Am 22. August hat das  United States Computer Emergency Readiness team (US-CERT) in seiner Warnmeldung darauf hingewiesen, dass über 1.000 Unternehmen möglicherweise mit einem Schadprogramm angegriffen wurde, das es auf ihre Point-of-Sale (PoS)-Systeme zur Abwicklung von Zahlungsvorgängen durch Kunden abgesehen hatte.

Dieses Schadprogramm, das inoffiziell unter „Backoff“ bekannt ist, wurde in mehreren Variationen angewendet und ermöglichte Kriminellen, an die Zahlungsinformationen von Kunden zu kommen. Die diversen Varianten der Backoff Malware /Schadprogrammen werden schon seit Oktober 2013 beobachtet und sind bis heute aktiv. Das bedeutet, dass Kunden- und Kreditkarten sowie andere persönliche Daten in ständiger Gefahr sind, ausspioniert zu werden.

Laut dem US-Secret Service, gab es in den USA zahllose Einbrüche in Netzwerke. Sieben Verkäufer von PoS-Systemen haben bestätigt, dass mehrere Kunden davon betroffen waren. Die Sicherheitsverletzungen betrafen private Unternehmen jeder Größenordnung, und das besagte Schadprogramm konnte in mindestens drei unabhängigen kriminaltechnischen Untersuchungen nachgewiesen werden.

In diesem Fall haben die Untersuchungen ergeben, dass die Angreifer öffentlich verfügbare Hilfsprogramme benutzt hatten, um Unternehmen herauszufiltern, die Remote-Desktop-Anwendungen für den Fernzugriff auf ihre Computer verwenden. Sobald diese Unternehmen und die entsprechenden Anwendungen ausgemacht sind, können Brute-Force-Angriffe eingesetzt werden, um über die Anmeldung für den Fernzugang Zugriff auf die Konten des Administrators zu erhalten. Sobald ein Angreifer über diesen mit Sonderrechten versehenen Zugang verfügt, kann er mithilfe des Schadprogramms die Zahlungsinformationen entwenden.

Derjenige, der es auf Zahlungsinformationen von Verbrauchern abgesehen hat, verwendet mehrere Schritte, um an sein Ziel zu gelangen:

• Den Zugriff auf den Datenspeicher für sogenante Spurdaten auf dem Magnetstreifen von Kunden-, Geld- oder Kreditkarten
• Keyloggers auf den infizierten Systemen, um an zusätzliche Daten und vertrauliche Informationen zu gelangen
• Herrschaft und Kontrolle über die infizierten Systeme, so dass die Verbrecher Daten verschlüsselt hochladen können, um unerkannt zu bleiben und die Malware immer auf den neuesten Stand bringen können. Auch können immer noch zusätzliche Schadprogramme installiert werden
• Das Einspeisen äußerst trickreicher Codes, die sicherstellen sollen, dass das Schadprogramm immer weiter läuft oder neu startet, wenn das Programm abstürzt oder von außen gewaltsam gestoppt wird

All dies sind Hauptmerkmale von Point-of-Sale-Schadprogrammen, die eine permanent steigende Bedrohung für Einzelhändler darstellen. Target war Ende letzten Jahres das bekannteste Opfer von PoS-Schadprogrammen, bei denen ungefähr 40 Millionen Konten von Zahlungskarten innerhalb eines Zeitraums von nur drei Wochen gehackt wurden.

Für den Vorfall bei Target wurde ein per E-Mail verbreitetes Schadprogramm verwendet, um die Zugangsdaten zu stehlen, die Target an einen Verkäufer von Klimatechnik gegeben hatte. Durch den Diebstahl und die Verwendung für den Zugriff auf das Target-Netzwerk waren die Angreifer in der Lage, eine ähnliche Point-of-Sale-Malware zu verwenden, um auf den Computerspeicher zuzugreifen und die Zahlungskartendaten von Verbrauchern aus tausenden von Check-out-Verzeichnissen zu stehlen.

Die Beseitigung von passwortbasierten Anmeldungen im Internet als die Hauptursache für solche Desaster

Der Vorfall bei Target und die Untersuchung von „Backoff“ weisen auf eine bekannte Anfälligkeit in der Sicherheit von Netzwerken hin, die die Angreifer ausnutzen. Diese Angriffe sind möglich, weil Unternehmen, ihre Angestellten sowie ihre Verkäufer Passwörter und andere sensible Zugangsdaten für die Anmeldung über Fernzugang oder auf Webseiten und Netzwerken verwenden.

