Der Cybersecurity Awareness Month ist eine internationale Initiative, die sich auf einfache Möglichkeiten konzentriert, sich selbst, die Familie und Unternehmen vor Online-Bedrohungen zu schützen.
Das Thema des Jahres 2025 „Secure our World“ unterstreicht die Allgegenwärtigkeit digitaler Technologien, die Verbindungen auf der ganzen Welt ermöglichen und zeigt, wie einfache, aber wirksame Maßnahmen eine nachhaltige Wirkung entfalten können. In einer Welt, in der die digitalen Leben immer stärker miteinander verflochten sind, erhöht jeder abgesicherte Angriffsvektor die Sicherheit der vernetzten Menschen. Im Folgenden werden die vier besten Wege zur Absicherung der digitalen Welt vorgestellt.
Schutz von Zugangsdaten, und zwar ohne Passwörter
Bedrohungsakteure werden immer geschickter darin, gezielt auf Zugangsdaten zuzugreifen, bewegt sich die Branche allmählich weg von Passwörtern und hin zu einer passwortlosen Zukunft. Das bedeutet, dass man auf andere Formen der Authentifizierung umsteigt, die biometrische Daten, PINs, Muster und Passkeys anstelle von Passwörtern nutzen können. Mit einer wachsenden Anzahl von Plattformen, die Passkeys und passwortlose Authentifizierung unterstützen, wird die Abkehr von Passwörtern immer einfacher und reibungsloser.
Wenn passwortlose Optionen nicht machbar sind, sollten sichere Passwörter mit einem Passwortmanager verwendet werden. Leider verwenden weniger als 40 Prozent aller Online-Nutzer für jedes Konto ein eigenes Passwort, zeigt er Bericht der National Cybersecurity Alliance 2023 Oh Behave! auf. Wiederverwendete Passwörter geben Cyberkriminellen einen Bonus-Zugang zu anderen Bereichen des digitalen Lebens einer Person, wenn sie sich nur die Mühe gemacht haben, einen einzigen Zugangscode zu stehlen oder zu kaufen oder gar zu knacken. Abgesehen davon, dass man sich für jede Website anders anmelden sollte, empfiehlt die gängige Meinung (a la CISA), dass ein sicheres Kennwort Folgendes enthalten sollte:
- Mindestens 16 Zeichen.
- Zufallsgenerierung mit einer Mischung aus Buchstaben, Symbolen und Zahlen.
- Möglicherweise eine „Passphrase“ aus 4-7 Wörtern, wobei eine Zufallsgenerierung empfohlen wird.
In beiden Fällen – Passwörter oder passwortlose Schlüssel – wird ein Passwort-Manager benötigt (hier der Grund). Angesichts der Tatsache, dass eine Durchschnittsperson etwa 100 verschiedene Anmeldedaten verwalten muss, ist es kein Wunder, dass fast ein Drittel der Internetnutzer einen Passwort-Manager verwendet, um sie alle zu verwalten.
Erkennen und Melden von Phishing
Laut dem Thales 2024 Data Threat Report ist Phishing der am zweitschnellsten wachsende Angriffsvektor. Phishing-Taktiken werden dank KI immer raffinierter, und es ist wichtiger denn je, dass Arbeitnehmerinnen und Arbeitnehmer in der Lage sind, ihre verräterischen Zeichen zu erkennen. KI-basierte Kampagnen können nun wortgetreue E-Mails in jeder beliebigen Sprache verfassen, in der Regel:
- Ein Gefühl der Dringlichkeit erzeugen (Panik erzeugen und das kritische Denkvermögen kurzschließen).
- Aufforderung zu einer ungefragten Handlung (z. B. „Ändern Sie Ihr Passwort jetzt“ oder „Downloaden Sie jetzt“).
- Aufforderung zur Eingabe persönlicher Daten (in der Regel Finanzdaten, wie bei BEC-Betrug).
Der effektivste Weg, Menschen in die Lage zu versetzen, Phishing-E-Mails zu erkennen und zu melden, ist jedoch die Stärkung der „menschlichen Firewall“. Unternehmen sollten in Schulungsprogramme zum Sicherheitsbewusstsein nicht nur für ihre Mitarbeiter, sondern auch für deren Familien investieren, um eine positive Kultur zu schaffen, in der jeder aufgefordert ist, Fehler zu melden, z. B. das Klicken auf einen bösartigen Link.
