MFA-Fatigue-Attacken erfolgreich begegnen

Da Cyberattacken immer weiter zunehmen, ist es in vielen Bereichen bereits Pflicht, mehr als nur eine Authentifizierungsmaßnahme (Multi-Faktor-Authentifizierung) zu ergreifen. Doch haben Hacker mittlerweile eine Technik entwickelt, diese zu umgehen: den MFA-Fatigue-Angriff. Sicherheitsexperte CyberArk zeigt auf, welche Varianten derzeit auftreten und welche Abwehrmaßnahmen helfen.

(PDF)
Cyber security information and network protection concept with bright glowing digital lock with keyhole inside on abstract technological background. 3D renderingCyber security information and network protection concept with bright glowing digital lock with keyhole inside on abstract technological background. 3D renderingWho is Danny – stock.adobe.com

Zu den aktuell größten Cybergefahren zählen Phishing-Angriffe. Fast täglich sind dabei neue Varianten zu beobachten. Je schützenswerter die Daten sind, desto wichtiger ist also eine Multi-Faktor-Authentifizierung (MFA). Neben der E-Mail-Adresse oder einem anderen Benutzernamen, sind für die Authentifizierung dann beispielsweise ein Kennwort und biometrische Daten oder ein Einmal-Code erforderlich.

Die CyberArk Labs haben fünf gängige Phishing-Attacken der jüngsten Vergangenheit identifiziert. Darauf aufbauend gibt CyberArk folgende Tipps zur Verringerung der Cyberrisiken:

1. SMS- und Voice-Phishing

MFA-Fatigue-Attacken, die SMS- und Voice-Phishing nutzen, um sich als vertrauenswürdige Quellen auszugeben „ermüden“ die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Da die Angreifer immer wieder neue Wege finden, um MFA-Anwendungen und Sicherheitskontrollen zu umgehen, empfiehlt sich die Nutzung von Phishing-resistenten MFA-Faktoren wie FIDO, QR-Codes oder physischen Tokens, um diese Bemühungen zu vereiteln.

Eine wirkungsvolle Abwehrmethode gegen MFA-Fatigue-Attacken ist auch die Änderung der MFA-Konfiguration. So können zum Beispiel Push-Benachrichtigungen durch One-Time Passwords (OTPs) ersetzt werden. Die OTP-Nutzung ist zwar weniger komfortabel, kann aber das MFA-Fatigue-Risiko minimieren.

Ein benutzerfreundlicherer Ansatz besteht darin, für eine erfolgreiche MFA-Authentifizierung einen Nummernabgleich zu verlangen. Dabei wird Benutzern, die auf MFA-Push-Benachrichtigungen mit der Authenticator-App antworten, eine Zahlenfolge angezeigt. Sie müssen sie in die App eingeben, um den Prozess abzuschließen.

2. Social-Engineering-Angriffe

Eine wirksame Methode zum Schutz vor Social Engineering sind Security-Awareness-Trainings für die Mitarbeiter. Routinemäßig sollten Schulungen durchgeführt werden, um das sicherheitsbewusste Verhalten in der Unternehmenskultur zu verankern und die Mitarbeiter über die Entwicklung von Social-Engineering- und Phishing-Angriffstechniken zu informieren.

Aber auch technische Schutzmaßnahmen müssen getroffen werden. Dazu zählt etwa die Nutzung von Spam-Filtern, die verhindern, dass verdächtige E-Mails oder unerwünschte Anhänge wie Gewinnspiele oder infizierte Bewerbungen in die Posteingänge der Mitarbeiter gelangen.

3. Identitätskompromittierung durch Diebstahl von Zugangsdaten

Awareness-Kampagnen können nicht immer verhindern, dass ein Benutzer Opfer eines Phishing wird – zum Beispiel durch Man-in-the-Middle-Angriffe. Folglich muss eine Verteidigungsstrategie auch ein Endpoint Privilege Management beinhalten, das die clientseitigen Credentials schützt und den Diebstahl von Cookies verhindert, der ein MFA-Bypassing ermöglichen kann.

4. Seitwärtsbewegungen von Angreifern im Netzwerk

Hacker bewegeben sich oft "seitwärts" im Netzwerk, um weitere Systeme und Server zu kompromittieren und die Zugriffsrechte auszuweiten – bis hin zu Domain-Controllern.

Eine Abwehrmaßnahme dagegen ist die Durchsetzung des Least-Privilege-Prinzips in der gesamten Infrastruktur, auch im Hinblick auf Anwendungen und Daten. Hier kommen intelligente Berechtigungskontrollen ins Spiel, die den Zugriff für alle Identitäten verwalten, sichern und überwachen.

5. Datenexfiltration

Bei einem der jüngsten Phishing-Vorfälle versuchten Angreifer, wieder in das Netzwerk einzudringen, nachdem sie Daten gestohlen hatten, aber anschließend entdeckt worden waren. Dabei zielten sie auf Mitarbeiter ab, die nach dem obligatorischen Zurücksetzen der Anmeldedaten möglicherweise nur einzelne Zeichen an ihren Passwörtern geändert hatten.

Die Angreifer waren in diesem Fall nicht erfolgreich, aber er zeigt, wie wichtig sichere Passwortverfahren sind. Idealerweise wird dabei eine Lösung genutzt, die automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert.

