Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Keine reine Privatsache: Schutz digitaler Identitäten
Digitale Identitäten geraten immer stärker in den Fokus von Angreifern. Deshalb sollten Unternehmen ihre Sicherheitsstrategien neu überdenken.
Wenn es um den Schutz digitaler Identitäten vor einem Diebstahl geht, kommen den meisten Menschen zunächst unrechtmäßige Warenbestellungen bei Onlineshops oder Missbrauch von Kreditkartendaten in den Sinn. Die Möglichkeiten mit der gestohlenen Identität Verbrechen zu begehen sind aber viel umfassender (Siehe den Lagebericht zur IT-Sicherheit in Deutschland 2014 vom BSI Seite 20). Fast jeder Mitarbeiter eines Unternehmens hat mindestens eine digitale Identität. Und mit diesen lassen sich vortrefflich Straftaten und Datendiebstähle im großen Stil begehen.
In den USA wurden im letzten Jahr viele große Handelsketten wie Target, Home Depot, aber auch der Krankenversicherer Anthem, Opfer von Sicherheitsvorfällen. Eine Analyse dieser großen Vorfälle, in denen Millionen von Kundendaten entwendet wurden, ergab, dass ihnen immer Identitätsdiebstähle zugrunde lagen.
Die Angreifer kamen nicht von außen, sondern befanden sich schon vorher mittels gestohlener digitaler Identitäten längere Zeit in den Unternehmensnetzwerken, bevor sie endgültig zuschlugen. Der Identitätsdiebstahl geschieht meist mittels Trojanern und Malware, die auf den Geräten des Endbenutzers installiert werden. Die Malware wiederum wurde entweder über Phishing-Methoden oder auch über Drive-by-Infektionen, also die Infektion eines Computers mit Malware allein durch das Aufrufen einer Webseite, eingeschleust. Es handelt sich hierbei nicht um eine neue Bedrohung. Vielmehr wurden bekannte Angriffsmöglichkeiten weiterentwickelt und verbessert. Beim Social-Engineering beobachten und analysieren die Angreifer mittlerweile viel professioneller als bisher, sodass sie dann einzelne Opfer zielgerichteter auswählen können.
Um zu verhindern, dass die Identitäten als Angriffsfläche genutzt werden können, müssen die Sicherheitsexperten ihre bewährten Methoden auch weiterentwickeln, damit sie kein Nachsehen gegenüber Cyberkriminellen haben. Einerseits ist es wichtig, wie bisher das Identitäts- und Zugriffrechtemanagement im Auge zu behalten. Wie häufig müssen die Nutzer ihre Passwörter ändern? Ist eine gewisse Komplexität der Passwörter erforderlich? Wird die Security-Awareness der Benutzer gefördert, damit die Mitarbeiter wissen, wie Social-Engineering und Passwortklau funktionieren?
Ein neues Problem ist aber die Menge an digitalen Identitäten in Unternehmen. Durch Themen wie Cloud und BYOD sind in vielen Unternehmen eine Vielzahl zusätzlicher Identitäten dazugekommen. Nur eine Überwachung all dieser Identitäten mit neuen Werkzeugen und Automatismen kann dabei helfen, einen etwaigen Identitätsmissbrauch zu verhindern.
Wirklich effektive Authentifizierungstechnologien müssen so konzipiert sein, dass sie ein Höchstmaß an Sicherheit mit einfacher Bedienung kombinieren. Dazu gehört auch, dass die Authentifizierungssysteme skalierbar sind, um die schnell wachsende Zahl an Endanwendern, die mit den unterschiedlichsten Endgeräten die verschiedensten Transaktionen durchführen im Griff zu behalten. Zusätzlich sollte eine eingebaute Anomalie-Erkennung vorhanden sein, um vor unbefugten Zugriffen schützen. Kurzum, das System sollte sich flexibel an die Erfordernisse anpassen können.
Wie man sehen kann, ist Identitätsdiebstahl nicht reine Privatsache. Auch Unternehmen müssen damit rechnen, dass Kriminelle mittels gestohlener Identitäten monatelang ihr Unwesen im Firmennetzwerk treiben können. Das Gute an solchen Vorfällen ist aber, dass sie eine Chance bieten, es zukünftig besser zu machen.
Bild: © alphaspirit / Fotolia.com

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Neueste Kommentare