In Teil 1 ging es darum, wie Angriffe auf die Zwei-Faktor-Authentifizierung ablaufen. 
Hier in Teil 2 wird beschrieben, auf was diese Angriffe genau abzielen und wie Sie sich und Ihr Unternehmen schützen können.

Bekannte Marken unter Hacker-Beschuss

Die Einsatzmöglichkeiten der 2FA/MFA-Angriffsmethoden sind groß. So fand eine Studie von Barracuda, einem Anbieter für IT- und Datensicherheit, heraus, dass sich die Cyberkriminellen auf bekannte Marken fokussieren – allen voran Microsoft und Apple. Besonders häufig werden auch Finanzinstitute nachgeahmt. In jüngster Vergangenheit sind zudem verstärkt Angriffe zu beobachten, bei denen Hacker gezielt in unternehmensinterne Kommunikationsplattformen wie Microsoft Teams und Slack eindringen. Dies ist besonders perfide, da der Austausch in diesen Community-Foren auf Vertrauen basiert. So können Mitarbeiter:innen leicht mit betrügerischen Mails hereingelegt werden, die vorgeblich von ihren Vorgesetzten, Kolleg:innen oder Geschäftspartner:innen stammen.  

Nicht zögern, rasch handeln!

Die zugespitzte Gefahrenlage erfordert von den Unternehmen ein schnelles Handeln! Sie sind gut beraten, auf die neuesten Techniken für die 2FA umzuschwenken und ihre Mitarbeiter systematisch im Erkennen von Phishing-Angriffen zu schulen.

Mit FIDO2 vor Zugriffen sicher

Mit FIDO2 (Fast Identity Online) steht ein innovatives Verfahren für eine sichere Online-Identifizierung zur Verfügung. Da die Anmeldung beim Webservice verschlüsselt erfolgt, gelingt es Cyberkriminellen nicht, den Account zu übernehmen. Jedes Mal, wenn sich ein Nutzer registriert, wird auf einem verwendeten Gerät ein neues Schlüsselpaar erzeugt, das aus einem privaten und öffentlichen Schlüssel besteht. Während der Public Key beim Webservice registriert wird, authentifiziert sich der Nutzer per Nachweis des Private Keys, der durch eine bestimmte Aktion – zum Beispiel PIN- oder Spracheingabe – entsperrt werden muss. Der Private Key bleibt dabei immer auf dem Gerät des Nutzers und muss nie händisch eingegeben oder von irgendeiner Webseite abgeholt werden. Durch Nutzung des WebAuthn-Standards kann die FIDO-Authentifizierung über eine Standard-Web-Programmierschnittstelle im Online-Service freigeschaltet werden.

Die FIDO-Allianz wurde 2013 von Paypal, Lenovo, Infineon, Nok Nok Labs, Validity Sensors und Agnitio ins Leben gerufen, um die passwortlose Online-Identifizierung voranzutreiben. Während der Allianz später weitere prominente Konzerne wie Microsoft, Google und Samsung beitraten, gehören ihr heute hunderte Technologieunternehmen rund um den Globus an.  

Komplettlösung IT-Seal Awareness Academy

Neben diesen technischen Sicherheitsmaßnahmen sollte ein weiterer Fokus auf der Etablierung einer nachhaltigen Sicherheitskultur im Unternehmen liegen. Security Awareness Trainings für die Mitarbeiter sind ein zentrales Instrument dafür. Mit der Awareness Academy bietet IT-Seal den Unternehmen eine Komplettlösung an, die klassische E-Learnings sowie Online- und Präsenz-Seminare mit innovativen Spear-Phishing-Simulationen kombiniert.

Spear-Phishing-Simulationen sind besonders effektiv, weil sie authentische Phishing-Attacken im Arbeitsalltag nachstellen. Fallen Mitarbeiter:innen auf eine betrügerische E-Mail herein, werden sie sofort auf eine interaktive Erklärseite weitergeleitet. Hier erfahren sie, woran die Mail unschwer als gefälschte hätte erkannt werden können: zum Beispiel an Buchstabendrehern in der Adresszeile, abweichenden URLs oder Subdomains. Spear-Phishing-Simulationen nutzen die „Most Teachable Moment“ von Mitarbeiter:innen, um sie zum vorsichtigen Umgang mit E-Mails und geforderten Log-ins zu erziehen.

Einzigartiges Messverfahren patentiert

Mit dem kürzlich patentierten Employee Security Index – kurz ESI® – hat IT-Seal ein einzigartiges Verfahren entwickelt, um die Security Awareness Trainings am individuellen Lernbedarf von Mitarbeiter:innen auszurichten und die Lernfortschritte zu dokumentieren. Unternehmen erhalten eine greifbare und verlässliche Kennzahl, um ihre einzelnen Mitarbeitergruppen standardisiert miteinander zu vergleichen und den gezielten Einsatz weiterer Schulungsmaßnahmen abzuleiten. So lässt sich jedes gewünschte Sicherheitsniveau ohne zeit- und kostenintensive Streuverluste erreichen.   

Sie möchten mehr darüber erfahren, wie Sie sich und Ihr Unternehmen vor Angriffen von Cyber-Kriminellen schützen können und das Sicherheitsniveau Ihres Unternehmens steigern? In unseren Webinaren zeigen wir Ihnen, wie sie Ihren Weg zu einer nachhaltigen Sicherheitskultur gestalten können um den besten Schutz auch langfristig zu haben.