Digitale Selbstverteidigung
Absicherung von Internetkonten in einer digitalen Welt
In einer Ära, in der wir uns immer stärker vernetzen und einen Großteil unseres Lebens online teilen, ist die Sicherheit unserer digitalen Identitäten unerlässlich geworden. Plattformen wie LinkedIn, Xing, Facebook und Instagram sind nicht nur Orte, an denen wir uns sozial vernetzen, sondern sie beherbergen auch eine Fülle von persönlichen und beruflichen Informationen. Doch wie sicher sind diese Konten wirklich vor unerwünschtem Zugriff?
Darum ist Absicherung notwendig!
Die rasante Digitalisierung unserer Gesellschaft geht mit einer ebenso rasanten Zunahme von Cyberbedrohungen einher. Cyberkriminelle werden immer raffinierter in ihren Methoden und versuchen, an wertvolle Daten zu gelangen, um finanzielle Vorteile zu erzielen, Unternehmen zu schaden oder einfach aus dem Wunsch heraus, Chaos zu stiften. Einige aktuelle prominente Hacks und Kompromittierungen haben gezeigt, dass selbst die größten Unternehmen und Netzwerke nicht immun gegen diese Bedrohungen sind.
Konten können aus verschiedenen Gründen kompromittiert werden: Phishing-Versuche, Datenlecks von Drittanbietern oder einfach das Verwenden von schwachen oder bereits durchgesickerten Passwörtern. Das Ergebnis solcher Kompromittierungen kann von Identitätsdiebstahl über finanziellen Verlust bis hin zum Rufschaden reichen.
Angreifer setzen fortwährend alles daran, Konten zu infiltrieren und dadurch an vertrauliche Daten zu gelangen. Vor kurzem gab es einen weiteren Vorfall bei DocMorris. Hier konnten Cyberkriminelle mit den Kontoinformationen der Geschädigten Bestellungen durchführen. Neben E-Commerce-Seiten und sozialen Netzwerken stehen auch Bankinstitute im Fokus von Betrugsmanövern.
LinkedIn-Nutzer im Visier Cyber-Kriminellen
Am 18.08.2023 wurde gemeldet, dass Angriffe auf LinkedIn-Profile anscheinend zunehmen. Es ist ratsam, die Zwei-Faktor-Authentifizierung baldmöglichst zu aktivieren.
Laut Bericht von Cyberint und anderen IT-Sicherheitsmedien scheint aktuell eine umfangreiche, weltweite Attacke auf LinkedIn-Profile im Gange zu sein. Es wird berichtet, dass mehrere Konten bereits gehackt wurden. Einige Betroffene wurden sogar erpresst und mussten ein Lösegeld für den Zugang zu ihrem Konto zahlen. Bei Verweigerung der Zahlung wurden die Konten unwiderruflich gelöscht.
Einige LinkedIn-Mitglieder äußern ihren Ärger auf Plattformen wie X (ehemals Twitter) und teilen mit, dass ihre Profile gekapert wurden. Zudem scheint LinkedIn momentan nur verzögert auf Hilfsanfragen zu antworten, wie diverse Kommentare belegen.
Anleitung: 2FA in LinkedIn-App aktivieren
[Video folgt]
- Melden Sie sich bei LinkedIn an.
- Klicken Sie auf Ihre Profilbild, dann unten auf „Einstellungen“
- Menüpunkt „Einloggen und Sicherheit“
- Menüpunkt „Zweistufige Authentifizierung“
- Tippen Sie auf Einrichten > Wählen Sie Authentifizierungs-App oder Telefonnummer (SMS)
- Geben Sie wieder Ihr Passwort ein
- Kopieren Sie den geheimen Schlüssel
- Wechseln Sie in die Authenticator-App Ihrer Wahl (Google (nachfolgend beschrieben), Microsoft, Yubico etc.)
- Wählen Sie „Code hinzufügen“ aus und dann „Einrichtungsschlüssel eingeben“
- Vergeben Sie den Kontonamen „LinkedIn“ und fügen Sie den zuvor kopierten geheimen Schlüssel ein.
- Merken Sie sich die sechs Zahlen und wechseln Sie sofort zurück zur LinkedIn-App
- Tippen Sie auf „Weiter“ und geben Sie die sechs Zahlen ein.
- Voilà… 2FA ist aktiviert.
