Immer dann, wenn die in einem Unternehmen zu implementierenden Sicherheitsmaßnahmen diskutiert werden, tauchen häufig diese drei Optionen auf:
- Installation von Antiviren-Technologie auf Endpunkten und Servern, um möglichst viele Bedrohung zu erkennen und zu eliminieren.
- Erstellung von Backups, um Datenverlust im Falle eines Ransomware-Angriffs vorzubeugen.
- Verschlüsselung von Geräten, um vertrauliche Daten vor Angreifern zu schützen.
Allerdings sind das nicht die einzigen möglichen Optionen.
Das Problem mit Passwörtern
Es gibt eine schon heute verfügbare Option, der leider viel zu wenig Aufmerksam geschenkt wird. Hierbei handelt es sich um die Zwei-Faktor-Authentifizierung. Diese Methode wird zukünftig immer wichtiger. Es ist die ideale Lösung, um eine Reihe größerer Online-Dienste abzusichern, selbst dann, wenn die Anmeldeinformationen aus einem Unternehmen gestohlen wurden.
In Wahrheit ist es doch so: Es ist egal, wie sehr wir oder andere Institutionen versuchen, die Bedeutung von starken Passwörtern zu betonen. Im Endeffekt entscheidet sich die Mehrheit dazu, vielleicht zwei oder drei Passwörter für viele verschiedene Accounts zu gebrauchen, weil sich die meisten schlichtweg mehr nicht merken können.
„Trotz der einfachen Handhabung greifen nur sehr wenige Unternehmen die Zwei-Faktor-Authentifizierung auf.“
User verwenden ein und dasselbe Passwort für viele unterschiedliche Accounts. Deshalb ist es notwendig, neben dem Kennwort eine zusätzliche Sicherheitsbarriere zu schaffen. Hier kommt die Zwei-Faktor-Authentifizierung ins Spiel. Während einzelne Individuen dieses zusätzliche Sicherheitsfeature im privaten schon gebrauchen, sieht das im Unternehmensbereich ganz anders aus.
Aus einem ESET-Sicherheitsbericht geht hervor, dass beispielsweise in Latein-Amerika nur etwa 11% der Unternehmen die Zwei-Faktor-Authentifizierung bereits implementiert haben.
Niemand möchte seine Social Network Accounts, persönlichen E-Mails oder Spiele-Bibliotheken auf einschlägigen illegalen digitalen Verbreitungsplattformen wiederfinden. Deshalb beobachten wir einen stetigen Anstieg der Nutzung der Zwei-Faktor-Authentifizierung-Methode. Das beliebteste sekundäre Identifikationsmerkmal ist dabei das Smartphone.
In der Geschäftswelt greifen viele Angestellte über VPNs von außen auf das Unternehmensnetzwerk zu oder loggen sich in ihren E-Mail-Account ein. Für den Zugriff auf diese Ressourcen verwenden viele allerdings immer noch nur den Nutzername und ein Passwort. Bereits seit einigen Jahren hat sich diese alleinige Sicherheitsmaßnahme jedoch als ineffizient erwiesen. Das ist vor allem auf die mangelnde Passwortverwaltung der Angestellten zurückzuführen.
Wenn unbefugtes Zugreifen auf vertrauliche Geschäftsinformationen so einfach ist, wie darauf zu warten, dass ein Angestellter sich ungesichert in das Unternehmensnetzwerk einloggt oder unverschlüsselte Arbeits-E-Mails versendet, dann kann etwas nicht stimmen. Dann wurden die Sicherheitsmaßnahmen, die eine Kompromittierung verhindern sollen, nicht richtig umgesetzt.
Zwei-Faktor-Authentifizierung anwenden
Die Benutzung eines einfachen Elements zum Einloggen mag komfortabel, aber nicht sehr sicher sein. Es wurde eine Reihe von Zwei-Faktor-Authentifizierung-Anwendungen entwickelt, um Datendiebstahl und Datenlecks zu verhindern. Diese zusätzlichen Dienste sind einfach zu bedienen und sichern den Anmeldeprozess zusätzlich ab. Mit ergaunerten Anmeldeinformationen können Cyber-Kriminellen dann nicht mehr viel anfangen, da ihnen die zweite Authentifizierungsmöglichkeit fehlt.
