Cybersecurity Awareness Month 2022: Vier Best Practices, die alle Benutzer befolgen sollten

Oktober ist Cybersecurity Awareness Month, eine nationale Initiative unter der Leitung der Cybersecurity and Infrastructure Security Agency (CISA) und der National Cybersecurity Alliance (NCA). Der 2004 ins Leben gerufene Cybersecurity Awareness Month ist 2022 so aktuell wie eh und je: Mit den immer besseren und effektiveren Bemühungen um die Cybersicherheit haben sich auch die Techniken böswilliger Akteure weiterentwickelt.

Im Rahmen des Cybersecurity Awareness Month 2022 richten CISA und NCA ihren Fokus auf vier Best Practices, die alle Benutzer befolgen sollten. Dieser Artikel befasst sich mit jeder dieser Praktiken und beschreibt, wie Einzelpersonen sich vor dem potenziellen Schaden durch eine Verletzung der Cybersicherheit schützen können.

Die Verwendung von Passwörtern allein reicht nicht aus, um Cybersicherheit zu gewährleisten. Die Authentifizierung mit einem Passwort basiert nur auf einem einzigen Faktor: etwas, das der Benutzer weiß. 2021 nahm die CISA die Ein-Faktor-Authentifizierung in ihre Liste der schlechten Praktiken auf. Eine MFA-Lösung authentifiziert Benutzer mit zusätzlichen Faktoren. Diese erfassen etwas, das sie haben (z.B. ein Mobiltelefon) und etwas, das sie sind (z. B. einen Fingerabdruck). Heutzutage sollte jedes Unternehmen eine Multi-Faktor-Authentifizierung (MFA) einsetzen, und Benutzer sollten MFA immer dann aktivieren, wenn eine Website, bei der sie ein Konto haben, diese anbietet.

MFA ist von höchster Bedeutung, da Cyberkriminelle Passwörter mit immer raffinierteren Techniken knacken. Cyberkriminelle nutzen oftmals Brute-Force-Angriffe und setzen Bots ein, um endlose Login-Versuche bei passwortgeschützten Ressourcen zu unternehmen. Wenn ein Passwort die einzige Verteidigungslinie ist, lassen sich diese Angriffe viel leichter durchführen.

MFA ist zwar ein wesentlicher Bestandteil der Cybersicherheit, weist aber immer noch Schwachstellen auf, derer sich die Benutzer bewusst sein sollten. Da MFA immer mehr zum Standard wird, arbeiten Cyberkriminelle mit Hochdruck daran, Wege zu finden, sie zu umgehen. Ein moderner Ansatz, den Angreifer verfolgen, ist der so genannte MFA-Fatigue-Angriff. Bei dieser Art von Angriff versucht ein Cyberkrimineller, mit einer bekannten gültigen Kombination aus Benutzername und Passwort auf das Konto eines Opfers zuzugreifen. Der Kriminelle sendet dem Opfer wiederholt MFA-Anfragen, um es zu verunsichern oder zu verärgern. Wie wir bei jüngsten Angriffen beobachtet haben, setzt der Cyberkriminelle dann einen Social-Engineering-Angriff ein, bei dem er sich oft als jemand ausgibt, der bei der Behebung der „Störung“ behilflich sein kann, wenn das Opfer einfach die MFA-Push-Benachrichtigung akzeptiert oder den OTP-Code preisgibt, den es empfangen hat.

Um zu vermeiden, Opfer eines MFA-Fatigue-Angriffs zu werden, ist es von entscheidender Bedeutung, dass Sie niemals Ihre OTP-Codes preisgeben oder MFA-Anfragen akzeptieren, wenn Sie diese nicht ausdrücklich selbst angefordert haben.

Die Zukunft der Authentifizierung liegt in der passwortlosen Authentifizierung, aber die Einführung passwortloser Systeme steckt noch in den Kinderschuhen. Solange Passwörter Bestandteil der Authentifizierung bleiben, müssen die Benutzer sichere Passwortpraktiken anwenden. Zu einer schlechten Passworthygiene gehört die Verwendung schwacher und gebräuchlicher Passwörter wie „123456“, „password“ oder „qwerty“, die in den USA immer noch zu den am häufigsten verwendeten Passwörtern gehören.

