Wenn der IT-Helpdesk zur Schwachstelle wird
Immer professioneller agierende Cyberkriminelle sind eine konstante Herausforderung für die IT-Sicherheit. Eine besondere Schwachstelle sind unzureichende Authentifizierungsmassnahmen. Das ist aber noch kein Grund, zu verzweifeln, denn es gibt Mittel und Wege für Unternehmen, sich effektiv zu schützen.
Laut dem Digitalverband Bitkom betrug 2022 der entstandene Gesamtschaden durch Cyberkriminalität 203 Milliarden Euro. Das war etwas weniger als im Vorjahr, aber es gibt keine Entwarnung. Neben Brute-Force-Attacken oder Passwort-Spraying werden auch Social-Engineering-Angriffe immer ausgereifter. Kriminelle versuchen, Mitarbeitende bewusst unter Druck zu setzen und zu manipulieren, um sie unwissentlich zu Komplizen eines Verbrechens zu machen. Daher sollte man unverzüglich handeln und den Helpdesk-Mitarbeitenden weitere Tools zur Authentifizierung an die Hand geben.
Am IT-Helpdesk ist Unterstützung gefragt
Unternehmen verfügen weiterhin über unzureichende Authentifizierungsmassnahmen und setzen sich so unnötigen Risiken aus. So haben laut Erhebungen von Specops Software lediglich 48 Prozent der Unternehmen eine Benutzerüberprüfungsrichtlinie für eingehende Anrufe an Service Desks. Ein Grund: der Aufwand. Handelt es sich dabei um einen Cyberkriminellen, der sich als Mitarbeiter ausgibt, um ein Passwort zurückzusetzen, dann kann diese fehlende Authentifizierung zu einem teuren Verhängnis werden. Daher ist es sinnvoll, technische Lösungen einzusetzen, mit denen Mitarbeitende ihre Passwörter selbstständig zurücksetzen können, ohne den IT-Support anrufen zu müssen, oder mit deren Hilfe die Verifizierung der Identität bei Kontakt mit dem Helpdesk mittels einer Multi-Faktor-Authentifizierung (MFA) möglich ist.
Social-Engineering-Angriffe mit Richtlinien und Tools verhindern
Setzen Unternehmen auf Software am Helpdesk, die eine Authentifizierung via MFA von Benutzerinnen und Benutzern verlangt (unabhängig davon, wie der Kontakt zum IT-Helpdesk aufgebaut wird), vereitelt das viele Social-Engineering-Angriffe. Vorausgesetzt, die Faktoren sind entsprechend sicher. Die simple Eingabe des Geburtsdatums oder anderer Daten, die öffentlich zugänglich sind, stellen keinen ausreichenden Schutz dar. Durch Open-Source-Intelligence-Tools (OSINT) können Angreifer viele solcher Schutzmechanismen überlisten, indem sie die notwendigen Informationen fälschen oder diese mit Open-Source-Tools aus dem Internet fischen.
Bei besonders wichtigen Benutzer-Accounts oder Usern mit vielen Privilegien ist es ratsam, mehrere Faktoren zu verlangen, die unterschiedlich gewichtet sind, wie etwa einen SMS-Code und eine zusätzliche Bestätigung der Identität des Antragstellers durch einen Vorgesetzten.
Letztlich geht es darum, sicherzustellen, dass auch die Authentifizierung des Anwenders so sicher wie nur möglich ist. Dank KI und der rasanten Entwicklungen im Bereich Deep-Fakes von Stimme und Aussehen (PDF) sollte man sich auch nicht mehr auf Audio- oder Videoaufnahmen verlassen. Nachdem der User erfolgreich und zweifelsfrei verifiziert wurde, können Benutzerkonten sicher zurückgesetzt oder entsperrt und so Social-Engineering-Angriffe erfolgreich verhindert werden.
Fazit
Trotz weltweit zunehmender Cyberattacken, wie Brute-Force, Passwort-Spraying oder Social Engineering sind Unternehmen durch den Einsatz von beispielsweise Softwarelösungen zur Benutzerverifizierung nicht machtlos.
Weitere Informationen finden Sie hier.
Über den Autor
Stephan Halbmeier verfügt über mehr als 25 Jahre Erfahrungen im Design & Betrieb globaler IT-Umgebungen. Unter anderem war er als Service Owner Global Active Directory & PKI Services und im Bereich IT Security & Compliance tätig. Bei Specops Software ist er als Product Specialist für die reibungslose Einführung der Produkte und technische Betreuung der Kunden verantwortlich.