Der Countdown läuft
Wann wird Ihr Passwort gestohlen?
Fortsetzung des Artikels von Teil 1
Schutz gegen CEO-Frauds
Auch der so genannte CEO-Fraud ließe sich auf diese Weise vermeiden. Bei dem neuen Betrugstrend, der sich gerade von den USA nach Europa ausbreitet, geben sich Kriminelle als Geschäftsführer aus und weisen Mitarbeiter per E-Mail an, hohe Geldbeträge sofort zu überweisen. Die Erfolgsquote bei dieser Form der Mitarbeitertäuschung liegt bei erschreckenden 90 Prozent. In den USA allein betrug der vom FBI zwischen 2013 und 2016 erfasste Schaden über fünf Milliarden US-Dollar. Dabei könnte auch hier alles so einfach sein: Eine kurze Push-Token-Abfrage beim tatsächlichen Geschäftsführer würde ausreichen, um diese unrechtmäßigen Transaktionen zu vermeiden und sichere Überweisungen zu tätigen.
Ein weiterer Schwerpunkt der Transaktionssicherheit liegt auf kritischen Infrastrukturen. Dieser Bereich wird in den kommenden Jahren durch die zunehmende digitale Vernetzung noch weiter an Bedeutung gewinnen. Er rückt damit auch in den Fokus des Bundesinnenministeriums, das mittlerweile eine nationale Schutzstrategie festgelegt hat. Leider stellen kritische Infrastrukturen ein besonders attraktives Angriffsziel dar, da Ausfälle oder Störungen weitreichende Konsequenzen für die Bevölkerung und die Wirtschaft haben können. In solchen Umgebungen kann eine Multi-Faktor-Authentifizierung mittels Push-Token die Umsetzung eines Mehraugenprinzips sicherstellen: Gibt ein Ingenieur den Befehl, die Kühlung eines Atomreaktors abzuschalten, sendet das IT-System des Kernkraftwerks Push-Token an die Smartphones mehrerer anderer Mitarbeiter. Erst wenn eine vorher festgelegte Anzahl von ihnen den Befehl bestätigt, wird er auch tatsächlich ausgeführt.
Token für jedes Sicherheitslevel
Inzwischen können Unternehmen aus einer großen Bandbreite an Tools für die Multi-Faktor-Authentifizierung wählen: Neben den bereits erwähnten Push-Token gibt es unter anderem QR-Token, die sich auch offline per Smartphone-Kamera und -App verifizieren lassen. Ein weiteres Beispiel sind Hardware-Token, die am Schlüsselanhänger getragen oder per USB mit dem Rechner verbunden werden. In weniger sensiblen Bereichen lässt sich auch ein Einmal-Code per SMS verschicken, den der Nutzer eintippt und so seine Identität über die eigene Telefonnummer bestätigt. Die technologischen Möglichkeiten sind vielfältig und sollten je nach Sicherheitslevel der Nutzer und Einsatzszenario ausgewählt werden.
Lösungen, die eine schnelle Integration insbesondere in Eigenentwicklungen wie Portalen erlauben sowie flexibel auf zukünftige Anforderungen reagieren können, punkten bei Entscheidern. Schlussendlich sollte eine Lösung auch „smarte“ Features mitbringen, welche die operationalen Kosten sowohl in Zeit als auch Geld reduzieren. Auch die Benutzerfreundlichkeit ist ein entscheidendes Kriterium, denn mit ihr steht und fällt die Akzeptanz durch den Anwender, die für ein Optimum an Transaktionssicherheit zwingend erforderlich ist.
Dr. Amir Alsbih ist COO bei Keyidentity
- Wann wird Ihr Passwort gestohlen?
- Schutz gegen CEO-Frauds
Lesen Sie mehr zum Thema
