Benutzeridentität gesichert verifizieren

Jakob Jung,
Was ist ein Brand Voice ?

Hacker nutzen zunehmend gefälschte Identitäten, um Daten zu stehlen und Geld zu erpressen. Das Helpdesk spielt eine entscheidende Rolle dabei, Benutzer korrekt zu identifizieren und Attacken abzuwehren. In diesem dritten Teil einer dreiteiligen Serie möchten wir die Möglichkeiten der Benutzeridentifizierung in einer abgestimmten Sicherheitsstrategie aufzeigen.

Bildquelle: iStock-1061298736

Im ersten Teil unserer dreiteiligen Serie unter dem Titel, Active Directory Passwörter richtig auditieren haben wir geschildert, welche Compliance-Vorgaben Unternehmen in Bezug auf Passwörter erfüllen müssen. Im zweiten Teil, So richten Sie Richtlinien für Active Directory Passwörter ein ging es darum, Passwortrichtlinien zu planen und diese in Absprache mit Betriebsrat und Unternehmensführung umzusetzen. Jetzt wollen wir uns der Rolle des Helpdesks zuwenden.

Hybride Arbeitswelt

Die Arbeitswelt hat sich in den beiden letzten Jahren dramatisch verändert. Die neue Normalität wird hybrid sein mit einer Mischung aus traditionellem Büro und Homeoffice. Der Digitalverband Bitkom urteilt: So legen Bitkom-Studien nahe, dass hybride Arbeitsmodelle mit zwei bis drei Tagen Büroarbeit und im Übrigen mobiler Arbeit eher das New Normal als die Ausnahme sein werden. Durch die Transformation hin zu hybriden oder möglicherweise sogar ganz mobilen Arbeitsmodellen ergeben sich neue Anforderungen u. a. an Mitarbeitende und Führungskräfte, den rechtlichen Rahmen und die Informationssicherheit.

Das bedeutet, dass Administratoren die Mitarbeiter ihres Unternehmens häufig nicht von Angesicht zu Angesicht kennen, selbst wenn es sich nur um etwas mehr als 100 Personen handelt. Dies wiederum nutzen Cyberverbrecher aus, um sich die Identität von Angestellten anzueignen und unter Vorspiegelung falscher Tatsachen in das Unternehmensnetzwerk einzudringen.

Attacke auf Electronic Arts

Ein spektakuläres Beispiel für eine solche Attacke war im Juni 2021 der Cyberangriff auf den weltweit größten Anbieter von Computerspielen Electronic Arts. Ein Hacker gab sich als Angestellter aus und legte den IT-Support damit herein. So gelang es, 780 GB an Daten zu erbeuten, einschließlich des Quellcode des Flaggschiffproduktes FIFA 2021. Es handelte sich um eine ausgefeilte Attacke mit mehreren Stufen. Die Angreifer griffen mittels eines Cookies, das sie im Dark Web gekauft hatten, auf den Slack Channel des IT-Supports zu. Mit einer gefälschten Mitarbeiteridentität überzeugten die Angreifer den IT-Support, ein authentifiziertes Zugangstoken herauszugeben, mit dem sie auf das Netzwerk und das geistige Eigentum zugreifen konnten.

Um solche Attacken abzuwehren, müssen die Helpdesk-Fachkräfte in der Lage sein, genau festzustellen, wer eigentlich am anderen Ende der Telefonleitung oder des Teams-Chats sitzt. Das wird immer schwieriger, denn die Angreifer werden immer raffinierter und benutzen Techniken wie Business E-Mail Compromise (BEC) mit Deepfakes, also Stimm- oder Gesichtsfälschung mittels Künstlicher Intelligenz (KI).

Laut einer von Specops Software durchgeführten Studie (März 2021) nutzen 48 Prozent aller Unternehmen keine Verifizierungstechniken am Helpdesk. Von den 41 Prozent Verifizierungsanwendern verlassen sich 25 Prozent auf Active Directory Informationen mit Sicherheitsabfragen, 22 Prozent auf die Benutzer-ID und nur neun Prozent auf die Authentifizierungsangebote von Drittanbietern sowie Biometrie. Letztere sind die besten Methoden.

Gefahr durch Social Engineering

Helpdesks müssen sich häufig mit Anfragen zum Zurücksetzen von Passwörtern auseinandersetzen. Dies verursacht erhebliche Kosten und stellt ein weiches Ziel für Hacker dar, die die Helpdesk-Mitarbeiter gezielt unter Druck setzen, indem sie beispielsweise am Montagmorgen anrufen, wenn Hochbetrieb herrscht. Die Angreifer holen sich Informationen aus sozialen Medien wie LinkedIn, Facebook oder Instagram, um möglichst glaubwürdig zu wirken (Social Engineering). Beispielsweise reichen ein paar Blicke in die Facebook- oder Instagram Galerie, um herauszufinden, dass das Lieblingshobby Angeln ist oder welchen Film der Anwender am liebsten mag. In professionellen Netzwerken wie Xing oder LinkedIn lassen sich Informationen über den beruflichen Werdegang oder die Kollegen abgreifen.

Sichere Methoden gefragt

Es ist also eine sichere und effektive Methode gefragt, um Helpdesk-Anfragen zu bewältigen. Eine Antwort lautet Multi-Faktor-Authentifizierung mittels Self-Service, aber dennoch ist oft noch der direkte Kontakt zum Helpdesk erforderlich. Grundsätzlich kommt es darauf an, mehr als eine Authentifizierungsmethode anzuwenden. Dafür gibt es drei Faktoren: „Was besitzt der Anrufer (ein bestimmtes Gerät), was weiß er (eine Sicherheitsfrage) und wer ist er (Biometrie mit Fingerabdruck und/oder Gesichtserkennung).“ Optimal ist es, verschiedene Authentifizierungsmethoden miteinander zu kombinieren. Bieten Sie Ihren Anwendern einen Methodenmix an, aus denen sie sich ihre bevorzugten Methoden auswählen können, also eine flexible Multi-Faktor-Authentifizierung. Dies ist gleichzeitig ein Backup, wenn etwas nicht klappt, beispielsweise wenn verschwitzte Finger die Fingerabdruckerkennung ruinieren. In Zweifelsfalle sollte eine Kommunikations- und Freigabemethode mit dem direkten Vorgesetzten des Anrufers eingebaut sein.