Auch die Wiederverwendung von Passwörtern – selbst von starken – auf mehreren Websites ist nicht sicher. Wenn ein Angreifer in den Besitz von Benutzernamen und Kennwort eines Benutzerkontos gelangt, kann er diese Kombination auf mehreren anderen Websites ausprobieren. Außerdem sollten selbst sichere Passwörter regelmäßig geändert werden.

Natürlich macht es die Befolgung dieser guten Passwortpraktiken auch schwierig, wenn nicht gar unmöglich, sich die entsprechenden Passwörter zu merken. Hier können Passwortmanager hilfreich sein. Beliebte Browser wie Google Chrome verfügen über integrierte Passwortmanager, die starke Passwörter vorschlagen und diese dann sicher speichern können, wenn sich der Nutzer das nächste Mal bei einem bestimmten Konto auf seinem Gerät einloggt. Je nachdem, welche Funktionen sie bevorzugen, können Benutzer sich auch einen eigenen Passwortmanager als separate App oder Browser-Plugin herunterladen.

Das Aktualisieren von Software und Apps auf Desktops, Smartphones und Tablets ist eine der einfachsten Schritte, die Benutzer unternehmen können, um sich online zu schützen. Aktualisierungsaufforderungen können als lästig empfunden werden, da sie immer gerade dann auftauchen, wenn ein Benutzer sich auf etwas anderes auf seinem Gerät konzentriert. Auch wenn die Versuchung groß ist, diese Aktualisierungen hinauszuzögern oder zu vermeiden, sollten Benutzer sich mit der Installation nicht zu lange Zeit lassen. Hinter jeder Aktualisierungsaufforderung stehen Teams von Cybersicherheits- und Technologieexperten, die dafür sorgen, dass die Software reibungslos und sicher funktioniert.

Einige große Softwareunternehmen veröffentlichen regelmäßig Updates. Microsoft und Adobe beispielsweise veröffentlichen Software-Patches am zweiten Dienstag jedes Monats, dem so genannten „Patch Tuesday“. Nicht alle Software-Updates werden jedoch planmäßig veröffentlicht; einige kommen außerplanmäßig als Reaktion auf Sicherheitslücken heraus. Es ist Aufgabe der Benutzer, sich über notwendige Software-Updates zu informieren und schnell zu reagieren.

Phishing ist eine Form des Social Engineering, bei der Cyberkriminelle Benutzer dazu verleiten, vertrauliche Informationen preiszugeben. Ein klassisches Beispiel für einen Phishing-Angriff ist, wenn ein Cyberkrimineller eine E-Mail oder Textnachricht sendet, in der er sich als Bankinstitut ausgibt. In der Nachricht wird behauptet, das Konto des Empfängers sei kompromittiert worden, und der Empfänger wird aufgefordert, sofort zu handeln und auf den beigefügten Link zu klicken. Klickt der Empfänger auf diesen Link und gibt die Daten ein, mit denen er sich bei seiner Bank einloggt, werden diese Informationen an den Cyberkriminellen weitergeleitet, der sie dann zu Betrugszwecken verwenden kann.

Während eine Phishing-Nachricht wahllos an eine große Anzahl von Empfängern geschickt werden kann, ist Spear-Phishing zielgerichteter. Bei dieser Art von Angriff besitzt ein Cyberkrimineller einige Informationen über den Empfänger, z. B. den Namen seines Unternehmens. Der Kriminelle kann sich dann als leitender Angestellter dieses Unternehmens ausgeben und eine Phishing-E-Mail an den Empfänger senden. Die E-Mail kann einen Link oder einen Anhang enthalten, der Malware installiert, wenn der Empfänger ihn anklickt.

Das Phishing Tip Sheet der CSA ist eine kostenlose und hilfreiche Quelle für weitere Informationen zur Vermeidung dieser weit verbreiteten Bedrohung.

Ping Identity wird den ganzen Oktober über den Cybersecurity Awareness Month 2022 begleiten. Besuchen Sie unseren Blog und unsere Website, um mehr über Cybersicherheitspraktiken und Identitätslösungen zu erfahren, die Ihnen helfen können, Ihre Sicherheit zu gewährleisten.