Multi-Faktor-Authentifizierung

Neben VPN und Containerisierung sah die Expertenrunde die Multi-Faktor-Authentifizierung (MFA) als wichtiges Mittel für ein sicheres Home Office an. Beim Zugriff auf Anwendungen und Dienste beobachten die Experten auf breiter Front einen Umstieg auf Multi-Faktor-Authentifizierung (MFA). Dabei kommt neben das Passwort ein weiterer Faktor hinzu, den der Nutzer bei sich trägt wie ein Smartphone oder eine Smartcard.

Stefan Vollmer berichtete davon, dass MFA derzeit breit eingeführt werde und auch von Online-Services und Shopping-Plattformen beworben und gefordert werde, weil das den Account sicherer mache. Er betonte, dass man damit von der Passwortproblematik wegkomme. Wenn ein Nutzer jeden Monat sein Passwort ändern müsse, dann wähle er beim ersten Mal passwort123, beim nächsten Mal passwort1234 und so weiter. „Da bietet Multi-Faktor-Authentifizierung einen Riesen-Mehrwert“, so Vollmer.  Man habe das Passwort und zusätzlich noch einen zweiten, viel viel sichereren Faktor, den man am Körper trage. Vollmer sieht bei MFA auch kein grundsätzliches Komfortproblem mehr, das Nutzer abhalten müsste. Die Lösungen werden seiner Meinung nach im besser, das zeige sich etwa ganz gut im Banking-Sektor.  

Michael Veit wiederum hob als besonderen Vorteil von MFA hervor, dass diese Methode den Angriffsvektor Passwortdiebstahl „austrocknet“. Der Angreifer könne ein gestohlenes Passwort nicht wie bisher mehrfach verwenden. MFA, forderte Veit deshalb, „soll für alle Dienste, erst recht für Administratoren Standard sein“. Für Veit steht MFA zudem für einen klaren Trend in Richtung Zero Trust Networking nach dem Motto: „Vertraue niemanden. authentifiziere alles.“

Clemens Alexander Schulz ergänzte, dass es bei MFA wichtig sei, darauf zu achten, als zweiten Faktor etwas zu verwenden, bei dem der Nutzer merke, wenn es ihm geklaut werde, also etwa ein Hardware-Token oder eine Smartcard. Gerade das sei ein wichtiger Vorteil von MFA im Vergleich zum Passwort: „Wenn einem Mitarbeiter das Passwort geklaut wird, kriegt er das ja nicht mit“.

Einig war sich die Runde in der Einschätzung über die größte Schwachstelle im Security-Konstrukt eines Unternehmens. Clemens Alexander Schulz konstatierte etwa: „Das Hauptproblem im Bereich Sicherheit ist der Faktor Mensch“. Der Mitarbeiter könne trotz aller technischen Maßnahmen immer noch sehr viel anrichten, sei es durch Klick auf eine malware-verseuchte Website, sei es durch Phishing-Mails. Gerade da sehen die Experten im Home Office erneut eine erhöhte Gefährdung.

 Die immer besser gemachten Phishing-Mails tarnen sich zum Beispiel als Einladung zu einem Personalgespräch. „Im Home Office hat man aber nicht mehr den Kollegen neben sich am Schreibtisch, den man fragen kann, ob auch rt die komische Mail von der Personalverwaltung bekommen hat“, erklärt Michael Veit. Er empfiehlt als wichtigste Maßnahme gegen Social-Engineering-Angriffe regelmäßige Awareness-Schulungen.

Nur einmal im Jahr die Mitarbeiter zusammenzurufen, reiche keinesfalls aus. Bei Sophos gibt es Veit zufolge schon seit fünf Jahren eine besondere Sensibilisierungsmaßnahme: Die Mitarbeiter erhalten alle zwei, drei Wochen gut gemachte Phishing-Mails von der eigenen IT-Abteilung, um zu sehen, ob sie darauf hereinfallen. „Wenn man weiß, dass solche Mails kommen, schaut man sich Mails ganz genau an, bevor man draufklickt“, so Veit.

Clemens Alexander Schulz wiederum plädierte auch beim Thema Social Engineering für proaktive Lösungen. Die würden es schon vom Konzept her unmöglich machen, dass der Nutzer Schaden anrichten und das ganze Unternehmensnetz infizieren könne, etwa in dem er auf eine verseuchte Website klicke.

Ähnlich Michael Veit. Er berichtete in der Expertenrunde von einer in den vergangenen zwei, drei Jahren zu beobachtenden  Veränderung im Sicherheitsdenken. Die DSGVO schreibe vor, dass Daten nach dem Stand der Technik geschützt werden müssen. Stand der Technik sei heute aber nicht mehr Antivirus-Lösung und Firewall, sondern ein proaktiver, ganzheitlicher Ansatz namens Endpoint Detection Response (EDR). Diese Lösungen laufen Veit zufolge auf Workstations und Server und beziehen auch andere Datenquellen mit ein, um zu erkennen, ob ein Hacker im Netzwerk unterwegs sei, noch bevor er Daten verschlüsselt oder gestohlen habe.