Intelligentes Phishing? – Intelligente Abwehr! Teil 2

PrintMailRate-it

​veröffentlicht am 16. Dezember 2021

von Martin Gärthöffner

 

Phishing-Angriffe sind einer der verbreitetsten Angriffsvektoren im Bereich Cyberangriffe. Eine intelligente Abwehr solcher Angriffe hilft maßgeblich großen Schaden von einem Unternehmen fern zu halten. Im vorherigen Artikel haben wir die Abwehrmechaniken aufgezeigt, mittels derer das Zustellen solch gearteter E-Mails verhindert werden kann. Leider ist dies jedoch nur eine Facette innerhalb dieses Themenkomplexes.


Kommt eine solche Phishing-E-Mail dennoch beim Endanwender an, befinden wir uns beim schwächsten Glied der Abwehrkette. Der Endanwender ist durch seine Tätigkeit in Verbindung mit dem Design der Tools wie E-Mail-Software, Office-Anwendungen in Zusammenspiel mit alltäglich auftretenden Warnmeldungen usw. leider nicht zuverlässig in der Lage, in jedem Falle eine Phishing-E-Mail als solche zu erkennen und entsprechend zu handeln. Einer der im Phishing-Umfeld wesentlichen Ziele eines Angriffs ist die Kompromittierung von Accounts. Der Endanwender wird auf eine Website geleitet, deren Design dem erwarteten entspricht, und dort zur Eingabe seiner Benutzerdaten aufgefordert. Tut er dies, sind die Zugangsdaten dem Angreifer bekannt, aber im schlimmsten Falle ist dieser erfolgreiche Angriff dem Endanwender nicht aufgefallen. Es ist daher wichtig, weitere Maßnahmen zu ergreifen, um den Nutzen von kompromittierten Zugangsdaten weiter zu reduzieren. Hierzu gibt es die folgenden Maßnahmen:

 

Conditional Access – Bedingter Zugriff

Im normalen Arbeitsalltag verhalten wir uns in der Regel gemäß einem natürlichen Rahmen. Wir arbeiten von einer Reihe von gewöhnlichen Orten, zu gewohnten Zeiten, nutzen bekannte Endgeräte und greifen auf für uns übliche Ressourcen und Applikationen zu. Diese Informationen sind bekannt, und können dazu verwendet werden, Abweichungen und ungewöhnliche Vorgänge zu identifizieren. Findet ein ungewöhnlicher Vorgang statt, ist es sinnvoll, die Identität des Zugreifenden zu hinterfragen.

 

Multifaktor-Authentifizierung

Die Authentifizierung gegenüber einem System, sei es zum Öffnen einer Cloud-Applikation, der Anmeldung an einem Endgerät ist üblicherweise über die nur dem Endanwender bekannten Zugangsdaten abgebildet. Die sogenannte Multifaktor-Authentifizierung fügt diesen Zugangsdaten weitere Komponenten wie z. B. den Zugriff auf ein hinterlegtes zweites Endgerät wie ein Mobiltelefon hinzu. Aus dem Bankenbereich schon lange bekannt, ist dieses Prinzip auch für die Absicherung von Zugriffsrechten im Unternehmen anwendbar. Sollte also ein Login stattfinden, hängt die Möglichkeit des Eintretens in das System, die Nutzung einer Ressource, nicht nur von den (kompromittierten!) Zugangsdaten ab, sondern es ist ein weiterer Faktor erforderlich.
 

Sicherheit durch die Symbiose beider Techniken

Die Verbindung dieser beiden Systematiken erlaubt es wiederum, die Sicherheitslage eines stattfindenden Zugriffs einzuschätzen und die erforderlichen Tätigkeiten für das Gewähren oder Verweigern des Zugriffs zu ermitteln. Bekannter Ort, bekanntes Endgerät, bestehende Usersession? Hier ist ein Zugriff sehr sicher vom schon authentifizierten Endanwender angefordert worden, und keine weitere Maßnahme durch das System ist erforderlich. Sollte der Anwender jedoch aus einem anderen, entfernten Land zugreifen, dann wird das System die zusätzliche Authentifizierung durch z.B. das Mobilgerät des Endanwenders anfordern. Wird dieser sich nicht entsprechend zu erkennen geben, wird der Zugriff verweigert, als auch der Vorfall an ein Sicherheitsteam zur weiteren Überprüfung gegeben. Es handelt sich höchst wahrscheinlich um einen Cyber-Incident und eine weitere Recherche kann eine vergangene Kompromittierung offenlegen und so Schäden verhindern.

Die richtige Einrichtung solcher Systeme kann gerade im Umfeld einer hybriden onPremise- und Cloud-Welt im Unternehmen ein komplexes Thema mit vielen Fallstricken sein. Rödl & Partner kann Sie bei der Vorbereitung und Umsetzung in Ihrem Unternehmen unterstützen.


Sprechen Sie uns an!

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Aus dem Newsletter

​Digital GRC Kompass Nr. 10/2021

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu