[English]Am 30. November ist "Computer Security Day", dieser Tag steht seit 1988 weltweit im Zeichen der sicheren IT. Die Initiative für den Computer Security Day geht auf die US-amerikanische Association for Computer Security Day zurück. Ziel dieses Aktionstages: dem Thema Computer- und Informationssicherheit einen festen Platz im öffentlichen Bewusstsein einzuräumen und den Einzelnen für diesen Themenkomplex zu sensibilisieren.
Anzeige
Dieser Tag tut eigentlich bitter nötig, denn inzwischen muss man vom Status "365 Computer unsecurity days" ausgehen. Das sieht Sicherheitsanbieter Check Point Software Technologies Ltd ähnlich. Denn seit der Einführung des Computer Security Day im Jahr 1988 hat das Ausmaß der Bedrohungen jedes Jahr zugenommen und in den letzten 12 Monaten gab es so viele Zwischenfälle wie nie zuvor. Neue und raffinierte Malware, mehr Geräte, mehr Rechenleistung und professionelle kriminelle Banden bedeuten, dass jeder, der einen Computer, ein Smartphone oder ein IoT-Gerät besitzt, regelmäßig über IT-Sicherheit nachdenken muss – doch viele tun das noch nicht.
Fünf Tipps für mehr Sicherheit
Doch jetzt, da viele Menschen Remote von Zuhause arbeiten, trägt jeder Angestellte ein gewisses Maß an Verantwortung, wenn es um die IT-Sicherheit daheim und im Unternehmen geht. Aus diesem Grund wurden die folgenden Tipps zusammengestellt, um eine Anleitung und Hilfestellung für den Schutz sowohl der persönlichen Geräte als auch der IT-Systeme zu geben:
- Passwörter sind wichtig: Passwörter sollten regelmäßig geprüft und verstärkt werden. Jedoch streiten Experten über die Länge und Zusammensetzung sowie die Häufigkeit der Erneuerung. Für die Nutzer ist wichtig, dass sie sorgsam mit ihren Passwörtern umgehen, sie nicht ungesichert in Excel-Tabellen speichern oder für jeden einsehbar aufgeschrieben herumliegen lassen bzw. auf die Rückseite der Tastatur kleben. „1234" oder „Passwort" sind außerdem keine sicheren Kennwörter.
- Gegen Phishing schützen: Anwender sollten vorsichtig sein bevor sie auf Links klicken, die in irgendeiner Weise, oft verbunden mit dem Absender, verdächtig aussehen. Auch sollten sie nur Inhalte aus zuverlässigen Quellen herunterladen, denn Phishing als beliebte Form des Social Engineerings ist zum hauptsächlichen Angriffsweg geworden. Wenn Nutzer darum eine E-Mail mit einer ungewöhnlichen Anfrage oder einem seltsamen Absender oder Betreff erhalten, dann sollten sie unverzüglich ins Zweifeln geraten.
- IT-Geräte sorgfältig auswählen: In Verbindung mit der Telearbeit (Remote-Arbeit) ist dieser Punkt äußerst wichtig geworden. Die Gefahr einer großangelegten Attacke steigt, wenn Angestellte ihre privaten Endgeräte, wie Computer oder Handy, für berufliche Zwecke nutzen. Eine Sicherheits-Software sollte auf allen Geräten installiert sowie die Verbindung zum Firmennetzwerk geschützt sein.
- Software frisch halten: Hacker finden oft Einfallstore in Anwendungen, Betriebssystemen und Sicherheitslösungen, da sie das Auftreten von Schwachstellen generell beobachten und ausnutzen. Eine der besten Schutzmaßnahmen ist es, stets die neue Version jeder Software zu verwenden – einfach, aber effektiv.
- Mehrstufige Authentifizierung nutzen: Eine Multi-Faktor-Authentifizierung kennen viele Nutzer bereits von ihren Online-Banking-Konten, wenn die TAN (Einmal-Passwort) zum Beispiel über das Mobiltelefon abgefragt wird. Vielfach wird diese Anmelde-Methode nun für Anwendungen und Konten bei Online-Händlern eingeführt, um die IT-Sicherheit zu erhöhen. Auf diese Weise haben diese es Cyber-Kriminellen fast unmöglich gemacht, sich trotz Kenntnis des Passwortes einen Zugang zum System zu verschaffen.
