Hacker Angriff auf Sony: Wie kann Ihr Unternehmen sich vor so etwas schützen?

03.06.2015 / 0 Comments

Vor einiger Zeit enthüllten Nachrichtenbeiträge. dass Ermittler in den USA Beweise vorliegen, wonach die Hacker, die in die Computernetzwerke bei Sony eindringen und vertrauliche Daten stehlen konnten, Zugang zum System durch den Diebstahl der Administratoren-Zugangsdaten erlangten.

In einer Reportage von CNN erklärte ein US-amerikanischer Beamter, dass die Fähigkeit von Hackern, auf Passwörter eines hochrangigen Mitarbeiters aus der IT-Abteilung bei Sony zugreifen zu können, ihnen „die Schlüssel zum gesamten Unternehmen“ aushändigten.

Während der Fall bei Sony mit seinen Verbindungen zu der geplanten Veröffentlichung eines umstrittenen Films einzigartig ist, so ist die von Hackern ausgenutzte Verwundbarkeit von Zugangsdaten und Authentifizierung doch etwas, das Unternehmen weltweit betrifft und das zahllose weitere Verletzungen in der Datensicherheit ermöglichte, darunter die noch nicht allzu lange zurückliegenden Angriffe gegen Target, Home Depot und selbst Schweizer Banken.

Wie kann also Ihr Unternehmen diese Schwachstellen und die daraus entstehenden Risiken und Bedrohungen ausmachen und damit einen katastrophalen Verlust vertraulicher Daten wie bei Sony verhindern?

Eine Schlüsselfunktion zur Vermeidung von Verletzungen der Datensicherheit kommt verschlüsselten Softwareschlüsseln zu, und hier besonders in der Authentifizierungssicherheit, die asymmetrische oder öffentliche Public Key Kryptographie verwendet.

Ausgereifte Authentifzierung unter Verwendung von Public Key Kryptographie entfernt physisch gesehen Passwörter und andere sensiblen Zugangsdaten aus dem Anmeldeprozess für Webseiten, Anwendungen, Systeme und Netzwerke. Hier wird nun die Passwort-basierte Authentifizierung durch hochmoderne Kryptographie ersetzt, mit der es Hackern nahezu unmöglich gemacht wird, Nutzerkonten zu kompromittieren und Zugangsdaten zu stehlen, um diese für den Zugriff auf Ihre Daten zu missbrauchen.

Wenn Sony also Public Key Kryptographie genutzt hätte, um seine Administratorenkonten abzusichern hätte der Angriff so wohl gar nicht erst stattfinden können. Sony hat jedoch leider – wie die meisten Unternehmen auf der ganzen Welt – auf überholte und leicht angreifbare Passwort-basierte Authentifizierung gesetzt, von der mittlerweile Experten für Datensicherheit und Branchenführer des High-Tech-Sektors eindringlich abraten.

Warum Passwörter quasi eine Garantie für einen möglichen Hacker Angriff sind

Wenn Sie Authentifizierungsmethoden nutzen, die auf Passwörtern basieren, sind Ihre Firma, die Zugangsdaten Ihrer Nutzer und vertrauliche Daten primäres Angriffsziel für Hacker. Unternehmen, die alles daran setzen, ihren Ruf zu schützen und katastrophale Verletzungen der Datensicherheit zu verhindern, müssen konventionelle Authentifizierungsmethoden überdenken und auf geeignetere Ansätze zurückgreifen.

Das Festhalten an Passwörtern und anderen sensiblen Zugangsdaten zum Zweck der Authentifizierung ist ein Nährboden für potentielle Sicherheitsrisiken. Betrüger im Internet haben bereits eine Vielzahl von Angriffsmethoden eingesetzt, die diese Schwachstellen ausnutzen. Ob nun Brute Force, Phishing, Malware oder andere Methoden genutzt werden – Hacker können die Sicherheit Passwort-basierter Authentifizierung leicht zunichte machen, ganz gleich wie komplex oder einzigartig Ihre Passwörter nun sind.

Außerdem bleiben Ihre Anmeldung sowie Ihre Daten hochgradig gefährdet, selbst wenn Sie eine zweistufige Überprüfung oder eine Zwei Faktor Authentifizierung einsetzen und Einmalcodes bzw. Einmalpasswörter für den Zugang zum Nutzerkonto verwenden.

Wie zweistufige Überprüfung und Zwei Faktor Authentifizierung scheitern können

Der Einsatz einer zweistufigen Überprüfung oder einer Zwei-Faktor-Authentifizierung ist unbestritten ein wichtiger Schritt zur Verbesserung der Sicherheit Ihrer Nutzerkonten, da er eine zusätzliche Schutzschicht darstellt und zusätzlich zum Passwort einen weiteren Authentifzierungsfaktor erfordert. Das erschwert aus technischer Sicht einem Hacker, Ihre Nutzeranmeldungen zu kompromittieren. Die meisten zweistufigen bzw. Zwei Faktor Lösungen und Technologien nutzen dabei jedoch Methoden, die sehr verwundbar und bereits überholt sind.

