Neue Bedrohungen erfordern neue Sicherheitsnormen

Nutzername und Passwort schützen nicht mehr

11.07.2014
Von Claus Rosendal
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per Password nicht mehr gewachsen. Eine neue Generation an Anmeldelösungen ist dringend erforderlich.

Laut einer aktuellen Untersuchung der ESG (Enterprise Strategy Group) teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind. Deshalb plädieren sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen.

Remote-Zugriff ist jetzt die Norm

Die Nutzung von Online-Diensten ist in den letzten zehn Jahren exponentiell angestiegen. Unternehmen verlagern immer mehr ihrer Geschäftsprozesse in Online-Umgebungen. Dadurch sind Remotezugriffe ebenfalls stetig mehr geworden. Zugleich ist diese Methode der einfachste Weg, um Geschäftstätigkeiten durchzuführen sowie auf sensible Unternehmensdaten zuzugreifen. Doch durch die Verlagerung auf Online-Dienste hat sich auch das Risiko für Sicherheitsverletzungen erhöht, denn böswillige Dritte finden immer komplexere Möglichkeiten, unerlaubt in Systeme einzudringen.

Eine Studie von Ponemon Research, bei der über 500 Unternehmen befragt wurden, ergab, dass allein im letzten Jahr 90 Prozent dieser Firmen von Sicherheitsverletzungen betroffen waren. Derartige Statistiken deuten auf eine eklatante Diskrepanz zwischen aktuellen Sicherheitslösungen und modernen Bedrohungen hin. Es ist ganz offensichtlich, dass große Unternehmen stärkere und effektivere Sicherheitslösungen benötigen, um sich zu schützen.

Über die Entwicklung von Hackerangriffen

In den frühen Jahren des Internet waren Benutzername und Kennwort die bevorzugte - manchmal die einzige - Form, sich zu authentifizieren. Wollten Hacker in Systeme eindringen, nutzten sie entweder Brute-Force-Angriffe, um die benötigte Information zu erraten oder sie versuchten über Wörterbuchangriffe, Identitäten von Benutzern anzunehmen. Hierbei werden diverse Kombinationen und mögliche Passwörter eingegeben, bis eine Übereinstimmung gefunden ist.

Irgendwann wurden Technologien entwickelt, mit denen verhindert werden konnte, dass solche Angriffe erfolgreich waren: Konten wurden dann nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt.

Doch auch Hacker entwickelten ihre üblen Tricks weiter. So entstanden neue Methoden wie Pharming, PhishingPhishing oder eine Kombination aus beidem. Bei solchen Angriffen werden Anwender auf eine gefälschte Webseite geleitet, die der echten täuschend ähnlich sieht. Oft erkennen Anwender nicht, dass sie umgeleitet wurden und so geben sie ihre persönlichen Anmeldedaten preis. Alles zu Phishing auf CIO.de

Bei einigen dieser fortgeschritteneren Angriffe wird die gestohlene Information in Echtzeit an Hacker gesendet, wobei viele gängige Token der Zwei-Faktor-Authentifizierung kompromittiert werden. Bei der MalwareMalware Zeus beispielsweise werden Benutzername und Passwort - sogar fortgeschrittene zeitbasierte Token-Codes - erbeutet und die Information per Sofortnachricht direkt an den Hacker gesendet. Alles zu Malware auf CIO.de

Als wäre es nicht schon genug, die Standard-Anmeldungsmethode zu kompromittieren, sind unlängst neue, noch ausgereiftere Methoden zum Abfangen von Anmeldedaten entstanden. Dazu gehören Angriffe wie Man-in-the-Browser, Man-in-the-Middle und Session-Hijacking.
Diese Methoden sind dreister und noch verdeckter, sodass nicht einmal mehr die sicherheitsstärksten Token für die Zwei-Faktor-Authentifizierung effektiv sind. Viele Organisationen erkennen jedoch nicht, dass herkömmliche Token auf diese Weise kompromittiert werden können und ein erhebliches Sicherheitsrisiko bedeuten, dem man sich annehmen muss.

Zur Startseite