Das eröffnet Angreifern zahlreiche Möglichkeiten, auf Nutzerkonten durch Brute-Force-, Hacker- oder Phishing-Angriffe oder mithilfe von Schadprogrammen zuzugreifen. Brute-Force und Software-Automatisierung können genutzt werden, um die richtige Kombination aus Benutzernamen und Passwort zu erraten. Durch Phishing-Attacken wird der Nutzer mit Tricks dazu gebracht, seine Zugangsdaten preiszugeben. Mit Schadprogammen, SQL-Injections oder anderen Mitteln können Zugangsdaten während der Eingabe oder der Übertragung in die falschen Hände geraten.

Sobald ein Angreifer Zugriff auf nur ein Nutzerkonto hat – besonders, wenn es Admin-Rechte besitzt – kann er womöglich auf ein ganzes Unternehmensnetzwerk zugreifen und dort Malware im großen Stil einsetzen, und zwar über das gesamte PoS-System der Firma.

Ein Alptraumszenario für jedes Unternehmen! Dennoch ist die Verhinderung einer solchen Katastrophe erstaunlich einfach, wenn die Absicherung der Anmeldung immer auf dem neuesten Stand gehalten wird und eine passwortbasierte Anmeldung durch eine Authentifizierungsmethode ersetzt wird, die sich auf eine Public Key Infrastruktur verlässt anstatt die Eingabe, Übertragung und Speicherung sensibler Zugangsdaten zu erfordern.

Indem Sie dieselben Grundprinzipien der Kryptographie verwenden, die auch Target zukünftig mithilfe von Smartcards und Chip-und-PIN-Technologie nutzt, können Sie eine solche Public Key Infrastruktur benutzen. Diese bietet Ihnen eine Zwei-Faktor-Authentifizierungsmethode, die es Angreifern quasi unmöglich macht, Zugangsdaten von Nutzern zu stehlen und für den Zugriff auf Ihr Netzwerk zu verwenden oder PoS-Schadprogramme einzuschleusen.

Die Anwendung einer PKI-basierten Authentifizierung mit der SecSign ID

SecSign Technologies ist ein Tochterunternehmen von SecCommerce Informationssysteme GmbH, einem Unternehmen, das den Weg für Chip-und-PIN-Smartcard-Lösungen in Deutschland bereitet hat. SecSign Technologies hat mit der SecSign ID eine Lösung entwickelt, die eine schnelle aber dennoch absolut sichere Authentifizierung ermöglicht, die ohne den Gebrauch von Passwörtern und anderen sensiblen Zugangsdaten, die Kriminelle anlocken könnten, auskommt.

Die SecSign ID bietet Nutzern den sicheren Zugang zu Ihrem Netzwerk mithilfe einer einfachen web- oder App-basierten Anmeldung und mobiler Authentifizierung. Die Authentifizierungsmethode basiert auf dem Prinzip Wissen und Besitz, das die Grundlage für Smartcard-Sicherheit darstellt.

Durch die Verwendung von kodierten Schlüsselpaaren, von denen eines sicher auf dem Authentifizierungsserver und das andere auf dem Mobilgerät des Nutzers gespeichert ist, setzt die SecSign ID voraus, dass der Nutzer tatsächlichen, physischen Zugriff auf das eigene Mobilgerät hat und die eigene Identität und den rechtmäßigen Besitz des privaten Schlüssels durch Wissen oder biometrischen Nachweis (z.B. den Fingerabdruck) bestätigt.

Nach der Eingabe eines einfachen und nicht vertraulichen Benutzernamens bei der Anmeldung über Internet oder App erhält der Nutzer augenblicklich eine Benachrichtigung von der kostenlosen mobilen SecSign ID  App auf dem Mobilgerät. Über diese Benachrichtigung kann der Nutzer die App öffnen und gibt nach dem Antippen seines Benutzernamens eine PIN oder einen Passcode als Identitätsnachweis in die App ein bzw. nutzt den Scan des Fingerabdrucks über Apples Touch ID.

Zu keinem Zeitpunkt erfordert dieser Vorgang eine Passworteingabe. Sensible Zugangsdaten werden niemals während des Anmeldevorgangs eingegeben oder auf einem Server gespeichert. Somit sind einfach keine Zugangsdaten vorhanden, die potentielle Angreifer stehlen könnten. Die SecSign ID macht es unmöglich, mithilfe von Brute-Force, Phishing, Malware oder Hackerangriffen Zugriff auf Nutzerkonten zu erlangen. Selbst wenn das Mobilgerät des Nutzers verloren gegangen ist oder gestohlen wurde, so bleibt der kodierte private Schlüssel auf dem Gerät durch einen patentierten SafeKey-Mechanismus vor Brute-Force-Angriffen geschützt.

