Es vergeht kaum ein Monat, an dem nicht vor neuen Phishing-Attacken gewarnt wird. Die Phishing-Methoden der Angreifer werden dabei unter Nutzung neuester Technologien immer raffinierter. Dass immer mehr Arbeitnehmer von unterwegs oder aus dem Home-Office arbeiten und zum Teil zwischen Firmen- und Privatgeräten wechseln, spielt den Angreifern zusätzlich in die Hände.
Darüber hinaus profitieren Hacker vor allem von drei Entwicklungen:
- Die Mitarbeiter verbringen immer mehr Zeit ihres Privatlebens online, sodass es Angreifern leichtfällt, sie auszuspähen und mit ihnen über soziale Netzwerke in Kontakt zu treten.
- Die zunehmende Nutzung von SaaS-Tools bringt neue Identitäten mit sich, die oft nur unzureichend gesichert und überwacht werden.
- Die permanent steigende Zahl neuer digitaler Tools führt vielfach dazu, dass die Mitarbeiter ungewöhnliche Anfragen oder Änderungen im Arbeitsablauf nicht hinterfragen.
Doch wie sollen nun Unternehmen und Behörden dieser wachsenden Phishing-Gefahr begegnen? Eine zentrale Maßnahme zur Reduzierung der Risiken ist die Anwendung eines Zero-Trust-Modells. Bei diesem Sicherheitskonzept wird jede Anfrage für den Zugriff auf eine Unternehmensressource – seien es Daten, Anwendungen oder die Infrastruktur – geprüft, bevor der Zugang gewährt wird. Außerdem wird der Zugriff für verifizierte Benutzer und Geräte streng begrenzt.
Prinzipiell zielen Zero-Trust-Initiativen darauf, die Zugangssysteme Phishing-resistenter zu gestalten, die Endbenutzer beim Erkennen von Phishing-Versuchen zu unterstützen und den potenziellen Schaden einer Attacke zu minimieren.
Mit den folgenden Maßnahmen können Unternehmen die Angriffsgefahr entscheidend minimieren.
- Nutzung von Phishing-resistenten Multifaktor-Authentifizierungs-Verfahren (MFA) wie FIDO, QR-Codes oder physischen Token.
- Implementierung von grundlegenden Zero-Trust-Richtlinien wie einer Step-up-Authentifizierung beim Starten vertraulicher Anwendungen, einer zwingenden Verwendung von MFA bei Profiländerungen oder einer Einrichtung automatischer Warnungen bei einem riskanten Benutzerverhalten.
- Segmentierung des Netzwerks, um bei erfolgreichem Phishing die Bewegungsfreiheit des Angreifers innerhalb des Netzwerks einzuschränken und den Zugriff auf vertrauliche Ressourcen zu blockieren.
- Sicherung der Endgeräte, die für Phishing und Malware anfällig sind, da der traditionelle Netzwerkperimeter im Cloud-Zeitalter als Verteidigungslinie ausgedient hat. Eine zentrale Herausforderung ist dabei die Pflege eines vollständigen, aktuellen Inventars von Nutzern und Geräten.
- Überprüfung der BYOD-Richtlinien und der Vorgaben für die Mitarbeiter zur Nutzung von Endgeräten beim Zugriff auf Unternehmensanwendungen über das Internet. Für die Sicherung von Home-Office-Netzwerken können zum Beispiel Mindeststandards festgelegt werden, etwa hinsichtlich der Änderung der Standard-Router-Anmeldedaten oder der Verwendung sicherer WLAN-Passwörter.
- Regelmäßige Durchführung von „Phishing-Übungen“ mit Live-Test-Szenarien und Red-Team-Trainings, um das sicherheitsbewusste Verhalten der Mitarbeiter zu stärken und um über neue Phishing-Angriffstechniken zu informieren.
- Förderung einer engeren Zusammenarbeit zwischen den Fachabteilungen und der IT, um die Identity Governance und das Lifecycle-Management von Zugriffsberechtigungen zu verbessern, etwa im Hinblick auf die sofortige Deprovisionierung nicht mehr genutzter Accounts.
- Kontinuierliche Überprüfung von Zugangsberechtigungen und Durchführung von Penetrationstests sowie Optimierung ineffizienter Workflows und Prozesse.
„Angesichts generell steigender Sicherheitsgefahren – nicht zuletzt durch Phishing-Attacken – setzen immer mehr Unternehmen auf eine Zero-Trust-Strategie. Viele erforderliche Bausteine und Technologien für eine effiziente Umsetzung bietet eine Identity-Security-Lösung“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk.
„Identity Security fokussiert sich auf die Sicherung individueller Identitäten während des gesamten Zugriffszyklus auf wichtige Ressourcen. Dies bedeutet, dass die Identität exakt authentifiziert wird, die Identität mit den richtigen Berechtigungen autorisiert wird und der Zugang für diese Identität zu privilegierten Ressourcen auf strukturierte Weise gewährt wird. Und natürlich werden auch die Compliance-Anforderungen damit erfüllt.“