Xing-Nutzer waren 2020 schon mal Angriffsziel
Das berufliche Netzwerk Xing informierte seine Mitglieder über potenzielle Sicherheitsrisiken ihrer Anmeldedaten. In einer Benachrichtigung empfahl der Service den betroffenen Nutzern, ihre Passwörter umgehend zu aktualisieren. Ohne diese Maßnahme hätten Unbefugte Zugang zu den Profilen erlangen, private Informationen einsehen und unerwünschte Nachrichten senden können. Es bestand zudem das Risiko finanzieller Verluste.
Video: 2FA in Xing App aktivieren
2FA, MFA, FIDO2, Keys & Co.
– viele Wege zum sicheren Konto
Um die Sicherheit zu erhöhen, haben viele Dienste Maßnahmen wie die Zwei-Faktor-(2FA) und die Mehrfaktor-Authentisierung (MFA) eingeführt. 2FA und MFA gelten heute als Stand der Technik, aber was genau bedeuten diese Begriffe? Ein Überblick über die gängisten Authentisierungsmethoden:
2FA: Zwei-Faktor-Authentisierung
Die Zwei-Faktor-Authentisierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das sicherstellt, dass Menschen, die versuchen, auf einen Online-Account zuzugreifen, wirklich die sind, die sie vorgeben zu sein. Statt sich nur mit einem Passwort zu identifizieren, benötigt der Nutzer mit 2FA zwei unterschiedliche Komponenten, um seine Identität zu beweisen.
Die Grundidee hinter 2FA ist, dass die Kombination von zwei unterschiedlichen Faktoren eine erheblich höhere Sicherheit bietet als jeder Faktor allein. Die Faktoren gehören zu einer der folgenden Kategorien:
Etwas, das man weiß (Wissen): Dies kann ein Passwort, eine PIN, eine Antwort auf eine „Geheime Frage“ oder ein spezifisches Muster sein.
Etwas, das man hat (Besitz): Dies kann ein physisches Gerät sein, wie ein Smartphone, ein Sicherheitstoken oder ein Smartcard-Lesegerät.
Etwas, das man ist (Inhärenz): Dies bezieht sich auf biometrische Daten, wie Fingerabdrücke, Iris- oder Netzhaut-Scans oder Stimmerkennung.
Ein gängiges Beispiel für 2FA ist das Online-Banking: Hierbei gibt der Nutzer zuerst sein Passwort ein (erster Faktor: etwas, das man weiß) und erhält dann eine SMS mit einem einmaligen Code auf sein Handy (zweiter Faktor: etwas, das man hat), den er eingeben muss, um den Zugriff zu bestätigen.
Vorteile von 2FA
Erhöhte Sicherheit: Selbst wenn ein Angreifer das Passwort eines Nutzers kennt, hilft 2FA dabei, den unbefugten Zugriff zu verhindern, da der Angreifer auch den zweiten Faktor benötigt.
Schutz vor Phishing: Phishing-Angriffe zielen oft darauf ab, Passwörter zu stehlen. Mit 2FA wird der alleinige Besitz des Passwortes nutzlos, es sei denn, der Angreifer hat auch Zugriff auf den zweiten Authentifizierungsfaktor.
Vertrauensbildung: Nutzer wissen, dass ihre Daten durch eine zusätzliche Sicherheitsebene geschützt sind, was das Vertrauen in den jeweiligen Dienst erhöht.
Herausforderungen von 2FA
Benutzerfreundlichkeit: Einige Benutzer empfinden den zusätzlichen Authentisierungsschritt als umständlich oder störend.
Potenzielle Verlustgefahr: Wenn ein Benutzer seinen physischen Token oder sein Handy (falls als zweiter Faktor verwendet) verliert, kann er Schwierigkeiten haben, auf seine Konten zuzugreifen.
Ziel von Angriffen: SMS-basierte 2FA kann Angriffen wie SIM-Swapping ausgesetzt sein, bei denen Kriminelle die Kontrolle über die Telefonnummer eines Opfers übernehmen.
Trotz dieser Herausforderungen ist die Implementierung von 2FA in vielen Anwendungsfällen empfehlenswert, da die Vorteile – insbesondere der erhöhte Schutz vor unbefugtem Zugriff – die potenziellen Nachteile in den meisten Fällen überwiegen.
