Identitätsbezogene Angriffe & Identitätsschutz

Identitätsschutz wirkt auf den ersten Blick wie ein bereits umfassend behandeltes Thema. Dennoch zeigen aktuelle Statistiken und Sicherheitsmeldungen immer wieder, dass identitätsbezogene Angriffe weiterhin zu den größten Risiken für Unternehmen zähle.

Alleine in Europa beginnen knapp 60% aller identifizierten Sicherheitsvorfälle mit kompromittierten Cloud-Konten. Bei Erfolg versuchen sich Angreifer durch Methoden wie das Lateral Movement die Logindaten von privilegierten Konten mit hohen Berechtigungen zu verschaffen, um an die Kronjuwelen der Infrastruktur zu gelangen.

Der Schutz gegen Identitätsdiebstahl im Rahmen eines Identity & Access Management ist dabei so einfach umsetzbar. Dennoch nutzen nur ca. 65% aller deutschen Unternehmen eine Multi-Faktor-Authentifizierung (MFA) und nur ca. 20% erreichen einen optimierten Reifegrad für das digitale Identitätsmanagement. Knapp 70% der Großunternehmen schätzen jedoch ihren Reifegrad als fortgeschritten oder höher ein. Liegt hier eine Fehleinschätzung vor, wenn 60% aller Angriffe auf kompromittierten Konten beruhen?

Identitäten bilden im Cloud-Zeitalter den neuen Security Perimeter, wenn auch zugegebenermaßen diese Grenze nicht mehr neu ist. Viele Unternehmen denken noch zu sehr in den Grenzen von entmilitarisierten Zonen (DMZ), welche von Firewall-Systemen umgeben werden. Spätestens ab Corona dürfte jedoch die Anzahl der Mitarbeitenden, die aus dem Home Office arbeiten, stark zugenommen haben. Diese Mitarbeitenden nutzen oft direkte Zugänge zu Cloud-basierten Services, ohne den Umweg über die eigene On-Premises Sicherheitsinfrastruktur via VPN-Verbindung zu nehmen. Umso wichtiger ist, digitalen Identitäten eine erhöhte Aufmerksamkeit bei der Authentifizierung und Autorisierung zu schenken.

Die Trends gehen weit über die Grenzen einer MFA und der Verwendung von Passwörtern als einzige Line of Defense hinaus. Passwortlose Anmeldungen sind richtungsweisend, erleichtern Mitarbeitenden die Anmeldung wesentlich und entlasten den User Helpdesk von Anfragen zum Zurücksetzen von Passwörtern.

Phishing-Schutz: Passkeys nutzen Public-Key-Kryptografie. Dabei bleibt der private Schlüssel auf dem Gerät des Benutzers und wird niemals weitergegeben, im Gegensatz zum öffentlichen Schlüssel, der mit dem Dienst geteilt wird. Der private Schlüssel ist gut gegen Phishing-Angriffe geschützt.

Keine Passwortwiederverwendung: Da die Passwörter für jeden Dienst einzigartig sind, besteht kein Risiko der Passwortwiederverwendung auf verschiedenen Websites. Dies ist ein häufiges Problem bei herkömmlichen Passwörtern, das zu mehreren Kontoübernahmen mit denselben gestohlenen Zugangsdaten führen kann.

Keine zentrale Passwortspeicherung: Dienstanbieter speichern keine Passwörter, sondern nur öffentliche Schlüssel, die ohne die zugehörigen privaten Schlüssel nutzlos sind. Das bedeutet, dass Angreifer selbst bei einem Datenleck eines Dienstanbieters keine Benutzerdaten erlangen können.

Lokale Authentifizierung: Die Authentifizierung erfolgt lokal auf dem Gerät des Benutzers, wodurch das Risiko des Abfangens von Anmeldeinformationen während der Übertragung deutlich reduziert wird.

Multi-Faktor-Authentifizierung (MFA): Passkeys können als eine Form der Multi-Faktor-Authentifizierung dienen, indem etwas, das der Benutzer besitzt (das Gerät, auf dem der private Schlüssel gespeichert ist), mit etwas, das der Benutzer ist (Biometrie), oder etwas, das der Benutzer weiß (eine PIN), kombiniert wird.