„Viele, in den letzten Monaten bekannt gewordene Angriffe hätten verhindert werden können, wäre die Zwei-Faktor-Authentifizierung angewandt worden.“
Trotz der einfachen Handhabung greifen nur sehr wenige Unternehmen die Zwei-Faktor-Authentifizierung auf. Einer der Hauptgründe dürfte die Unkenntnis über solche zusätzlichen Sicherheitsmechanismen sein. Sensibilisierungskampagnen tragen in Unternehmen dazu bei, höhere Sicherheitsstandards anzunehmen und umzusetzen. Damit rüsten sie sich für die kommende Datenschutz-Grundverordnung (DS-GVO). Glücklicherweise wirkt sich diese Verordnung nicht nur auf europäische Unternehmen aus, sondern auch auf solche, die Nutzerdaten von EU-Bürgern verarbeiten.
Systeme mit implementierter Zwei-Faktor-Authentifizierung können unterschiedlich ausgestaltet sein. Normalerweise verschickt es eine automatische SMS mit einem einmaligen Zugangscode. Es gibt auch Apps (Google Authenticator) die einen Einmal-Code generieren. Nach Eingabe des Passworts fordert das System den einmaligen Code an. Es kann vorkommen, dass dieser Code in ein Feld einer zusätzlichen Anwendung eingegeben werden muss und nicht in den Web-Browser, wo Nutzername und Passwort eingegeben wurden.
Das Traditionelle Anmeldeverfahren wird durch die zusätzliche Authentifizierungsmethode sicherer. Viele, in den letzten Monaten bekannt gewordene Angriffe (Identity Leak Checker) hätten verhindert werden können, wäre die Zwei-Faktor-Authentifizierung angewandt worden. Selbst wenn Cyber-Kriminelle es schaffen, einen Computer zu kompromittieren und Login-Daten zu stehlen, wären sie durch die fehlende zweite Authentifizierungsmöglichkeit trotzdem nicht in der Lage, den zugehörigen Account zu kapern.
Leider ist die Zahl der Implementierung dieser Sicherheitsmaßnahme nach wie vor sehr gering.
Wie hoch sind die Kosten für die Umsetzung der Zwei-Faktor-Authentifizierung für die Unternehmen?
Hier verhält es sich ähnlich wie bei Antiviren-Sicherheitslösungen – für jedes Budget gibt es ein passendes Angebot. Anstelle aber die Kosten der Implementierung zu betrachten, sollten stattdessen die Opportunitätskosten, also die Kosten des entgangenen Schutzes untersucht werden. Im Raum steht die Frage, welche Vorteile bringt die Einführung der Zwei-Faktor-Authentifizierung für das Unternehmen bzw. mit welchen Kosten muss das Unternehmen im Falle einer Kompromittierung rechnen?
Eine Einführung lohnt sich für alle, die ihre Unternehmensinformationen und Kundendaten noch effektiver schützen möchten. Für unautorisierte Dritte gestaltet sich das Abgreifen von Login-Daten durch die Zwei-Faktor-Authentifizierung (beispielsweise in Outlook Web Access) sehr viel schwieriger.
Nicht mit allen Admin-Konten muss die Authentifizierungsmethode verknüpft werden. Allgemein lohnt die zusätzliche Sicherheitsmaßnahme immer dann, wenn man vertrauliche Informationen verarbeitet und bei Diebstahl mögliche Geldbußen zu erwarten sind. Selbst wenn so ein System nicht unfehlbar ist, bietet es trotzdem den enormen Vorteil der zusätzlichen Sicherheitsschicht, durch die viele Cyber-Kriminelle gar nicht erst versuchen werden, durchzudringen. Unter diesen Umständen wundert es auch nicht, dass eher Unternehmen Opfer von Kompromittierungen sind, die keine Zwei-Faktor-Authentifizierung implementierten.
Konsequenz
Unabhängig von der Unternehmensgröße ist die Zwei-Faktor-Authentifizierung eine zusätzliche Sicherheitsmaßnahme, die diskutiert und berücksichtigt werden sollte. Die Methode sichert Logins extra ab und kommt vor allem für Mitarbeiter in Betracht, die von außerhalb auf das Unternehmensnetzwerk zugreifen.
Eine gut umgesetzte Zwei-Faktor-Authentifizierung kann den Nachrichtenaustausch unterstützen und sicherere Mitarbeiterprofile beim Roaming gewährleisten. Außerdem kann es die Produktivität steigern und Risiken minimieren.