Anfang Juni wurde ein schwerwiegender Cyberangriff auf die Netzwerke der CDU bekannt. Parteichef Friedrich Merz sprach vom „schwersten Angriff“ auf die Infrastruktur einer Partei in Deutschland. Nach ersten Erkenntnissen konnten sich die Täter rund 14 Tage unerkannt im Netzwerk bewegen und hatten dabei Zugriff auf kritische Daten.
Das Einfallstor für die Cyberkriminellen war laut Heise Online eine Sicherheitslücke innerhalb einer VPN-Software. Untermauert werden die Recherchen der Nachrichten-Website durch eine Sicherheitswarnung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vom 3. Juni*. Darin stellt das BSI klar, dass nur Nutzer gefährdet sind, bei denen der VPN-Zugang ausschließlich über lokale Benutzernamen-/Passwort-Kombinationen erfolgt.
Unternehmen und Behörden zu nachlässig bei Cybersicherheit
In Zeiten stetig steigender Hacker-Angriffe ist das Bewusstsein für Cyber-Security bei Behörden, Unternehmen und öffentlichen Einrichtungen nach wie vor viel zu wenig ausgeprägt. Auch die kommende EU-Cybersicherheitsrichtlinie NIS-2 hat offensichtlich noch nicht zum Umdenken im großen Maßstab geführt, obwohl darin die Umsetzung einer Multi-Faktor-Authentifizierung (MFA) für digitale Zugänge zwingend vorgeschrieben ist.
Der Angriff auf die CDU zeigt in aller Deutlichkeit, dass ein Passwort zur Authentisierung keinen ausreichenden Schutz vor Bedrohungen bietet, und es mindestens einen weiteren Faktor braucht: Die Cyberattacke auf die Partei hätte durch einen einfachen Hardware-Token verhindert werden können. Nicht ohne Grund empfehlen sowohl das BSI als auch der betroffene VPN-Anbieter die Verwendung „zusätzlicher Authentisierungsmechanismen“.
Multi-Faktor-Authentifizierung ist von essenzieller Bedeutung. Die Auswahl der passenden Lösung – ob softwarebasiert, per Smartphone oder hardwarebasiert über FIDO-Token – bleibt den Nutzern überlassen. Gerade Unternehmen und Organisationen mit vielen Mitarbeitenden bieten Token auf Basis des etablierten FIDO2-Standards eine kostengünstige und leicht umsetzbare MFA-Methode, die zudem bestmögliche Sicherheit garantiert.
Noch wichtiger als die Auswahl einer MFA-Technologie ist allerdings, jetzt zu handeln. Im Wettlauf mit Hackern ist Abwarten keine Option mehr. Cybersicherheit muss endlich mit der nötigen Entschlossenheit angegangen werden.
Claus Gründel, General Manager Embedded IoT Solutions, Swissbit