Biometrische Authentifizierung
Die passwortlose Gesellschaft birgt Risiken
Fortsetzung des Artikels von Teil 1
Awareness schaffen
Sicherheit ist mit Aufwand verbunden, dieses Bewusstsein hat sich noch nicht unter allen Mitarbeitern in den Unternehmen durchgesetzt. Sicherheitsexperten empfehlen seit Jahren, mehrere Identifikationsmethoden miteinander zu kombinieren, um die Hürde für Angreifer möglichst hoch aufzulegen. Natürlich steigt dadurch der Aufwand für die Mitarbeiter in Unternehmen und die Usability leidet, aber der Schutz sensibler Daten sollte diesen Mehraufwand wert sein.
Ein höheres Maß an Sicherheit bietet etwa die Zwei-Faktor-Identifizierung, die ein Passwort mit einem zeitlich nur begrenzt gültigen Token kombiniert. Darunter fällt zum Beispiel ein auf ein mobile Device gesendeter Code, der online eingegeben werden muss, um Zugang zum System zu erhalten. Insbesondere beim Online Banking sind Kunden bereit, einen höheren Aufwand zu betreiben, um die Sicherheit ihrer Konten zu gewährleisten. So verwenden einige Schweizer Banken schon seit vielen Jahren erfolgreich eine Drei-Faktor-Identifizierung. Um über ein mobiles Device Zugang zum Bankkonto zu erhalten und Transaktionen durchführen zu können, sind drei Sicherheits-Token nötig: Ein klassisches Passwort, die Bankkarte plus PIN, wie sie zum Abheben von Bargeld am Geldautomaten benötigt wird, und ein physischer Passwort-Generator im Taschenrechnerformat, der zusammen mit Bankkarte und PIN einen weiteren Code generiert, der dann online eingegeben werden muss.
Um einem zu sorglosen Umgang mit Passwörtern vorzubeugen, empfehlen Sicherheitsexperten seit Jahren, unter den Mitarbeitern regelmäßige Sicherheitsschulungen abzuhalten. Das Lernziel besteht darin, eine Awareness dafür zu schaffen, dass Sicherheit nicht eine lästige Pflicht ist, der man sich nebenbei, missmutig und ohne die nötige Sorgfalt entledigen kann. Das Gegenteil ist der Fall. Sicherheitsmaßnahmen schützen überlebenswichtige Unternehmensressourcen und sollten deshalb fest in der Unternehmenskultur verankert sein.
Gefakte Phishing-Mails
Die heutigen Sicherheitsschulungen sind jedoch in vielen Fällen noch zu generisch aufgebaut und hinterlassen bei den Teilnehmern dann oftmals keine bleibenden Spuren. Oft wird weitergemacht wie bisher. Erfolgsversprechender ist es, vor dem Training als „White Hacker“ zunächst eine gefakte Social-Engineering-Attacke zum Beispiel über Phishing-Mails zu starten. Einige der Mitarbeiter werden auf die Attacke hereinfallen und auf den kompromittierenden Link der Phishing Mail klicken. Bei einem echten Angriff wäre das Firmennetzwerk dann mit Malware verseucht. So wird den Mitarbeitern klargemacht, wie leicht sie Opfer einer Social-Engineering-Attacke werden können. Ziel des gefakten Angriffs ist es, ein Gefühl der Betroffenheit und ein Bewusstsein für die aktuelle Gefahrenlage zu schaffen. Die im nachfolgenden Sicherheitstraining gegebenen Ratschläge bleiben dann besser im Gedächtnis haften und führen zu einer Verhaltensänderung.
Das Bewusstsein für aktuelle Gefahren und deren Folgen wird von der Sicherheitsindustrie noch nicht stark genug in die Unternehmen getragen, damit die Bereitschaft, einen gewissen Mehraufwand für die Sicherung der Systeme auf sich zu nehmen, weiter wächst. Welcher Mix aus biometrischen Verfahren, Passwörtern und zusätzlichen Tokens letztendlich zum Einsatz kommt, ist dann fast schon ein Nebenschauplatz. Fehlende Awareness ist heute der Hauptrisikofaktor für die Sicherheit sensibler Informationen in Unternehmen. Noch viel zu häufig werden sicherheitsrelevante Fragen von den Mitarbeitern in Firmen unterschätzt. Cyberkriminelle zielen zwar auf das Top-Management, den Geschäftsführer oder den CEO, weil dort wegen besonders weitreichender Zugriffsberechtigungen der schnellste Profit erwartet wird. Aber auch normale Mitarbeiter geraten oft ins Fadenkreuz. Sie unterschätzen ihre Bedeutung für die Sicherheit im Unternehmen und sind dadurch besonders anfällig für Social-Engineering-Attacken. Hat sich der Angreifer erst einmal die Zugangsdaten für einen normalen Account erobert, kann er darüber seinen Zugriff auf sensiblere Komponenten des Firmennetzwerkes ausweiten und unter Umständen wertvolle Informationen entwenden.
Jeder Mitarbeiter ist für Sicherheit verantwortlich
Jeder Mitarbeiter ist wichtig, und jeder sollte für die Sicherheit des eigenen Unternehmens Sorge tragen. Diese Botschaft gilt es, unter so vielen Mitarbeitern wie möglich zu verbreiten. Dabei spielen die Sicherheit der Devices, der Software, Fingerscanner, Passwörter und andere technologische Faktoren eine entscheidende Rolle. Noch entscheidender aber ist ein kluger Kopf, der sich der sicherheitsrelevanten Bedeutung seines Handelns für das Unternehmen, in dem er arbeitet, jederzeit bewusst ist.
David Wollmann ist Executive Consultant bei NTT Security in Ismaning bei München
- Die passwortlose Gesellschaft birgt Risiken
- Awareness schaffen
Lesen Sie mehr zum Thema
