices nicht umgesetzt werden. Drei Schlüsse sind besonders wichtig:

Punkt 1: Schutz von Accounts nur durch Passwörter ist nicht mehr zeitgemäß
In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planen die Kriminellen mit ein. Die Hintermänner bewerben im Beispiel Credential-Stuffing-Attacken. Hierbei werden E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter erstmal nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit bei der Nutzer lassen sich so weitere Accounts übernehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: "Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet." Ein zweiter Faktor ist traditionell eine Smart Card, kann aber auch über ein PushTAN über das Mobiltelefon erfolgen. Entsprechende Angebote gibt es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie.

Punkt 2: Unzureichende Anwendung von starker Verschlüsselung
Beim genannten Vorfall waren die Passwörter teilweise im Klartext gespeichert. Einige Informationen waren mit dem schon seit Jahren als unsicher gelten Algorithmus MD5 verschlüsselt. Sicherheitsexperten sowie das BSI sind von den Vorteilen von Kryptographie überzeugt, warnen aber auch vor dem Versagen der Schutzwirkung, falls diese unsauber implementiert wird. Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen. Besonders das Schlüsselmaterial muss verwaltet und geschützt werden, denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys.

Punkt 3: Unternehmen fokussieren sich zu einseitig auf Perimetersicherheit
Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall. Viele Firmen sind immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warnt das BSI bereits seit 2016 und spricht von "Assume the Breach". Genau weil sich durch IoT, Cloud Computing und BYOD immer neue Angriffsvektoren auftun, müssen IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen.

Fazit
Es fehlt nicht an Awarness und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gibt es immer wieder und spätestens seit der Anwendbarkeit der DSGVO stehen Organisationen unter Zugzwang. Es ist daher umso überraschender, dass bei den grundlegenden Mechanismen so nachlässig gehandelt wird. Das Beispiel verdeutlicht, dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht.
(Gemalto: ra)

eingetragen: 11.03.19
Newsletterlauf: 03.05.19

Gemalto: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Datenschutz und Informationsfreiheit

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Louisa Specht-Riemenschneider ihren Tätigkeitsbericht vorgestellt. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mit Blick auf die digitale Transformation und Zukunftstechnologien wie Künstlicher Intelligenz eines der wichtigsten in Deutschland. Der vorgelegte Tätigkeitsbericht zeigt den eingeschlagenen und dringend notwendigen Perspektivwechsel der BfDI, die Datenschutz und verantwortungsvolle Datennutzung gleichermaßen in den Blick nimmt."

  • Bitkom zum "AI Continent Action Plan" der EU

    Die EU-Kommission hat den "AI Continent Action Plan" vorgestellt, mit dem Europa bei Künstlicher Intelligenz zu den aktuell führenden Nationen USA und China aufschließen will. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Mit dem AI Continent Action Plan verschiebt die EU den Fokus von KI-Regulierung auf KI-Förderung - und dafür ist es höchste Zeit. Die europäischen Staaten können nur gemeinsam zu den führenden KI-Nationen USA und China aufschließen und die Grundlagen für eine wettbewerbsfähige, europäische KI schaffen. Eine KI aus Europa würde einen entscheidenden Beitrag zu Europas digitaler Souveränität leisten. Die aktuelle geopolitische Lage und die angespannten Handelsbeziehungen zu den USA machen dies notwendiger denn je."

  • Rückschlag im Kampf gegen Korruption

    Transparency Deutschland kritisiert den Koalitionsvertrag von Union und SPD als unzureichend im Hinblick auf Korruptionsbekämpfung und -prävention sowie Transparenz. Keine der drei Kernforderungen, die die Antikorruptionsorganisation bereits im Wahlkampf an die künftige Bundesregierung formuliert hatte, wurde im Koalitionsvertrag berücksichtigt. In der nächsten Legislaturperiode bleiben damit gravierende Defizite bestehen - und der Handlungsbedarf verschärft sich.

  • Nachhaltigkeit in der Unternehmensstrategie

    Die Europäische Kommission hat am 26.02.25 mit der Omnibus-Richtlinie ein neues Paket von Vorschlägen zur Vereinfachung der EU-Nachhaltigkeitsvorschriften und zur Steigerung der Wettbewerbsfähigkeit vorgelegt. Stefan Premer, Principal Sustainability Consultant - Global Lead Climate Strategy bei Sphera, Anbieterin von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen, erläutert unten seine Sicht zu diesen Vorschlägen.

  • Risiken frühzeitig zu kontrollieren

    Die Regulierung von KI ist ein zentrales politisches und wirtschaftliches Thema - doch während Europa auf Vorschriften setzt, treiben die USA und China die Umsetzung voran. Die EU versucht mit dem AI-Act, Risiken frühzeitig zu kontrollieren, doch der technologische Fortschritt lässt sich nicht per Gesetz erzwingen. Unternehmen müssen Verantwortung übernehmen, indem sie Transparenz fördern und Vertrauen schaffen - nicht nur aus ethischen Gründen, sondern auch für wirtschaftliche Vorteile.

Thema digitale Ethik vorantreiben Politischer Willkür Tür und Tor geöffnet

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen