Plädoyer für Zwei-Faktor-Authentifizierung – schon wieder

Eine bereits seit 2011 aktive Hacker- und Cyberspionagegruppe hat es auf industrielle Steuerungssysteme von Energiekonzernen abgesehen. Laut Symantec-Untersuchung brach sie bislang in 27 Unternehmensnetzwerke ein. Die auch als Energetic Bear bekannte Dragonfly-Gruppe nutzt als Angriffsvektoren Spear-Phishing-Kampagnen und mit Malware präparierte Websites, die das Abgreifen von Daten zur Anmeldung in Firmennetzwerken ermöglicht. Dragonfly ist seit mindestens 2011 aktiv und wurde 2014 von Sicherheitsanalysten entdeckt und bekannt gemacht. Danach schien sich die Gruppe bedeckt zu halten und tauchte erst jetzt wieder im Rampenlicht auf. Die Symantec-Forscher nennen die Attacke „Dragonfly 2.0“, weil sie sehr viele Aspekte der früheren Angriffe repliziert. Zielobjekte sind die industriellen Steuersysteme (ICS – Industrial Control Systems) von Unternehmen. Zu den Opfern zählen vor allem Pipeline-Betreiber, Stromerzeuger und andere Firmen im Energieumfeld. Die Gruppe scheint besonders in der Schweiz, der Türkei und Nordamerika aktiv zu sein.

Mittlerweile gehen die Sicherheitsanalysten davon aus, dass die Gruppe zahlreiche kritische Systeme in den betroffenen Organisationen übernehmen könnte, wenn sie wollte. Die Energieversorgung gehört zu den wichtigsten Elementen der kritischen Infrastruktur, erfolgreiche Angriffe darauf würden sehr schnell großes Chaos auslösen. Das tragische daran ist die Art der Attacken: Es wurde keine neue Super-Schadsoftware eingesetzt, sondern ganz banale Phishing-Mails mit spezifischen Inhalten für die ausgewählten Opfer (Phishery-Toolkit, erhältlich auf GitHub). Die Opfer sollten im zweiten Schritt Trojaner-verseuchte Software ausführen, Webseiten mit verstecktem Schadcode besuchen oder gefälschte Software-Updates (Flash-Player) herunterladen. Das sind zwar durchaus potente Mittel, um Zugang zum Endgerät und im zweiten Schritt zum Netz des Opfers zu gewinnen, sie sind aber auch mit Standard-Sicherheitstools leicht abzuwehren. So funktioniert Passwort-Diebstahl nicht, wenn noch ein zweiter oder dritter Faktor für die Anmeldung erforderlich ist. Sobald Multi-Faktor-Authentifizierung zum Einsatz kommt, laufen die ausgeklügelten Kampagnen zum Abgreifen der Login-Daten ins Leere.

Im Jahr 2017, in einer Zeit, in der keine Woche ohne größere Sicherheitsvorfälle vergeht, ist es schlicht leichtsinnig, seine Netzzugänge nicht mit einem zweiten Faktor zu sichern. Egal ob es eine SMS auf das Handy ist, ein externer oder interner Smartcard-Leser oder ein Zertifikat auf dem Endgerät. Wenn Zugangsdaten nicht mehr durch einen Keylogger aus der Ferne abgegriffen werden können, erschwert es Angriffe ungemein. Bei Virtual Private Networks gehört 2FA oder MFA mittlerweile auch überwiegend zur Grundausstattung, das Konzept ist also verstanden und wird auch von den Mitarbeitern akzeptiert, wenn Ihnen der Grund und die potentiellen Gefahren erläutert werden. Das führt natürlich zum nächsten großen Aufgabengebiet: Nur wenn die Mitarbeiter begreifen, dass sie im Visier von Cyberkriminellen sind und angegriffen werden können, kann man von ihnen ein entsprechend besonnenes Verhalten erwarten. Zu oft herrscht im Unternehmen die Einstellung vor, dass man zwar wichtige Systeme handhabt, aber persönlich keinen Bezug zur Sicherheit hat. Das Gefühl für die allgegenwärtige Bedrohung und die möglichen Folgen ist nicht vorhanden – solange noch nichts passiert ist. IT-Abteilung und Management müssen den Mitarbeitern zusammen die Bedeutung vom richtigen Umgang mit den potentiellen Bedrohungen vermitteln. Neben technischen Mitteln wie der 2-Faktor-Authentifizierung können Schulungen und Awareness-Kampagnen das Bewusstsein für die Gefahren schärfen.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.