Man-in-the-Middle-Angriffe und das Klonen von SIM-Karten wurden bereits zur Umgehung von Zwei-Faktor-Authentifizierungen, die Einmalcodes bzw. Einmalpasswörter nutzen, für Sicherheitsverletzungen verwendet, von denen ausführlich in den Medien berichtet wurde, darunter der Vorfall im Online-Banking bei Schweizer Banken und anderen europäischen Geldinstituten.

Solche Angriffe nutzen den Gebrauch veralteter Methoden und Infrastrukturen aus. Dazu gehören auch Authentifizierungen, die es erfordern, dass Nutzer Einmalcodes bzw. Einmalpasswörter auf ihren Mobilgeräten empfangen und dann über dasselbe Login-Interface wie für Benutzernamen und Passwort eingeben.

Dieser Ansatz bietet Angreifern die Möglichkeit, diese Einmalcodes oder -passwörter abzufangen oder auch umzuleiten. Auf diese Weise haben Hacker diese Zugangsdaten auch bei ihren einträglichen Angriffen auf Online-Banking-Dienste in die Hände bekommen.

Wenn also Ihr Anmeldevorgang die Eingabe oder Übertragung sensibler Zugangsdaten über Ihr Login-Interface umfasst – inklusive Einmalcodes oder -passwörter – dann gibt es wenig, was Angreifer von der Kompromittierung Ihrer Nutzerzugangsdaten und dem Diebstahl Ihrer Geschäftsdaten abhalten könnte.

Der Ansatz, der auf Einmalcodes / Einmalpasswörter setzt, bedeutet also, dass Passwörter weiterhin verwendet werden. Diese können ebenfalls während der Übertragung oder bei einem Einbruch auf einen Authentifizierungsserver gestohlen werden. Letzteres macht den Server zu einem klaren Angriffziel. Die verlockende Möglichkeit, mit einem Servereinbruch ganze Datenbanken mit Kombinationen aus Benutzernamen und Passwörtern zu erhalten, bietet Angreifern Anreiz genug, um gezielt Unternehmen ins Visier zu nehmen, die eine solch überholte Technologie benutzen und weiterhin sensible Zugangsdaten auf den eigenen Servern speichern.

Wie können Sie sicherstellen, dass Ihre Logins nicht gehackt werden können?

Der einzige Weg zur Beseitigung dieses Anreizes sowie der Mittel und Wege für den Angreifer, Ihr Unternehmen als Ziel auszuwählen und Ihre Benutzer-Logins zu gefährden, ist die Entscheidung für eine Zwei Faktor Authenfizierung auf Basis von Public Key Kryptographie. Mit dieser Technologie werden Passwörter aus dem Anmeldevorgang entfernt. Auch ist keine Eingabe oder Übertragung von vertraulichen Zugangsdaten während des Anmeldeprozesses erforderlich. Wichtig: Diese Authentifizierungsmethode speichert zum Zwecke der Identitätsüberprüfung und Authentifizierung keine sensiblen Zugangsdaten auf einem Server, der dadurch das Interesse von Hackern wecken könnte.

Mit hochmoderner Authentifizierung unter Verwendung von Public Key Kryptographie kann Ihr Unternehmen ein einfaches Login anbieten, das lediglich die Eingabe eines nicht vertraulichen Benutzernamens erfordert. Damit liefern Sie eine schnelle und gleichzeitig hochsichere Zwei Faktor Authentifizierung, die verschlüsselte Softwareschlüssel und eine einfache mobile App nutzt. Dies stellt sicher, dass Passwörter gar nicht erst verwendet werden und dass sensible Zugangsdaten wie Einmalcodes und Einmalpasswörter nicht während des Anmeldevorgangs eingegeben, zwischen Geräten oder Servern übertragen oder auf dem Authentifizierungsserver gespeichert werden.

Ohne sensible Zugangsdaten, die gestohlen werden und u.a. dazu benutzt werden könnten, um z.B. an Unternehmensdaten zu gelangen, verliert für Angreifer das Ganze seinen Reiz. Seien Sie versichert, dass Ihre Daten dort bleiben, wo sie hingehören, nämlich auf Ihren Servern, und dass Ihr Unternehmen nicht aufgrund eines Hacker-Angriffs ähnlich dem bei Sony in die Schlagzeilen geraten wird.

Kostenlose und fachkundige Beratung zum Thema sichere Authentifizierung

Für kostenlose Beratung und weitere Informationen über Public Key Kryptographie, und wie diese hochmoderne Technologie Ihr Unternehmen schützen kann, setzen Sie sich bitte mit SecSign Technologies in Verbindung.

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!