Microsoft und große Cloud-Anbieter beginnen damit, Schritte zu unternehmen, um ihre Geschäftskunden auf sicherere Formen der Authentifizierung und die Beseitigung grundlegender Sicherheitslücken umzustellen – etwa die Verwendung von Benutzernamen und Passwörtern über unverschlüsselte Kanäle für den Zugriff auf Cloud-Dienste.
Microsoft wird beispielsweise ab dem 1. Oktober die Möglichkeit zur Verwendung der Basisauthentifizierung für seinen Exchange Online-Dienst entfernen und verlangt von seinen Kunden stattdessen die Verwendung einer tokenbasierten Authentifizierung. Google hat inzwischen 150 Millionen Menschen automatisch für seinen zweistufigen Verifizierungsprozess registriert, und der Online-Cloud-Anbieter Rackspace plant, Klartext-E-Mail-Protokolle bis Ende des Jahres abzuschalten.
„Die Fristen sind eine Warnung für Unternehmen, dass die Bemühungen, ihren Zugang zu Cloud-Diensten zu sichern, nicht länger aufgeschoben werden dürfen“, sagt Pieter Arntz, Malware-Intelligence-Forscher bei Malwarebytes hat kürzlich einen Blogbeitrag verfasst Hervorhebung der bevorstehenden Frist für Benutzer von Microsoft Exchange Online.
„Ich denke, das Gleichgewicht verschiebt sich dahingehend, dass sie das Gefühl haben, die Benutzer davon überzeugen zu können, dass die zusätzliche Sicherheit in ihrem besten Interesse ist, und gleichzeitig versuchen, Lösungen anzubieten, die immer noch relativ einfach zu verwenden sind“, sagt er. „Microsoft ist oft ein Trendsetter und hat diese Pläne schon vor Jahren angekündigt, aber es gibt immer noch Unternehmen, die Schwierigkeiten haben, die richtigen Maßnahmen zu ergreifen.“
Identitätsbezogene Verstöße nehmen zu
Während einige sicherheitsbewusste Unternehmen die Initiative ergriffen haben, den Zugriff auf Cloud-Dienste zu sichern, müssen andere dazu angehalten werden – etwas, das Cloud-Anbieter, wie Microsoft, sind zunehmend dazu bereit, insbesondere da Unternehmen mit immer mehr identitätsbezogenen Verstößen zu kämpfen haben. Im Jahr 2022 erlitten 84 % der Unternehmen einen identitätsbezogenen Verstoß, gegenüber 79 % in den beiden Jahren zuvor, so die Studie Identitätsdefinierte SicherheitsallianzBericht „Trends zur Sicherung digitaler Identitäten 2022“.
Das Ausschalten grundlegender Formen der Authentifizierung ist eine einfache Möglichkeit, Angreifer zu blockieren, die zunehmend Credential Stuffing und andere Massenzugriffsversuche als ersten Schritt zur Kompromittierung ihrer Opfer einsetzen. Unternehmen mit schwacher Authentifizierung sind anfällig für Brute-Force-Angriffe, den Missbrauch wiederverwendeter Passwörter, den Diebstahl von Anmeldeinformationen durch Phishing und gehackte Sitzungen.
Und sobald Angreifer Zugriff auf die E-Mail-Dienste des Unternehmens erhalten haben, können sie vertrauliche Informationen herausfiltern oder schädliche Angriffe wie Business Email Compromise (BEC) und Ransomware-Angriffe durchführen, sagt Igal Gofman, Forschungsleiter bei Ermetic, einem Anbieter von Identitätssicherheit für die Cloud Dienstleistungen.
„Der Einsatz schwacher Authentifizierungsprotokolle, insbesondere in der Cloud, kann sehr gefährlich sein und zu großen Datenlecks führen“, sagt er. „Nationalstaaten und Cyberkriminelle missbrauchen ständig schwache Authentifizierungsprotokolle, indem sie verschiedene Brute-Force-Angriffe gegen Cloud-Dienste ausführen.“
Die Vorteile einer Erhöhung der Authentifizierungssicherheit können unmittelbare Vorteile haben. Google hat herausgefunden, dass die automatische Registrierung von Personen im Rahmen seines zweistufigen Verifizierungsprozesses erfolgt führte zu einem Rückgang der Kontokompromittierungen um 50 %. Laut dem IDSA-Bericht „43 Trends in Securing Digital Identities“ glaubt ein erheblicher Teil der Unternehmen, die einen Verstoß erlitten haben (2022 %), dass eine Multifaktor-Authentifizierung die Angreifer hätte stoppen können.