Multifaktor-Authentifizierung einschalten
Die Multifaktor-Authentifizierung (MFA) wird von vielen Anbietern von Cloud-Diensten und noch mehr von normalen Unternehmen als Sicherheitsebene verlangt. CISA, ENISA und andere globale Sicherheitsbehörden raten dazu, dass jeder sie einführt, da sie zusätzliche Sicherheitsebenen neben den Passwörtern allein schafft (z. B. einen Textverifizierungscode oder einen Fingerabdruck). Es sind verschiedene MFA-Optionen verfügbar:
- Phishing-resistente MFA wird von der CISA als „Goldstandard“ bezeichnet und umfasst FIDO/WebAuthn-Authentifizierung und Public Key Infrastructure (PKI)-basierte Methoden.
- App-basierte MFA-Methoden erhöhen die Sicherheit, indem sie eine Pop-up- oder „Push“-Benachrichtigung an das Telefon des Benutzers senden, ein Einmalpasswort (OTP) generieren oder ein Token-basiertes OTP verwenden.
- Bei SMS- oder Voice-MFA wird dem Benutzer einfach ein Verifizierungsanruf oder -text geschickt.
Trotz der Bedeutung und Vielfalt solcher MFA-Methoden zeigt der DTR-Bericht von Thales 2024, dass nur 46 Prozent der Unternehmen MFA für mehr als 40 Prozent ihrer Mitarbeiter nutzen. Eine phishing-resistente MFA ist zwar am effektivsten gegen KI-gestützte Social-Engineering-Angriffe, aber jede Form von MFA schon gleich viel besser ist als gar keine MFA. Darüber hinaus bietet die Einführung von MFA einen großen geschäftlichen Nutzen. Der Thales 2024 Digital Trust Index zeigt, dass 81 Prozent der Kunden erwarten, dass Marken MFA anbieten, was zu einer größeren Loyalität und einem größeren Vertrauen führt.
Software aktualisieren: Eine wichtige Abwehrmaßnahme, aber mit Vorsicht zu genießen
Alle Mitarbeiterinnen und Mitarbeiter müssen wissen, dass sie jedes Mal, wenn sie daran erinnert werden, Software-Updates akzeptieren und anwenden müssen. Sicherheitslücken können nur so geschlossen werden. Einem Ponemon-Bericht zufolge gehen 60 Prozent der Sicherheitsverletzungen auf nicht gepatchte Schwachstellen zurück, was diese einfache Maßnahme noch wichtiger macht.
Kriminelle haben sich schnell KI zu eigen gemacht, um selbst Zero-Day-Schwachstellen zu erkennen und auszunutzen. Interessanterweise öffnen diese ungepatchten Lücken den Weg für die Verbreitung störender Ransomware-Angriffe.
Unternehmen, insbesondere in kritischen Infrastrukturen, sollten ihre Systeme jedoch mit Bedacht und nicht aus Angst patchen. Auch wenn rechtzeitige Sicherheitsupdates von entscheidender Bedeutung sind, ist es ebenso wichtig, diese Updates in einer kontrollierten Umgebung zu testen. Dies sollte erfolgen bevor sie veröffentlicht werden, um die Möglichkeit zu minimieren, dass kritische Systeme beschädigt werden.
Fazit
Das übergeordnete Ziel des Cybersecurity Awareness Month ist die Sicherheit von Identitäten, Anwendungen, Daten und Software – sowohl von persönlichen als auch von Unternehmensdaten – zu verbessern. Wie die oben genannten Methoden zeigen, müssen gute Verteidigungsmaßnahmen nicht schwierig zu handhaben oder umzusetzen sein. Wenn man es einfach hält, und praktische, leicht zu handhabende Werkzeuge und Verfahren einsetzt, wird es auch besser angenommen.
Als Unternehmen sollten die oben genannten bewährten Verfahren durch Lösungen ergänzt werden, die einen zuverlässigen Anwendungs- und Datenschutz bieten, um das Risiko einer Datenverletzung zu verringern. Diese Lösungen schützen Anwendungen und APIs, erkennen und klassifizieren sensible Daten, bieten Risikoinformationen und ergänzen die Bemühungen der Mitarbeiter um mehr Sicherheit. Die oben genannten benutzerfreundlichen Methoden ermöglichen es Mitarbeitern, die erste Verteidigungslinie zu sein, und die Bereitstellung von Imperva-Lösungen die nächste Verteidigungsebene.
(pd/Thales)