Von:
Al Lakhani,
CEO der IDEE GmbH
In einer zunehmend digitalisierten Welt sind Unternehmen der kritischen Infrastruktur vermehrt Ziel von Cyberangriffen. Seit 2018 ist die Anzahl der Meldungen von KRITIS-Betreibern an das Bundesamt für Sicherheit in der Informationstechnik (BSI) um das Dreifache gestiegen. In 2023 machten bislang vor allem Angriffe auf Verkehrsdienstleister und Medienhäuser Schlagzeilen.
Unternehmen, die zur KRITIS gehören, haben eine erhöhte Verantwortung gemäß IT-Sicherheitsgesetz 2.0. Dazu gehört, dass sie ihre IT-Systeme kontinuierlich auf dem aktuellen Stand der Technik halten, um Störungen und Sicherheitslecks zu vermeiden. Welche Maßnahmen und Lösungen dem aktuellen Stand entsprechen, ist dabei Interpretationssache – das BSI empfiehlt allerdings ausdrücklich den Einsatz einer Multifaktor-Authentifizierung (MFA), um die Sicherheit von IT-Systemen zu erhöhen.
Gefahr durch Phishing wächst
Und das aus gutem Grund: Insbesondere Phishing-Angriffe haben in den letzten Jahren deutlich zugenommen und stellen eine erhebliche Bedrohung für die Sicherheit der KRITIS dar. Laut einer aktuellen Studie von SoSafe ist Phishing nach Malware die größte Gefahr. Beim Bayerischen Rundfunk, der als Teil der Medienbranche zur KRITIS gehört, konnten Angreifer:innen mit Hilfe einer Phishing-Attacke auf E-Mail-Postfächer von Mitarbeiter:innen zugreifen und Daten abführen.
Ähnlich gingen Angreifer:innen im März bei den Stadtwerken Karlsruhe vor: Hier konnten Cyberkriminelle mit einer erfolgreichen Phishing-Attacke einen PC in der Verwaltung mit Schadsoftware kompromittieren. Bewerkstelligen konnten die Cyberkriminellen dies, indem sie täuschend echt aussehende Phishing-E-Mails an Mitarbeiter:innen verschickten, die sie zur Eingabe ihrer Zugangsdaten auf einer ebenfalls authentisch wirkenden Eingabemaske aufforderten. Eine Verbreitung innerhalb des Netzwerks konnten die IT-Spezialist:innen des Energieversorgers zwar verhindern; doch gerade im Bereich KRITIS ist jeder Sicherheitsvorfall einer zu viel.
MFA schützt immer – oder doch nicht?
Um sich vor solchen Angriffen effektiv zu schützen, nutzen viele Unternehmen Lösungen zur Multifaktor-Authentifizierung. Hierbei wird die gängige Kombination aus Nutzername und Passwort um weitere Faktoren erweitert, die für eine Authentifizierung bei einem Dienst notwendig sind.
Man unterscheidet hauptsächlich zwischen Wissensfaktoren wie einer Sicherheitsfrage oder einem zusätzlichen Kenncode, Besitzfaktoren, zum Beispiel einem physischen Sicherheitstoken oder auch Authenticator-Apps, und Inhärenzfaktoren wie Fingerabdruck-, Gesichts- und Iris-Scans.
Jede einzelne MFA-Methode hat ihr eigenes Sicherheitsniveau. Als besonders sicher gelten der Besitz- und der Inhärenzfaktor. Allerdings schützen auch diese nicht vollständig vor der Gefahr durch Phishing: Mit Techniken wie Prompt Bombing können Cyberkriminelle Push-Nachrichten und Authenticator-Apps ausnutzen.
Phishing-sichere MFA für Unternehmen der KRITIS
Unternehmen der KRITIS, die ihre Login-Prozesse sicher wissen wollen, sollten sich für MFA-Dienste entscheiden, die beim Login auf die Authentifizierungsschnittstellen von Endgeräten zurückgreifen. Diese umfassen neben der biometrischen Login-Funktion (Gesichts- und Fingerabdruckscan) auch PINs. Der PIN darf jedoch ausschließlich auf dem lokalen Gerät funktionieren. Der Fachbegriff hierfür lautet „Same Device MFA“.
Eine Phishing-sichere MFA basiert auf dem WebAuthn-Standard und nutzt die Authentifizierungsfunktionen der Endgeräte. Die Benutzerdaten, einschließlich des privaten kryptografischen Schlüssels, sollten dabei dezentral auf dem Endgerät gespeichert werden.
Zero Trust
Darüber hinaus sollten neue Geräte oder Konten basierend auf den Prinzipien des Zero Trust und des Transitive Trust hinzugefügt werden. Das bedeutet, dass 1) nur die Person, die den Registrierungs- oder Geräte-Anmeldungsprozess startet, in der Lage ist, ihn abzuschließen, und 2) das Hinzufügen eines neuen Geräts nur möglich ist, nachdem es von einem bestehenden vertrauenswürdigen Gerät aus genehmigt wurde.
Sicherheit trotz Fachkräftemangel
Unternehmen in der kritischen Infrastruktur sind wie andere Organisationen auch von einem Mangel an geeigneten IT-Fachkräften betroffen. Zusätzlich zur Sicherheit vor Phishing kommt es deshalb darauf an, die angedachte Lösung schnell und mit möglichst wenig Personalaufwand implementieren zu können.
Physische Security-Tokens schützen zwar vor Phishing, der administrative Aufwand ist allerdings hoch: Die Tokens müssen bestellt, inventarisiert, an Mitarbeiter:innen verteilt und eingerichtet werden. Hinzu kommt der Aufwand bei Diebstahl oder Verlust. Eine Same-Device-MFA umgeht dieses Problem, indem sie sich Software-seitig innerhalb weniger Minuten auf beliebig vielen Geräten installieren lässt. Darüber hinaus ist die Nutzung für Mitabeiter:innen einfach: Der Login findet hier über die geräteeigenen Sicherheitstechnologien (Fingerabdruck-Sensor, Gesichtsscan usw.) statt – so, als würden sie ihr Gerät normal entsperren.
Fazit
KRITIS-Unternehmen, die ihre Systeme nicht ausreichend vor einem der Hauptwerkzeuge der Cyberkriminellen – dem Phishing – schützen, riskieren nicht nur ihren eigenen Betrieb; sie riskieren im schlimmsten Fall erhebliche Auswirkungen auf die Gesellschaft.
Eine Phishing-sichere Multifaktor-Authentifizierung ist folglich kein nettes Add-on, sondern eine unverzichtbare Komponente in der Verteidigungslinie. Sie ist ein wichtiger Schritt zur Stärkung der IT-Sicherheit und zur Minimierung der Risiken, die mit dem Fachkräftemangel einhergehen. (sg)
