Mythen im Bereich Cybersecurity
F5 Networks: Aufdeckung geschäftsschädigender Irrtümer
F5 Networks, Anbieter für Cloud- und Sicherheitslösungen, will Aufklärungsarbeit im Bereich Cybersecurity leisten. Ein falsches Verständnis darüber, wie eine Person sich digital schützen kann, führt mitunter zu verheerenden Sicherheitsverletzungen. Dazu hat Bernd Achatz, technischer Direktor bei F5 Networks, sieben geschäftsschädigende Cybersecurity-Mythen "enttarnt" und publik gemacht.
Ein verbreiteter Mythos ist laut Achatz, dass eine Multi-Faktor-Authentifizierung (MFA) Credential Stuffing verhindert. MFA ist zwar ein Cybersicherheits-Tool, verhindere aber nicht Credential Stuffing. Versucht sich ein Hacker mit falschen Anmeldedaten einzuloggen, reagiert der Server mit einer Fehlermeldung. Sind die Anmeldedaten korrekt, fordert der Server einen zweiten Authentifizierungsfaktor an. Dadurch können Angreifer für sie nützliche Informationen erhalten. Mit den korrekten Anmeldedaten sollen sie sich auf bestimmte Schemata konzentrieren können und zum Beispiel per Social Engineering, Portierungsbetrug oder SIM-Swapping einen Zugang für den zweiten Authentifizierungsfaktor erhalten.
Unternehmen unterschätzen, welche Bedrohung automatisierte Methoden darstellen. Unter anderem mit Bot-Netzen, offenen Proxy-Servern, kompromittierten IoT-Geräten, gemeinsam genutzten VPNs und virtuellen Servern sollen Angreifer unter Verwendung von vielen Millionen IPs aus aller Welt verteilte Angriffe starten können. Vorhandene Gegenmaßnahmen, wie etwa Web Application Firewalls, erkennen in der Regel nur einen geringen Anteil des Angriff-Traffics. Deshalb verfehlen viele Gegenmaßnahmen IPs mit geringem Datenverkehr, so der Fachmann.
Ein weiterer Mythos, den Achatz aufdecken will, ist, dass Captcha Bots stoppt. Captchas seien für Angreifer kein wirkliches Hindernis. Längst gibt es menschliche Click-Farmen - wie etwa das russische Unternehmen 2Captcha - die Betrügern einen automatisierten API-Zugang anbieten, den ganzen Tag Captchas lösen und somit automatisierte Angriffe möglich machen sollen.
Eine weit verbreitete Annahme sei außerdem, dass Finanzdaten- und Treuepunkt-Aggregatoren Sicherheit ernst nehmen. Viele Anwender nutzen einen Finanzdaten-Aggregator, um sich in Online-Bankkonten einzuloggen. Sie erhalten so einen Überblick über ihren Finanzstatus und müssen sich nicht jedes Mal neu einloggen, wenn sie mehrere Bankkonten besitzen. Gleiches gilt für Treuepunkt-Aggregatoren. Allerdings erfolgt zunächst für jedes Konto die Abfrage der Benutzernamen und des Passworts, um es mit dem Aggregator zu verlinken. Hacker nutzen jedoch womöglich gestohlene Benutzer- und Passwort-Paare, die sie im Dark Web gekauft haben, und testen diese in Login-Formularen von hunderten Internetseiten über Aggregatoren. Da viele Menschen Benutzernamen und Passwörter häufig wiederverwenden, erhalten Kriminelle so mit Hilfe von Credential Stuffing Zugang zu tausenden Benutzerkonten.
Auch der Mythos, dass Cybersicherheit für den Einzelnen immer anstrengend ist, sei falsch. Gute Cybersicherheit funktioniere, ohne dass der Nutzer es überhaupt merkt oder dadurch eine Beeinträchtigung erfährt. Laut Bernd Achatz läuft verhaltensbezogene Biometrie im Hintergrund und analysiert Tastenanschläge, Touch-Befehle, Mausbewegungen und Geräteausrichtung, um ein Nutzerprofil zu erstellen und sicher aufzubewahren. Die Analyse und Bewertung der Daten berechnet eine Regelmäßigkeit zwischen dem aktuellen Verhalten des Benutzers und seinem bisherigen und zu erwartenden Verhalten. Angreifer sollen Konten nicht übernehmen können.
Den Mythos, dass es ohne einen Verlust keinen Betrug gibt, will der Fachmann ebenfalls entkräften. Betrug sei immer Betrug, auch ohne Datenverlust. Sobald ein Hacker eine Täuschung vornimmt, beispielsweise indem er sich Zugang auf ein E-Mail-Konto verschafft, handele es sich um einen Betrug, auch wenn noch kein Schaden entstanden ist. Es gäbe durchaus einige Angriffsarten, die sich zunächst einen Zugang verschaffen und dann erst einmal abwarten. Dennoch handelt es sich um Betrug.
Zuletzt weist Achatz darauf hin, dass Sonderzeichen ein Passwort nicht notwendigerweise sicherer machen. Nutzer sollen eher längere Passwörter verwenden. Passwörter mit willkürlichen Sonderzeichen seien nicht sicherer, sie sorgen nur für Frust beim Nutzer.
Weitere Informationen stehen unter www.f5.com zur Verfügung.
Lesen Sie mehr zum Thema