Ein weiterer Angriffsvektor ist das Stehlen der Identität eines Helpdesk-Mitarbeiters. Um diese Gefahr abzuwenden, ist es ratsam, stets darauf zu bestehen, dass der Nutzer die bekannte Helpdesk-Nummer zurückruft. Ein sorgfältiges Training der Anwender ist nötig, damit sie sich immer an die vorgegebene Policy halten.

Specops Secure Service Desk – Hochsicherer Begleiter für Ihren IT-Helpdesk

Specops Secure Service Desk ermöglicht es Unternehmen, eine sichere Benutzerverifizierung durch den Service Desk Mitarbeiter zu gewährleisten. Sie können damit technische und organisatorische Maßnahmen (TOM) einführen, um erfolgreiche Social Engineering Angriffe auf Ihren Help Desk bestmöglich auszuschließen.

Die Benutzerverifizierung am Service Desk stützt sich häufig auf benutzerspezifische Informationen, die in Active Directory gespeichert sind. Sicherheitsfragen wie „Wie lautet Ihre Mitarbeiter-ID” sind üblich und können von Cyberkriminellen bei einem gezielten Social Engineering-Angriff leicht herausgefunden werden. Mit Specops Secure Service Desk können Sie die Benutzer mit unterschiedlichen Identitätsdiensten authentifizieren und gehen damit über eine wissensbasierte Authentifizierung hinaus.

Der IT-Helpdesk ist mit Specops Secure Service Desk in der Lage, Benutzer zweifelsfrei zu identifizieren. Bereits bestehende Identitätsdienste, wie zum Beispiel Duo Security, Okta Verify, PingID oder Symantec VIP können zusammen mit Secure Service Desk benutzt werden, um Anrufer zu verifizieren. Des Weiteren können Textnachrichten mit einem Einmalcode an die mit dem Benutzerkonto verknüpfte Mobilfunknummer gesendet werden.

Mit Specops Secure Service Desk kann der Servicedesk Benutzerauthentifizierungen durchsetzen und nachverfolgen. Damit gewährleistet Secure Service Desk, dass keine Informationen in die Hände von Personen gelangen, die hierfür nicht berechtigt sind. Dasselbe gilt für Passwort-Resets und Kontoentsperrungen. Verhindern Sie mit der Lösung von Specops Software, dass ein Passwort-Reset oder eine Kontoentsperrung für die falsche Person durchgeführt wird. Schützen Sie Konten mit hohen Sicherheitsanforderungen vor unberechtigten Zugriffen und um Compliance Regeln einzuhalten.

Mit Specops Secure Service Desk haben Sie verschiedene Möglichkeiten der Benutzerverifizierung

 

Mit Secure Service Desk können Sie Anrufer sicher mittels verschiedener Authentifizierungsmethoden verifizieren. Gibt sich ein Anrufer für eine andere Person aus, erschweren oder verhindern Sie den Zugang zu Informationen oder sicherheitskritischen Anwendungen wie dem Entsperren des Kontos oder der Rücksetzung des Kennwortes, indem Sie mit Hilfe von Secure Service Desk eine Verifizierung mit etwas verlangen, das der Benutzer hat, und nicht nur mit etwas, das der Benutzer oder ein Angreifer vielleicht weiß.

Zu den Funktionen zählen die

  • Sicherstellung der Benutzerverifizierung vor der Kennwortzurücksetzung oder Kontoentsperrung
  • Sichere Verfahren zur Benutzerüberprüfung, einschließlich Okta Verify, Symantec VIP und Duo Security
  • Mehrsprachige Unterstützung für Service-Desk-Mitarbeiter und Endnutzer
  • Systemnutzungsprüfung und Berichtsverfolgung
  • Anpassbare Benutzeroberfläche
  • Schlüsselfertige Unterstützung für das Entsperren von Benutzerkonten, das Zurücksetzen von Passwörtern und die Ausgabe von Verschlüsselungsschlüsseln
  • Konten entsperren und Passwörter zurücksetzen
  • Innerhalb der Service Desk-Schnittstelle können Service Desk Mitarbeiter erst dann Benutzerkonten sicher zurückzusetzen oder entsperren, wenn der Benutzer erfolgreich verifiziert wurde. Kombinieren Sie Secure Service Desk mit der Self-Service-Lösung Specops uReset zum Zurücksetzen von Passwörtern, um Benutzern bei der Entsperrung Ihres Kontos oder dem Zurücksetzen Ihres Passwortes zu helfen. Damit bieten Sie Endnutzern eine durchgängige User Experience, da für verschiedene Anwendungsfälle, in denen Benutzer verifiziert werden müssen, die gleichen Identitätsdienste verwendet werden.
Übersichtliches Dashboard in Secure Service Desk

 

Sie wollen die IT-Sicherheit in Ihrem Unternehmen erhöhen und die Gefahr von Social Engineering – Attacken minimieren? Dann vereinbaren Sie hier einen kostenlosen Termin für eine Produkt-Demo mit einem unserer Produktspezialisten. Weitere Informationen zu Specops Secure Service Desk und das Formular für eine Terminvereinbarung finden Sie hier.