Ein Schubs für mehr Sicherheit: Passwörter via Push Notifications besser schützen

Passwörter stellen für viele Unternehmen immer noch das Mittel der Wahl dar, wenn es um die Absicherung von Account- und Zugangsdaten geht. Einer Pulse-Umfrage zur Passwortsicherheit zufolge greifen 38 Prozent der befragten IT-Entscheider täglich auf vier bis sechs passwortgeschützte Konten zu. Probleme bleiben in dem Zusammenhang nicht aus: Knapp die Hälfte (49 Prozent) der Befragungsteilnehmer gab an, dass ihre IT-Teams täglich durchschnittlich neun passwortbezogene Anfragen lösen müssen – wobei hier durch die zunehmende Fernarbeit aufgrund der Pandemie ein klarer Anstieg festgestellt werden konnte.

Dennoch bieten nur 38 Prozent ihren Mitarbeitern jährliche Schulungen zum Thema Passwortschutz an. 91 Prozent der Umfrageteilnehmer betonen zudem, dass Endnutzer dem Einziehen zusätzlicher Sicherheitsebenen eher kritisch gegenüberstehen. Es ist nicht so, als ob sie nicht wüssten, dass Tools wie Passwort-Manager (immerhin 32 Prozent geben an, sie zu benutzen) ihnen helfen können. Aber sie beklagen, dass deren Benutzung eher Frustration als Erleichterung auslöst. Der Grund: Man muss sich manuell authentifizieren, um Zugang zu erhalten.

Fatal: Ein Passwort für alle(s)

Es ist besorgniserregend, dass Unternehmen einerseits zwar wissen, wie wichtig der Schutz ihrer Passwörter ist. Andererseits verwenden sie aus verschiedenen Gründen darauf nicht die notwendige Sorgfalt – obwohl sie es müssten. Denn selbst die komplexesten Passwörter können von Cyberangreifern mit trojanischen Keyloggern oder Tools wie Mimikatz erbeutet werden. Ein hohes Risiko ergibt sich nicht zuletzt daraus, dass Benutzer bekanntermaßen nicht mehr als zwei bis fünf verschiedene Passwörter in Summe verwenden. Diese werden nicht selten sogar mit anderen Familienmitgliedern geteilt, wenn sie etwa Streaming-Abonnements oder andere Plattformen gemeinsam nutzen. Dadurch erhöht sich die Gefahr, dass die Passwörter durch Social-Engineering-Techniken wie Phishing erbeutet werden.

Wie die Erfahrung zeigt, landen viele der im Zuge von Datenlecks abgegriffenen Zugangsdaten im Dark Web und können so lange in böswilliger Absicht ausgenutzt werden, bis das Unternehmen die Sicherheitsverletzung bemerkt. Diese Situation schreit förmlich nach der Implementierung einer Multifaktor-Authentifizierungslösung (MFA). Bei der Auswahl sollte jedoch genau hingeschaut werden. Mittlerweile gibt es durchaus auch schon weitgehend passwortlose Varianten. Diese sind jedoch nicht sehr flexibel und oft spezifisch auf bestimmte Funktionen (z. B. die Anmeldung am Computer) zugeschnitten. Daher werden sie von den meisten Websites und Diensten noch nicht unterstützt. Falls doch, benötigen sie fast immer trotzdem ein zusätzliches Kennwort, wie im Fall der Banking-Apps. Dort ist zwar die biometrische Gesichtserkennung über ein Mobiltelefon möglich, aber im zweiten Schritt wird oft weiterhin ein unterstützendendes Passwort abgefragt.

Auf der sicheren Seite sind Unternehmen in der Regel, wenn sie MFA-Lösungen mit Push-Benachrichtigungen implementieren. Falls ein Hacker über gültige Anmeldedaten verfügt und versucht, sich bei dem Konto anzumelden, erhält der rechtmäßige Benutzer eine Push-Benachrichtigung, die er bestätigen muss. Für gewöhnlich enthält diese zusätzliche Informationen wie beispielsweise den Hinweis zum geografischen Standort des „Einwählenden“. Ignoriert der Benutzer die Meldung oder lehnt er sie ab, wird der Zugang für den Cyberangreifer blockiert. Nicht unbedeutend ist dabei die Erwähnung eines weiteren wichtigen Vorteils: Denn wenn ein Nutzer eine solche Notification erhält, obwohl er sie nicht selbst ausgelöst hat, ist dies oftmals ein klarer Hinweis darauf, dass jemand am Werk ist, der das Passwort unrechtmäßig erlangt oder im Dark Web aufgespürt hat. In dem Fall sollten die Zugangsdaten sofort geändert werden. Insofern gilt es für Unternehmen, die Anwender im Zuge einer MFA-Implementierung gezielt zu schulen. Diese müssen verstehen, dass es wichtig ist, sich die Push-Nachricht immer anzusehen, bevor sie diese genehmigen oder ablehnen. Dadurch lassen sich nicht zuletzt „Lucky Hits“, bei denen ein Angreifer von einem Versehen des Anwenders profitiert, vermeiden.

Ein weiterer wichtiger Hinweis zum Schluss: Im Hinblick auf die Verwendung von „klassischen“ OTP (One-Time-Passwords, Einmal-Passwörter) sollte nicht vergessen werden, dass durchaus auch die Gefahr besteht, dass es Hackern gelingt, ein Mobiltelefon zu klonen. Dies kann beispielsweise über einen Remote Access Trojaner (RAT) erfolgen. Dadurch ist dann natürlich auch der Token zur Authentifizierung nicht mehr sicher. Für Fälle wie diese gibt es eine zusätzliche MFA-Schutzfunktion. Diese verifiziert nicht nur die Telefonnummer, sondern prüft darüber hinaus anhand des eindeutig hinterlegten und zugeordneten Gerätecodes, ob alles mit rechten Dingen zugeht. Hierbei kommt ein  Verschlüsselungs-/Hash-Algorithmus zum Tragen, der speziell mit der Hardware des vorregistrierten Geräts verknüpft ist und eine „mobile DNA“ generiert.

Unternehmen, die diese Details beachten und eine entsprechend schlagkräftige MFA-Lösung einsetzen, können eines der Hauptrisiken im Betriebsalltag – den Missbrauch von Einwahldaten – in jedem Fall eindämmen.

Autor: Paul Moll, WatchGuard

Quelle: WatchGuard Blog