MFA: Mehrfaktor-Authentisierung
Mehrfaktor-Authentisierung (MFA) ist ein erweitertes Sicherheitsverfahren, das mindestens zwei unabhängige Authentisierungsmethoden erfordert, um die Identität eines Benutzers zu bestätigen. Während 2FA – wie der Name schon sagt – genau zwei dieser Methoden verwendet, kann MFA zwei oder mehr Authentisierungsfaktoren einbeziehen, um die Identität des Benutzers zu bestätigen:
Die Authentisierungsfaktoren von MFA werden üblicherweise in drei Hauptkategorien unterteilt:
Etwas, das man weiß (Wissen): Dazu gehören Passwörter, PINs, Antworten auf Sicherheitsfragen und spezifische Muster.
Etwas, das man hat (Besitz): Hierzu zählen Smartphones, Smartcards, USB-Sicherheitstoken und andere physische Geräte.
Etwas, das man ist (Inhärenz): Dies betrifft biometrische Merkmale wie Fingerabdrücke, Gesichtserkennung, Iris-Scans, Netzhaut-Scans und Stimmerkennung.
Einige fortschrittliche MFA-Systeme könnten sogar zusätzliche Faktoren einführen, wie z. B. den Standort eines Benutzers (Geolokalisierung) oder das Verhalten (z. B. Tippgeschwindigkeit oder Mausbewegungen).
Vorteile von MFA
Höchste Sicherheitsstufe: Mit jedem zusätzlichen Authentisierungsfaktor, den ein System erfordert, wird es für einen potenziellen Angreifer exponentiell schwieriger, unbefugten Zugriff zu erlangen.
Flexibilität: Organisationen können die Faktoren auswählen, die am besten zu ihrem Sicherheitsbedarf und den Vorlieben ihrer Benutzer passen.
Vertrauensbildung: Die Kenntnis darüber, dass mehrere Sicherheitsebenen vorhanden sind, kann das Vertrauen der Benutzer in einen Dienst oder eine Plattform stärken.
Herausforderungen von MFA
Komplexität: Je mehr Faktoren hinzugefügt werden, desto komplexer kann der Authentisierungsprozess werden. Dies kann zu einer verringerten Akzeptanz bei den Benutzern führen.
Kosten: Die Implementierung von MFA, insbesondere bei der Nutzung von spezialisierten Hardwaregeräten oder biometrischen Systemen, kann mit höheren Kosten verbunden sein.
Wiederherstellungsprobleme: Wenn Benutzer auf einen der Faktoren keinen Zugriff haben, kann es schwieriger sein, den Zugriff auf ihre Konten wiederherzustellen, insbesondere wenn strenge Sicherheitsmaßnahmen vorhanden sind.
Trotz seiner potenziellen Herausforderungen bleibt MFA eine der effektivsten Methoden, um Online-Konten und -Dienste zu schützen. Für Organisationen und Personen, die mit besonders sensiblen Daten arbeiten oder ein hohes Sicherheitsrisiko haben, kann die Implementierung von MFA nicht nur empfohlen, sondern sogar unerlässlich sein.
FIDO2
Ein Paradigmenwechsel in der Online-Authentisierung
FIDO2 steht für „Fast Identity Online 2“ und repräsentiert den fortschrittlichsten Ansatz, um sicherzustellen, dass Benutzer in der digitalen Welt wirklich die sind, die sie vorgeben zu sein. Entwickelt von der FIDO Alliance und dem World Wide Web Consortium (W3C), handelt es sich bei FIDO2 um einen offenen Standard, der das Potenzial hat, das traditionelle Passwort vollständig zu ersetzen.
Die FIDO2-Initiative umfasst zwei Hauptkomponenten:
WebAuthn (Web Authentication): Diese Web-API ermöglicht es Webentwicklern, native FIDO-Authentifizierung in ihre Webseiten und Anwendungen zu integrieren. WebAuthn ist browser- und plattformübergreifend und ermöglicht eine benutzerfreundliche, biometrische Authentisierung, Sicherheitsschlüssel und mobile Anwendungen, um sich gegenüber einem Online-Service zu authentifizieren.
CTAP (Client to Authenticator Protocol): CTAP ist das Bindeglied zwischen WebAuthn und dem Authentifikator (z.B. ein USB-Sicherheitsschlüssel oder ein Smartphone). CTAP ermöglicht es einem externen Gerät (dem sogenannten Authenticator), mit einem Endgerät zu kommunizieren und den Authentisierungsprozess durchzuführen.
Was macht FIDO2 so besonders?
