Viele Sicherheitsverletzungen hätten mit einer Zwei-Faktor-Authentifizierung (2FA) leicht verhindert werden können. Zusätzlich zu einem Passwort erfordert 2FA einen zweiten Verifizierungsschritt, wie einen Smartphone-Code oder einen biometrischen Scan. Microsoft schätzt, dass die Multi-Faktor-Authentifizierung (MFA) mehr als 99,9 % der Angriffe zur Kompromittierung von Konten abwehrt. Damit ist sie von entscheidender Bedeutung, da die „fehlerhafte Authentifizierung“ nach wie vor eine der wichtigsten OWASP-Schwachstellen ist.

Hacker verwenden in der Regel eine der folgenden Techniken, um an die Anmeldedaten von Benutzern zu gelangen:

  1. Bei breit angelegtem Phishing sendet ein böswilliger Akteur eine allgemeine E-Mail von einer gefälschten E-Mail-Adresse aus, die die Empfänger dazu auffordert, sich mit ihren tatsächlichen Anmeldedaten auf einer gefälschten Webseite anzumelden. Die in der Phishing-E-Mail angegebenen Gründe können von „Zugriff auf ein neues Tool“ über „Zurücksetzen eines Passworts“ bis hin zur „Bestätigung verdächtiger Kontoaktivitäten“ reichen.

  2. Speer-Phishing folgt dem gleichen Modell wie breit angelegtes Phishing, aber die E-Mails sind spezifisch für jedes Ziel. Das würde bedeuten, dass die E-Mail den Benutzer mit seinem echten Namen oder mit Anwendungen anspricht, die er regelmäßig benutzt. Spear-Phishing-E-Mails wirken glaubwürdiger als ihre Gegenstücke, was ihre Erfolgsquote erhöht.

  3. Credential Stuffing-Angriffe, bei denen ein böswilliger Akteur, der das Passwort eines Ziels erfolgreich entdeckt oder erwirbt, auf alle Konten zugreifen kann, die dieses Passwort verwenden. Dies ist besonders problematisch, wenn man das persönliche Bewusstsein der Benutzer für Cybersicherheit berücksichtigt.

  4. Passwort-Spraying ermöglicht es Angreifern, sich Zugang zu verschaffen, indem sie gängige oder Standard-Passwörter ausprobieren. Die allgemeinsten Beispiele sind Passwörter wie „123456“ und „password“.

Warum ist die Zwei-Faktor-Authentifizierung wichtig?

Wie wir sehen, ist es nicht unmöglich, ein Passwort zu knacken, und es ist auch nicht erforderlich, dass die Angreifer den Müll der Zielperson durchsuchen, in der Hoffnung, ein Blatt Papier zu finden, auf dem die Zugangsdaten notiert sind.

Bei diesen drei Arten von Angriffen – Phishing, Ausfüllen von Anmeldeinformationen und Ausspähen von Passwörtern – kann man sich leicht vorstellen, dass von tausend Mitarbeitern mindestens einer gefährdet sein könnte. Und damit ist das gesamte Unternehmen gefährdet.

Wenn Sie jedoch einen weiteren Authentifizierungsmodus in den Mix werfen, geht das Risiko einer Kompromittierung gegen Null. Während ein Passwort gehackt werden kann, ist die Wahrscheinlichkeit, dass der Angreifer auch aus der Ferne auf das Authentifizierungsgerät oder das biometrische Merkmal des Ziels zugreift, fast gleich null. Auf diese Weise können 99,9 Prozent der Kontokompromittierungen verhindert werden.

Schulung des Sicherheitsbewusstseins ist entscheidend für den Erfolg der Zwei-Faktor-Authentifizierung

Der Einsatz der Zwei-Faktor-Authentifizierung in Ihrem Unternehmen hat zwei Gründe.

Erstens, die Technologie. Um die Zwei-Faktor-Authentifizierung zu implementieren, müssen Sie eine Methode wählen, die Benutzer authentifiziert. Die gängigste Methode ist heutzutage die Verwendung eines Smartphones. Produkte wie Office 365 verfügen über integrierte MFA-Funktionen und eine Richtlinienverwaltung, mit der Sie die mobilen Anwendungen der Benutzer problemlos als Identitätsnachweis einrichten können.

Zweitens, und vielleicht die größere Herausforderung, die Menschen. Die Benutzer müssen jedes Mal einen zusätzlichen Anmeldeschritt durchlaufen, wenn sie auf ein Tool zugreifen, das MFA aktiviert hat. An dieser Stelle ist ein Sicherheitstraining unerlässlich. Ohne eine Aufklärungskampagne für Mitarbeiter, die die Bedeutung der Zwei-Faktor-Authentifizierung hervorhebt, könnten sich einige Benutzer durch den zusätzlichen Authentifizierungsschritt belästigt fühlen und dazu übergehen, nicht autorisierte Anwendungen – wie WhatsApp – zu verwenden, um Dateien und Nachrichten auszutauschen. Diese unbefugte Nutzung von Anwendungen wird als Schatten-IT bezeichnet und ist eine hochriskante Praxis, da sie die gesamte Unternehmenssicherheit umgeht.

Die Sensibilisierung der Benutzer für Cybersicherheit ist sogar noch wichtiger, wenn wir uns die Credential Stuffing Attacke vor Augen führen. Wenn mehr als 50 Prozent der Benutzer dasselbe Passwort für mehrere Konten verwenden, ist es auch sehr wahrscheinlich, dass sie Passwörter zwischen privaten und beruflichen Konten austauschen.

Schaffung einer menschlichen Firewall mit Zwei-Faktor-Authentifizierung

Aus diesem Grund empfehlen wir, Kampagnen zum Sicherheitsbewusstsein auf die persönlichen Sicherheitsgewohnheiten der Mitarbeiter auszuweiten. Die Aktivierung von 2FA bei persönlichen E-Mail-Diensten wie Gmail ist einfach einzurichten und bequem zu nutzen. Diese einzige Maßnahme hat einen doppelten Nutzen: direkt für den Benutzer und indirekt für das Unternehmen, da sie das Risiko von Datenschutzverletzungen minimiert.

Neben der Förderung der Bedeutung der Zwei-Faktor-Authentifizierung für die persönliche Nutzung können Schulungen zum Incident Management Benutzern, die kompromittiert wurden, auch helfen, ein Verfahren zu befolgen, das weiteren Schaden verhindern kann, einschließlich der Meldung von Verstößen an die zuständigen IT-Teams und der Änderung von Passwörtern, falls erforderlich.

Aufklärungskampagnen zur Förderung eines guten persönlichen Bewusstseins für Cybersicherheit sind der einzige Weg, um die freiwillige Zustimmung der Benutzer zu erhalten. Wenn die Mitarbeiter verstehen, wie wichtig es ist, ihre IT- und Kommunikationsdienste sowohl am Arbeitsplatz als auch zu Hause sicher zu halten, bilden sie eine solide Grundlage für das gesamte Unternehmen.

Verbessern Sie IhreCybersicherheit mit effektiven Mitarbeiterschulungen

Um die Cybersicherheit Ihres Unternehmens zu stärken, empfehlen wir Ihnen, diese Artikel zu lesen:

Oder fordern Sie eine kostenlose Demo unseres fortgeschrittenen Cybersicherheitstrainings für Mitarbeiter an, um zu sehen, wie ein effektives Training Ihren Schutz vor Cyberbedrohungen verbessern kann.

Cyber Security Awareness für Dummies