Laut einer Studie der Allianz-Versicherung stellen Cyberangriffe weltweit die grösste Bedrohung für Unternehmen dar. Die Sorge vor Ransomware-Angriffen, Datenschutzverletzungen oder IT-Ausfällen wächst auch in der Schweiz stetig.
Wie eine aktuelle Umfrage, die der Industrieverband Swissmen gemeinsam mit der Universität Bern erstellt hat, zeigt, wurden in den vergangenen zwei Jahren rund 70 % der Schweizer Industrieunternehmen Opfer von Cyberangriffen. Die Dunkelziffer dürfte jedoch weitaus höher sein, da viele Unternehmen aus Angst vor Reputationsschäden davor zurückschrecken, solche Angriffe öffentlich zu machen. Vor allem kleine und mittelständische Unternehmen, die oftmals nicht so umfassend geschützt sind wie Grossunternehmen, werden derzeit gezielt von Hackern ins Visier genommen. Gerade deshalb sind einfach zu implementierende Sicherheitssysteme, die mit den perfiden Taktiken der Cyberkriminellen mithalten können, gefragter denn je.
Der Faktor Mensch ist die eigentliche Sicherheitslücke
Viele Organisationen setzen in diesem Zusammenhang auf die sogenannte Multi-Faktor-Authentifizierung (MFA) mithilfe von Push-Benachrichtigungen. Diese app-basierte Authentifizierungsmethode wird immer beliebter und gilt allgemein sogar als sicherer als die Bestätigung der Identität durch SMS oder Telefonanrufe.
Bei dieser Methode meldet sich der Benutzer auf seinem Smartphone mit Benutzernamen und Passwort an, bevor er im zweiten Schritt eine Push-Benachrichtigung erhält, die er zur weiteren Authentifizierung bestätigen muss. Und genau hier liegt der grösste Schwachpunkt des gesamten Systems, der Faktor Mensch. Cyberkriminelle nutzen diese Schwäche gezielt zu ihrem Vorteil aus, indem sie eine eigens hierfür entwickelte Technik anwenden, die sogenannte «MFA-Fatigue» auf Deutsch «MFA-Müdigkeit». Durch Brute-Forcing besorgen sie sich zunächst die Anmeldedaten des potenziellen Opfers. Dabei werden systematisch alle möglichen Passwörter und Passphrasen so lange eingegeben, bis das richtige erraten wurde. Sobald der Angreifer eine gültige Kombination aus Benutzernamen und Passwort besitzt, wird die Authentifizierungs-App der entsprechenden Person mit Push-Benachrichtigungen regelrecht geflutet. Ziel ist es, den Benutzer durch die Vielzahl der Benachrichtigungen abzulenken und regelrecht zu nerven, bis er es am Ende buchstäblich leid ist und die Verbindungsanfrage schliesslich blindlinks akzeptiert. Jetzt haben die Cyberangreifer freien Zugang zu allen Daten, mit denen sie ganze Unternehmen kompromittieren können.
Derartige Hackerangriffe sind bei weitem keine Seltenheit mehr. Laut IT-Experten hat sich die Zahl der «MFA-Fatigue-Attacken» in den letzten beiden Jahren mindestens verdoppelt, was sicherlich auch in unmittelbarem Zusammenhang mit der verstärkten Einführung von digitalen Arbeitsplätzen steht.
Schritte wie man «MFA-Fatigue-Attacken» und ähnlich gelagerten Angriffen vorbeugen kann
Um konkret einer «MFA-Attacke» vorzugreifen raten Experten den MFA-Dienst grundsätzlich so zu konfigurieren, dass er nur eine begrenzte Anzahl an Push-Benachrichtigungsversuchen in einem bestimmten Zeitraum zulässt. Bei Microsoft 365-Konten können solche Standardgrenzen in der Azure Resource Manager Dokumentation gefunden und dementsprechend konfiguriert werden.
Darüber hinaus wird empfohlen, die telefonische Authentifizierungsmethode des Microsoft Authenticators zu verwenden. Der Authenticator generiert in diesem Fall eine eindeutige zweistellige Nummer, die der Benutzer auf seinem Mobilgerät aus drei Optionen korrekt auswählen muss. Der Angreifer bekommt so zwar die Nummer angezeigt, müsste sie aber zusätzlich auf dem Smartphone des angegriffenen Nutzers identifizieren, auf das er im Normalfall keinen Zugriff hat.
Trotz aller Vorsichtsmassnahmen ist und bleibt der Mensch jedoch, das grösste Risiko. Unternehmen, die gegen Cyberangriffe vorsorgen wollen, sollten deshalb die «Cyber-Security-Awareness» als einen integralen Part ihrer Unternehmenskultur sehen und vorantreiben. Das beinhaltet regelmässige, auf die jeweilige Rolle der Mitarbeitenden abgestimmte Sicherheitsschulungen, damit alle Mitarbeitenden jederzeit in der Lage sind, Cyberattacken frühzeitig zu erkennen und entsprechend handeln zu können. Langfristig gesehen sollte dies zu einer Sicherheitskultur im Unternehmen führen, in der die Mitarbeitenden proaktiv und freiwillig Cyber-Secure-Praktiken sowohl in ihrem Berufs- als auch Privatleben anwenden.
Netrics berät Sie gerne zu den Thema Multi-Faktor-Authentifizierung, Cyber-Security oder Security-Awareness-Training.