Physische Sicherheitsschlüssel: FIDO bedient sich ebenfalls der Public-Key-Kryptografie und basiert auf physischen Sicherheitsschlüsseln (z. B. YubiKey), die auch auf biometrischen Verfahren aufsetzen. Angriffe auf FIDO sind nur sehr schwer umsetzbar, da keine Passwörter benutzt werden und die für eine verschlüsselte Authentifizierung erforderlichen privaten Schlüssel auf den Geräten der Mitarbeitenden verbleiben und durch biometrische Verfahren zusätzlich geschützt sind. Jedoch wird durch Auslagerung biometrischer Daten auf fremde Server die Angriffsfläche vergrößert.

Physische Merkmale: Biometrische Verfahren sind mittlerweile Standard und bieten den enormen Vorteil, dass Benutzer*innen physische Merkmale zur Authentifizierung einsetzen können. Der Finger, das Gesicht oder der Iris-Scan sind aber nur so sicher, wie sich der Mitarbeitende auch im Besitz und der kontrollierten Anwendung dieser physischen Merkmale befindet – kennen wir doch alle die Methode aus diversen Kriminalfilmen mit der Entsperrung von Handys von Opfern. Biometrie hat jedoch einen entscheidenden Nachteil: biometrische Daten müssen Dauerhaft gespeichert werden, was den Datenschutz auf den Plan ruft und können nicht geändert werden. Sind diese einmal ausspioniert, sind die Einfallstore sperrangelweit offen.

Authenticator Apps: OTP (One Time Passwords) werden vermehrt über Authenticator Apps auf mobilen Endgeräten verwendet und bieten eine schnell anzuwendende Variante für einen zusätzlichen Faktor der Authentifizierung.

Adaptive Authentifizierung: Hierbei handelt es sich nicht um eine eigene Methode, sondern vielmehr um eine adaptive Ergänzung um einen Anomalie-basierten Ansatz. Anhand eingesetzter unterschiedlicher Faktoren und Kontextinformationen wird das Risiko einer Anmeldung eingeschätzt. Durch Echtzeitanalysen werden z. B. der Standort, die Zeit oder das Netzwerk identifiziert, um eine Anmeldung zu erlauben und den Benutzer durch weitere Authentifizierungsmethoden zu identifizieren oder um seine Authentifizierung abzulehnen.

OAuth2.0: Als offenes Protokoll nutz OAuth2.0 Token zur Authentifizierung im Internet und ist damit idealer Kandidat bei der Verwendung von Public Cloud Services. Anmeldedaten müssen nicht jedes Mal erneut eingegeben werden, da das Token eine Lebenszeit besitzt, bevor es ungültig wird. Im vergleich zu Kerberos ist das Token jedoch nicht an den Benutzer oder den Computer sondern an den Dienst gekoppelt. Es ermöglicht einer App auf dem Benutzergerät den Zugriff auf einen Cloud-Dienst und den von diesem veröffentlichten Daten

SSO: Single-Sign-On nutzt im Gegensatz zu OAuth2.0 ein User Token, welches unter Eingabe des Benutzernamens und des Passwortes ausgestellt wird. Analog zu OAuth2.0 ist das Token auch hier mit einer Lebensdauer versehen und erfordert nicht jedes Mal eine erneute Authentifizierung. Wie lange das Token gültig ist, kann eingestellt werden. Erst nach Ablauf des Gültigkeitszeitraums erfordert es einen kompletten neuen Authentifizierungsvorgang zur Ausstellung eines neuen Token.

Denken Sie bei all Ihren Schutzmaßnahmen immer daran, dass der Faktor Mensch extrem wichtig ist. Letztendlich basieren viele erfolgreiche Angriffe auf Identitäten auf Phishing-Angriffen, die von Mitarbeitenden nicht als solche erkannt wurden. Hier ist der wirksamste Schutz immer noch die Durchführung von regelmäßigen Security Awareness Trainings für Mitarbeitende begleitet von regelmäßigen Simulationen via Phishing E-Mails.