Passwortlose Authentisierung: FIDO2 zielt darauf ab, Passwörter als Hauptursache für viele Sicherheitsverstöße zu eliminieren. Anstelle von Passwörtern können Benutzer biometrische Daten wie Fingerabdrücke oder Gesichtserkennung oder Sicherheitsschlüssel verwenden.
Phishing-Resistenz: Die FIDO2-Authentisierung ist so konzipiert, dass sie resistent gegen Phishing-Angriffe ist. Selbst wenn ein Benutzer versehentlich Anmeldedaten an eine betrügerische Webseite weitergibt, kann der Angreifer diese Informationen nicht nutzen, da die Authentisierung lokal und kontextbezogen auf dem Gerät des Benutzers stattfindet.
Universelle Anwendung: Die Unterstützung für FIDO2 wächst kontinuierlich, wobei immer mehr Webbrowser, Betriebssysteme und Online-Dienste den Standard implementieren.
Privatsphäre und Sicherheit: FIDO2-Authentifikatoren verwenden eine Public-Key-Kryptographie, bei der der private Schlüssel niemals das Gerät des Benutzers verlässt. Dies gewährleistet, dass keine sensiblen Daten an den Server übertragen werden und die Privatsphäre des Benutzers geschützt bleibt.
FIDO2 repräsentiert einen bedeutsamen Schritt in Richtung einer sichereren und benutzerfreundlicheren Online-Welt. Während sich die Technologie noch in der Adoption befindet, weist vieles darauf hin, dass FIDO2 und seine Komponenten in den kommenden Jahren eine zentrale Rolle in der Art und Weise spielen werden, wie wir uns online authentisieren.
Sicherheitsschlüssel
Sicherheitsschlüssel wie Yubikeys im digitalen Zeitalter
YubiKeys, auf die im nachstehenden Text eingegangen wird, sind physische Sicherheitsschlüssel, die von der Firma Yubico hergestellt werden. Sie repräsentieren eine Form der starken Zwei-Faktor-Authentisierung (2FA) und sind darauf ausgelegt, die Sicherheit von Online-Konten erheblich zu erhöhen. Statt eines Codes, der per SMS oder über eine App generiert wird, funktioniert die Authentisierung über einen physischen Schlüssel, den der Benutzer in einen USB-, NFC- oder USB-C-Port steckt oder in der Nähe eines Geräts hält.
Eigenschaften von YubiKeys
Vielseitigkeit: YubiKeys unterstützen eine Vielzahl von Authentisierungsprotokollen, darunter FIDO U2F, FIDO2, Smartcard (PIV), OpenPGP und OTP (One-Time Password).
Phishing-Schutz: Da der Authentisierungsvorgang lokal auf dem Gerät stattfindet und nicht auf die Eingabe eines auf einem Server generierten Codes angewiesen ist, bieten YubiKeys einen starken Schutz vor Phishing-Angriffen.
Kompatibilität: Viele Online-Dienste und Plattformen, darunter Google, Facebook, Dropbox und viele andere, unterstützen YubiKeys als Authentisierungsmethode.
Weitere Markteilnehmer und Anbieter
Google Titan Security Key: Dies ist Googles eigene Version eines physischen Sicherheitsschlüssels. Ähnlich wie YubiKeys bieten sie Schutz vor Phishing und unterstützen FIDO-Protokolle.
SoloKeys: Diese Open-Source-Sicherheitsschlüssel unterstützen FIDO2 und U2F und können von Benutzern selbst programmiert werden, um eine maßgeschneiderte Sicherheit zu gewährleisten.
Feitian: Ein weiterer bedeutender Anbieter von Sicherheitsschlüsseln, der eine Vielzahl von Produkten anbietet, die mit FIDO2 und anderen gängigen Authentisierungsstandards kompatibel sind.
Thetis: Dieses Unternehmen bietet ebenfalls FIDO-zertifizierte Sicherheitsschlüssel an, die als Alternative zu den oben genannten Marken dienen können.
Die Verwendung von physischen Sicherheitsschlüsseln wie dem YubiKey und den weiteren Marktteilenehmern bietet eine der sichersten 2FA-Methoden, da sie nicht nur auf etwas, das man weiß, sondern auch stark auf etwas, das man hat basiert. In Zeiten steigender Online-Bedrohungen ist die Einführung solcher Sicherheitsmaßnahmen eine kluge Entscheidung für jeden, der seine digitalen Konten und Daten schützen möchte.
Autor: Christopher Schroer
Disclaimer: Der Autor selbst nutzt Yubikey.
Credits (Heroshot): Sai – stock.adobe.com