Diese Ratschläge können bereits viel bewirken, um die eigenen Geräte und das Unternehmen gegen Hacker-Angriffe und Malware zu schützen. Hinzu sollte eine umfangreiche IT-Sicherheitsarchitektur kommen, die verschiedene Sicherheitslösungen gegen unterschiedliche Angriffsarten konsolidiert und zentral steuert. Damit werden alle Bereiche der IT-Sicherheit abgedeckt und es können sogar die gefürchteten Zero-Day-Angriffe abgefangen werden. Die Schulung aller Mitarbeiter, hinauf zur Führungsebene, und die Ausbildung von Fachkräften über spezielle Schulungsprogramme und Lernplattformen rundet die Strategie letztendlich ab.
Anzeige
MFA oder 2FA kann auch zu erheblichen Security Problemen führen. So ist die Verwendung eines Smartphones als 2. Faktor schon per se nicht sicher. Aber auch eine Rufnummer zu hinterlegen ist gefährlich, weil diese durch Angriffe erbeutet und missbraucht werden kann. Ein gutes Passwort und eine Geheimhaltung desselben hat oft ein höheres Sicherheitsniveau als ein unsicheres Passwort und ein 2. Faktor, der dann oft noch auf dem gleichen, möglicherweise kompromitierten Gerät, übertragen wird. OTP und HSM zur Speicherung des private Key ist eine sichere, aber manchmal unkomfortable Lösung. besonders schlimm, dass jeder eine andere Art MFA/2FA macht und man eben nicht standardisierte, sichere HSMs für alle Authentifizierungen verwenden kann.
Die Argumentation mit dem Security-Problems des 2. Faktors verstehe ich nicht. Soll doch am Ende dazu dienen, wenn jemand das Passwort herausfindet, er einen weiteren Faktor "besitzen" muss, der die Freigabe dann tut.
Ich gebe dir recht, wenn du Online-Banking über das Smartphone machst und der zweite Faktor dann auf dem Smartphone ist, ist das suboptimal. Aber ja auch nur dann, wenn dir jemand das Smartphone entwendet. Und dann muss er das Passwort für die zweite App ja auch erstmal kennen.
Aber bei allen anderen Anwendungsszenarien ist der zweite Faktor doch ein großer Gewinn.
100% Sicherheit gibt es nicht, da findet man immer irgendwelche möglichen Angriffsmöglichkeiten.
Es geht um mehr Sicherheit bei der großen Masse. Um Leute, die 123456 als PW für alle Dienste nutzen würden (wenn es möglich wäre bzw. ähnlich simple Sachen) und da ist selbst eine 'leichte' 2FA Hürde via Smartphone (SMS, App, etc.) ein massiver Sicherheitsgewinn.
So ungünstig es ist den Code für etwa Onlinebanking auf dem gleichen Gerät zu empfangen / generieren, wo man auch das Onlinebanking durchführt, so verhindert es die banalsten Angriffe doch recht brauchbar und ist gleichzeitig auch etwas, was nicht ITler gut hinbekommen. Benutzername + PW abgreifen / beliebte PW durchprobieren reicht eben nicht mehr aus.
Kennt jeder, trotzdem schön:
h**ps://www.der-postillon.com/2014/04/sicherstes-passwort.html
;)
Ich habe meine 2FAs für monetäre Angelegenheiten kürzlich auf einen 3. Faktor "separates Smartphone" abgetrennt. Vorher alles an Apps gestrippt, was ging (das ging sogar ohne root).
Dieses Phone ist normalerweise nicht mit dem Netz verbunden. Das stört eine ganze Reihe 2FA-Apps nicht: andOTP liegt z.B. für den 2. Login-Faktor von Paypal dort (Überweisungs-TAN gibts wohl nicht). Die PhotoTAN-App meine Hausbank kann auch problemlos offline arbeiten.
Zwei PushTAN-Apps können es natürlich nur online, dafür also muss das WLAN kurz aktiviert werden. Letztere gehören zu den Banken, deren Kontos wohl demnächst gekündigt werden können.
Bei einigen Banken sind statt (langem) Login-Passwort übrigens auch nur kurze 8-stellige numerische PINs möglich. Grusel!
Netter Artikel – wenn jeder dieses Passwort nutzt, ist es keinesfalls mehr das sicherste (war es eigentlich schon mit der Artikel-Veröffentlichung nicht mehr). ;-)
Ein 3. Faktor für Finanzangelegenheiten ist sicher sinnvoll und mit einem separaten Smartphone gut gelöst.
Für meine Zwecke würde ich aber – wenn es denn für alle genutzten Dienste ginge – eine physische mini-/micro-Smartcard mit einem USB-Leser vorziehen. Den USB-Leser inkl. Karte könnte unterwegs dabeizuhaben benötigt wenig Platz. Und die Karte ist per se auch offline.
Inwiefern diese Lösung ein Risiko darstellen würde, wenn das verwendete Gerät (USB-Host) bereits kompromittiert ist, entzieht sich allerdings meiner Kenntnis.