Auf dem Weg zu Zero-Trust-Architekturen
Darüber hinaus Cloud und Zero-Trust-Initiativen haben das Streben nach sichereren Identitäten vorangetrieben, wobei mehr als die Hälfte der Unternehmen im Rahmen dieser Initiativen in Identitätssicherheit investiert, so die Technische Arbeitsgruppe der IDSA in einer E-Mail an Dark Reading.
Bei vielen Unternehmen wurde die Abkehr von einfachen Authentifizierungsmechanismen, die lediglich auf den Anmeldeinformationen eines Benutzers basieren, durch Ransomware und andere Bedrohungen vorangetrieben, die Unternehmen dazu veranlasst haben, ihre Angriffsfläche zu minimieren und die Abwehrmaßnahmen dort zu verstärken, wo sie können, so die technische Arbeit der IDSA Gruppe hat geschrieben.
„Während die Mehrheit der Unternehmen ihre Zero-Trust-Initiativen beschleunigen, implementieren sie, wo möglich, auch eine stärkere Authentifizierung – obwohl es überraschend ist, dass es immer noch einige Unternehmen gibt, die mit den Grundlagen zu kämpfen haben oder [die] Zero Trust noch nicht eingeführt haben, Sie bleiben ungeschützt“, schrieben die dortigen Forscher.
Hindernisse für die Sicherung von Identitäten bleiben bestehen
Jeder große Cloud-Anbieter bietet Multifaktor-Authentifizierung über sichere Kanäle und die Verwendung sicherer Token wie OAuth 2.0. Auch wenn die Aktivierung der Funktion einfach sein mag, kann die Verwaltung des sicheren Zugriffs zu einem Mehraufwand für die IT-Abteilung führen – etwas, worauf Unternehmen vorbereitet sein müssen, sagt Arntz von Malwarebytes.
Unternehmen „scheitern manchmal daran, zu verwalten, wer Zugriff auf den Dienst hat und welche Berechtigungen sie benötigen“, sagt er. „Es ist der zusätzliche Arbeitsaufwand für das IT-Personal, der mit einer höheren Authentifizierungsstufe einhergeht – das ist der Flaschenhals.“
Forscher der Technischen Arbeitsgruppe der IDSA erklärten, dass auch die veraltete Infrastruktur eine Hürde darstellt.
„Während Microsoft schon seit einiger Zeit damit beschäftigt ist, seine Authentifizierungsprotokolle weiterzuentwickeln, hat die Herausforderung der Migration und Abwärtskompatibilität für ältere Apps, Protokolle und Geräte deren Einführung verzögert“, stellten sie fest. „Es ist eine gute Nachricht, dass das Ende der Basisauthentifizierung in Sicht ist.“
Außerdem zögern verbraucherorientierte Dienste, sicherere Ansätze zur Authentifizierung einzuführen. Während Googles Schritt die Sicherheit für viele Verbraucher verbessert hat und Apple die Zwei-Faktor-Authentifizierung für mehr als 95 % seiner Nutzer aktiviert hat, verwenden die meisten Verbraucher die Multi-Faktor-Authentifizierung weiterhin nur für einige wenige Dienste.
Während fast zwei Drittel der Unternehmen (64 %) Initiativen zur Sicherung digitaler Identitäten als eine ihrer drei obersten Prioritäten im Jahr 2022 identifiziert haben, haben laut dem IDSA-Bericht nur 12 % der Unternehmen eine Multifaktor-Authentifizierung für ihre Benutzer implementiert. Unternehmen möchten diese Option jedoch anbieten: 29 % der verbraucherorientierten Cloud-Anbieter implementieren derzeit eine bessere Authentifizierung und 21 % planen dies für die Zukunft.