„Phishing hat eine neue Stufe der Innovation erreicht. Die jüngsten Ereignisse zeigen, wie weit Angreifer gehen, um ihre ahnungslosen Opfer zu täuschen. Betroffen sind auch solche Mitarbeiter, die denken, dass sie dank MFA gefahrlos agieren“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk.

Ein wirksamer Anti-Phishing-Schutz müsse deshalb einerseits technische Lösungen umfassen und andererseits auch die menschliche Komponente berücksichtigen, so Kleist weiter. Schließlich sei davon ausgehen, dass unerwünschte Klicks letztlich immer unvermeidlich seien.

Folglich sollten auch Bedrohungen prinzipiell frühzeitig erkannt werden, bevor ein größerer Schaden entsteht. Außerdem müsse die Security mehrstufig aufgebaut sein, um im Falle des Falles den Angreifer in der nächsten Verteidigungslinie abfangen zu können.

(PDF)

LESEN SIE AUCH

Sören Brokamp, Leiter Produktmanagement und Underwriting Cyber der HDI VersicherungSören Brokamp, Leiter Produktmanagement und Underwriting Cyber der HDI VersicherungHDI
Cyber

Cyberstudie: Heilberufe unterschätzen Präventionspotenzial – Angriffsziel Patientendaten

Cyberangriffe auf Arztpraxen und andere Heilberufe sind keine Ausnahme mehr, sondern Teil einer bedrohlichen Normalität – das zeigt die aktuelle Cyberstudie 2024 der HDI Versicherung. Gerade die besonders sensiblen Patientendaten rücken medizinische Einrichtungen verstärkt ins Visier von Cyberkriminellen.

Cloud computer and cyber security backgroundCloud computer and cyber security backgrounddenisismagilov – stock.adobe.com
Digitalisierung

Defense-in-Depth heißt das Gebot der Stunde

Um sich vor immer raffinierteren Cyberangriffen zu schützen, reichen klassische Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung oder Antivirenprogramme nicht aus. Unternehmen müssen deshalb einen Defense-in-Depth-Ansatz verfolgen und dabei vor allem die Sicherung von Identitäten und von privilegierten Zugriffen in den Mittelpunkt stellen, meint Sicherheitsexperte CyberArk.
Cyberrisiken: Jeder siebte Betrieb verliert mindestens einen ArbeitstagCyberrisiken: Jeder siebte Betrieb verliert mindestens einen ArbeitstagDALL-E
Cyber

Cyberrisiken: Jeder siebte Betrieb verliert mindestens einen Arbeitstag

Cyberangriffe sind längst kein Randphänomen mehr: Eine neue Studie des Industrieversicherers QBE zeigt, dass jedes siebte mittelständische Unternehmen (14 Prozent) im vergangenen Jahr mindestens einen Arbeitstag durch einen Cybervorfall verloren hat. Besonders brisant: In fast 60 Prozent der Fälle war eine Schwachstelle in der Lieferkette ausschlaggebend.

safeAML bleibt in der deutschen AML-Landschaft bislang einzigartig.safeAML bleibt in der deutschen AML-Landschaft bislang einzigartig.Foto: Adobestock
Cyber

safeAML – Ein digitaler Brückenschlag im Kampf gegen Geldwäsche

Die Anforderungen an Banken zur Verhinderung von Geldwäsche steigen – sowohl in regulatorischer Hinsicht als auch hinsichtlich technischer Prozesse. Mit safeAML steht seit 2023 eine Plattform zur Verfügung, die genau hier ansetzt.

Unsere Themen im Überblick

Informieren Sie sich über aktuelle Entwicklungen und Hintergründe aus zentralen Bereichen der Branche.

Themenwelt

Praxisnahe Beiträge zu zentralen Themen rund um Vorsorge, Sicherheit und Alltag.

Wirtschaft

Analysen, Meldungen und Hintergründe zu nationalen und internationalen Wirtschaftsthemen.

Management

Strategien, Tools und Trends für erfolgreiche Unternehmensführung.

Recht

Wichtige Urteile, Gesetzesänderungen und rechtliche Hintergründe im Überblick.

Finanzen

Neuigkeiten zu Märkten, Unternehmen und Produkten aus der Finanzwelt.

Assekuranz

Aktuelle Entwicklungen, Produkte und Unternehmensnews aus der Versicherungsbranche.

Die neue Ausgabe kostenlos im Kiosk

Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.

"Das Gesamtpaket muss stimmen"
Ausgabe 05/25

"Das Gesamtpaket muss stimmen"

Bernd Einmold & Sascha Bassir
„Im Vertrieb werden wir unsere Aktivitäten ausbauen und die Kapazitäten dafür verstärken”
Ausgabe 03/25

„Im Vertrieb werden wir unsere Aktivitäten ausbauen und die Kapazitäten dafür verstärken”

Dr. Florian Sallmann
"Schema F gibt es nicht mehr"
Ausgabe 10/24

"Schema F gibt es nicht mehr"

Michael Schillinger & Andreas Bahr
Kostenlos

Alle Ausgaben entdecken

Blättern Sie durch unser digitales Archiv im Kiosk und lesen Sie alle bisherigen Ausgaben des ExpertenReports. Zur Kiosk-Übersicht