Blog

MFA wird oft als ultimatives Mittel gegen gestohlene Zugangsdaten (Benutzername und Passwort) angepriesen. Nicht autorisierte Zugriffe auf Systeme sollen durch MFA zuverlässig verhindert werden.

MFA bringt zwar eine erhebliche Verbesserung, da für eine erfolgreiche Anmeldung die aktive Zustimmung (Freigabe über Authenticator App auf dem Smartphone) des rechtmässigen Benutzers erforderlich ist. Gegen Man in the Middle Angriffe hilft MFA leider wenig.

Mit Phishing versuchen Cyber-Kriminelle Zugangsdaten (Benutzername und Passwort) von ihren Opfern zu erschleichen. Eine typische Methode dabei ist es, sogenannte Fake-Webseiten zu verwenden. Diese sehen aus wie das Original, sind aber unter Kontrolle der Angreifer. Gibt das Opfer dort seine Anmeldedaten ein, kann der Angreifer sie danach verwenden, um Dienste im Namen des Opfers zu nutzen.

Starke Authentifizierung (2FA, MFA) gilt als Mittel der Wahl, um dies zu verhindern. Aber bringt das wirklich den erhofften Sicherheitsgewinn? Wir erklären, warum Angreifer mit einer Man in the Middle Attacke auch eine starke Authentifizierung überwinden können.

Ransomware Angriffe nehmen stetig zu, auch vermeintlich uninteressante Ziele werden Opfer von Angriffen mit Schadsoftware. Die Auswirkungen können erheblich sein, wie das Beispiel der Uni Liechtenstein zeigt. Jede Organisation muss heute damit rechnen, Ziel einer Cyber Attacke zu werden. Nebst Investitionen in die IT-Sicherheit braucht es auch eine Notfallplanung, um auf Angriffe angemessen und zeitnah reagieren zu können.

Die meisten Arbeitsplätze basieren heute auf Microsoft Windows. Auch die Office Programme von Microsoft kommen oft zum Einsatz, ebenso wie die Microsoft 365 Cloud. Microsoft hat viele Sicherheitslösungen bereits in ihre Produkte integriert. Es stellt sich daher die Frage, ob zusätzliche Produkte von Drittherstellern einen besseren Schutz bieten oder ob die Bordmittel ausreichen.

Vor einem Jahr wurde Homeoffice als wirksames Mittel gegen die Pandemie plötzlich für sehr viele Betriebe Realität. Die wenigsten waren technisch darauf vorbereitet. Daher mussten schnell Lösungen her, die das Arbeiten von zu Hause aus ermöglichten. Aber sind die dafür eingesetzten Technologien auch sicher oder haben sich dadurch neue Angriffspunkte für Hacker aufgetan?

Präventive Massnahmen wie Firewalls und Anti-Malware Systeme können die meisten Cyber-Angriffe verhindern. Diese Systeme werden auch immer effizienter. Auf der anderen Seite machen auch die Cyber-Kriminellen Fortschritte. Angriffe können heute automatisch durchgeführt werden, die Digitalisierung hält auch da Einzug. Falls doch einmal ein Angriff erfolgreich sein sollte, ist es wichtig, diesen so schnell wie möglich zu erkennen.

Bei den meisten erfolgreichen Cyber-Angriffen spielte Social Engineering eine entscheidende Rolle. Den Angreifern war es gelungen, Mitarbeitende dazu zu bringen, ihnen beim Angriff zu helfen – natürlich ohne dass ihnen das bewusst war. Regelmässige Schulung der Mitarbeitenden zum richtigen Verhalten bei der Nutzung des Internets sind ein wichtiger Baustein einer IT-Sicherheitsstrategie.

IT-Umgebungen wachsen mit der Zeit, neue Systeme werden eingeführt – die Digitalisierung lässt grüssen. Durch die Pandemie wurde Homeoffice über Nacht zur Pflicht. Oft mussten die dafür notwendigen Fernzugänge ohne gründliche Planung eingerichtet werden. Zeit also zu prüfen, ob bezüglich IT-Sicherheit alles im grünen Bereich ist oder ob Nachholbedarf besteht.

Das Thema IT-Sicherheit ist aktueller denn je. Die Cyber-Kriminellen  werden immer raffinierter, die immer mal wieder in der Presse kommentierten Angriffe zeigen, dass sie auch erfolgreich sind. Die meisten Fälle werden nicht publik und die Mär, dass kleinere Firmen nicht attackiert werden, weil sie nicht interessant sind, ist längst widerlegt.

Am 7. März stimmt die Schweiz über das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) ab. Mit diesem Gesetz soll die Grundlage für die Einführung einer offiziellen digitalen Identität (E-ID) geschaffen werden. Eine E-ID kann man sich als digitale Variante einer Identitätskarte oder eines Reisepasses vorstellen. Bei der Frage, wer eine solche E-ID herausgeben soll, scheiden sich hingegen die Geister. Das Gesetz sieht nämlich vor, dass Private die E-ID herausgeben und der Staat nur für die Prüfung der Identität zuständig ist.