Die Implementierung dieser Lösung stellt ebenfalls sicher, dass Ihr Unternehmen Vorschriften in Abschnitt 8.3 des aktuellen Payment Card Industry (PCI) data security standard (US-Richtlinien für die Datensicherheit in der Kreditkartenbranche)  folgt, die Einzelhändler auffordern, für alle Remote-Netzwerkzugänge durch Angestellte und Dritte eine Zwei-Faktor-Auhentifizierung zu verwenden.

Regel 8.3.a aus den US-Richtlinien für Datensicherheit in der Kreditkartenbranche:

Überprüfen Sie die Konfigurationn Ihrer Systeme und Server für externen Fernzugriff, um zu gewährleisten, dass eine Zwei-Faktor-Authentifizierung benötigt ist für:

• Den gesamten Fernzugriff durch Angestellte
• Den gesamten Fernzugriff durch Dritte/Lieferanten (inkl. Zugang zu Anwendungen und Systemkomponenten für technischen Support oder Wartung)

Noch wichtiger jedoch ist, dass die Anwendung der PKI-basierten Zwei-Faktor-Authentifizierung Ihrem Unternehmen helfen kann, einen Sicherheitsstandard zu erreichen, der über Standardanforderungen hinausgeht und Risiken meidet, die der PCI Standard z.B. nicht aufführt.

PCI beispielsweise fordert nur für den Fall eines Fernzugangs auf das Netzwerk eine Zwei-Faktor-Authentifizierung zu verwenden. Mit der SecSign ID kann jedoch dieselbe hohe Sicherheit auch die Authentifizierung innerhalb des Unternehmens absichern und gewährleisten,  dass der gesamte Nutzerzugang durch starke Kryptographie und Identitätsüberprüfung geschützt ist. Das macht es Angreifern so gut wie unmöglich, auf Ihre Nutzerkonten zuzugreifen.

Ebenfalls hilft es dabei, ein weiteres Risiko zu verringern, das das PCI nicht anspricht, nämlich die Verwendung desselben Netzwerks zur Abwicklung von Zahlungsvorgängen und Prozessen, die damit überhaupt nicht zusammen hängen. Laut Zitat von Avivah Litan in eine Analyse von Krebs on Security, “fordert der gegenwärtige PCI Standard von Unternehmen nicht, getrennte Netzwerke zu betreiben für Aktionen, die Zahlungen betreffen, und Aktionen, die damit nicht zu tun haben“. 

Ohne diese Trennung ist es für Angreifer viel einfacher, die Zahlungsinformationen von Verbrauchern zu stehlen, weil alle Vorgänge über ein einziges Netzwerk laufen, das als alleiniges Angriffsziel ins Visier genommen werden muss. Mit der SecSign ID wird die Schwachstelle, die unberechtigten Zugriff auf das Netzwerk möglich macht, jedoch beseitigt. Angreifer können keine Passwörter oder andere Zugangsdaten missbrauchen, um Zugriff auf Nutzerkonten zu erlangen. Somit können sie diese Konten auch nicht verwenden, um in Netzwerke von Unternehmen einzudringen, ganz egal ob dies ein separates Netzwerk darstellt oder nicht und unabhängig davon, ob es um Zahlungsvorgänge oder ganz andere Vorgänge geht.

Das bedeutet ebenfalls, dass selbst wenn Anti-Malware oder andere Sicherheitsprogramme eine sich entwickelnde Bedrohung nicht registrieren und somit nicht die Möglichkeit haben, diese zu eliminieren, sind Ihre Netzwerke dennoch sicher und keinem Risiko ausgesetzt. 

Ohne die Möglichkeit, auf Nutzerkonten zuzugreifen und Zugang auf Ihre Netzwerke zu erhalten, können Angreifer auch keine Malware-Anwendung einsetzen. Mit der SecSign ID sind Ihre Netzwerke und die Zahlungsinformationen Ihrer Kunden absolut sicher vor diesen Bedrohungen.

Das kann von großem Nutzen auch z.B. für den Ruf Ihrer Marke sein und diese schützen und stärken. Ganz zu schweigen von möglichen Haftungsansprüchen und den desaströsen Kosten, die das Einräumen einer Sicherheitslücke nach erfolgter Tat nach sich zieht.

Weitere Informationen sowie einen Überblick über die SecSign ID bietet Ihnen dieses kurze Video und unsere Webseite https://www.secsign.com/de/unternehmen/zwei-faktor-authentifizierung/. Sollten Sie an weiteren Einzelheiten und Unterstützung bei der Integration der SecSign ID  als Zwei-Faktor-Authentifizierung zum Schutz Ihres Unternehmens interessiert sein,  kontaktieren Sie gerne unsere Sicherheitstechniker bei SecSign Technologies.