Multi-Faktor-Authentifizierung

/in , , /von

Multi-Faktor-Authentifizierung oder auch kurz MFA, wird für Unternehmen, die Versicherungsschutz in der Sparte Cyber erhalten wollen, nun fast durchgängig als Minimalvoraussetzung genannt. Warum das so ist und welche Vorteile MFA für jedes einzelne Unternehmen bringt, soll hier kurz erläutert werden.

Sicherheitsrisiko „Kennwort“

Lange Zeit war die Wahl eines sicheren Kennworts die wichtigste Empfehlung zur Absicherung von Benutzer- und Online-Konten. Die Vorgaben für ein sicheres Passwort waren hier teilweise so praxisfremd und nicht selten führte dies dazu, dass bei jedem Einstieg in das Online-Konto, insbesondere, wenn man es nicht so oft nutzte, die Funktion „Passwort vergessen?“ genutzt werden musste. Auch führte dies oft dazu, dass wenn man sich ein „sicheres“ Passwort merken konnte, dies für eine Vielzahl von Diensten verwendet wurde.

Auch wenn die Passwörter grundsätzlich sicher gewählt waren, sind diese Passwörter häufig durch diverse Sicherheitslücken in öffentlichen Passwortlisten gelandet – somit waren alle Dienste für die man dieses Passwort genutzt hat potentiell kompromittiert.

Um diesem Problem entgegenzuwirken gibt es für fast jede Software, die in Unternehmensumgebungen eingesetzt wird, inzwischen die Möglichkeit die sogenannte Multi-Faktor-Authentifizierung zu aktivieren.

Wie funktioniert Multi-Faktor-Authentifizierung?

Anstatt nur ein Kennwort bei der Anmeldung abzufragen, erfolgt der Anmeldeprozess bei MFA mehrstufig. MFA erfordert, dass Benutzer bei der Anmeldung mehr als einen Benutzernamen und ein Passwort verwenden, um sich erfolgreich anzumelden. Dies erschwert das Hacken von Konten ungemein, insbesondere wenn die zusätzlichen Faktoren gut gewählt sind.

Faktoren für die Multifaktor-Authentifizierung

meistgenutzte Faktoren für die Multifaktor-Authentifizierung

Wissen – etwas, das der Nutzer weiß

In den meisten Fällen ist dieser Teil die erste Stufe der MFA – der Benutzer meldet sich mit seinem Benutzernamen und seinem Passwort bei dem Dienst an.

Weitere Wissensfaktoren können sein:

  • OTP (Einmalpasswörter – allerdings meist in Verbindung mit dem Faktor Besitz)
  • Antworten auf persönliche Sicherheitsfragen

Nachteil des Faktors Wissen ist, dass es für den Benutzer meist schwer zu merken ist, wenn es nicht zu erraten sein soll und auch nicht durch Ausprobieren ermittelbar sein soll. Diese Anforderungen führen oft dazu, dass die Passwörter nicht den vorgegebenen Richtlinien entsprechen, mehrfach verwendet werden, oder auch unsicher in der Nähe des Arbeitsplatzes notiert werden.

Besitz – etwas, das der Nutzer besitzt

Hier gibt es eine große Auswahl an Devices, die für den Nachweis dieses Faktors verwendet werden:

  • Einmalpasswörter über Smartphone-Apps
  • Einmalpasswörter per EMail oder SMS
  • Keycards, USB Sticks, Smart Cards
  • Smartwatches usw.

Der Nachteil hier ist, dass dieser Faktor immer mitzuführen ist und damit auch vergessen werden kann.

Inhärenz – etwas, das der Nutzer ist

Auch diese Faktoren sind schon lange im Einsatz:

  • Fingerabdruck
  • Gesichtserkennung
  • Stimmerkennung
  • Retina oder Iris-Scan
  • Verhaltensanalysen

Für das Lesen von diesen Merkmalen sind oft spezielle Geräte erforderlich und auch hier muss darauf geachtet werden, dass die verwendeten Faktoren fälschungssicher sind. Gerade in der Vergangenheit haben sich Hersteller entsprechender Lesegeräte nicht gerade mit Ruhm bekleckert, da die Geräte sehr leicht zu täuschen waren.

Man sieht, jeder einzelne Faktor hat für sich alleine genommen seine Schwächen und Nachteile. Hier kommt die Multifaktor-Authentifizierung ins Spiel.

Was macht MFA so viel besser?

Gängige Multi-Faktor-Authentifizierung nutzt immer eine Kombination von zwei oder mehr Zugangsnachweisen aus unterschiedlichen Faktorkreisen für die Prüfung der Zugangsberechtigung – die gängigsten Beispiele dafür sind:

  • Login mit Benutzername und Kennwort (Wissen) + Einmalpasswort per SMS/App (Besitz) (z.B. Online-Banking, Handy-Signatur)
  • Login mit Benutzername und Kennwort (Wissen) + Entsperren des Smartphones (Besitz) (z.B. Google Accounts)
  • Login mit Benutzername und Kennwort (Wissen) + Lesegerät für Smartcards (Besitz) (z.B. Bürgerkarte)

Diese Kombination verschiedener Faktoren macht es für die Angreifer viel schwerer auf die dadurch geschützten Dienste zuzugreifen. Gängige Bedrohungsszenarien durch einfachen Passwortdiebstahl sind damit ausgeschlossen:

  • Phishing: Erbeutung von Login-Informationen, indem User auf gefälschte Anmeldeseiten gelockt werden
  • Malware: Installation von Schadsoftware am PC des Users, um z.B. über Keylogger an die Anmeldeinformationen zu kommen
  • Brute-Force: wiederholte und systematische Eingabe von Nutzer-Passwort-Kombinationen
  • Credential-Hacking: Cyberkriminelle verwenden geleakte Benutzer- und Passwortlisten, um bereits veröffentlichte Kombinationen von Benutzername und Passwort automatisiert bei allen möglichen Diensten auszuprobieren.

All diese Methoden funktionieren möglicherweise für das Passwort, allerdings erlangt nur mit dem Passwort, wenn das Konto durch MFA geschützt ist, niemand vollen Zugriff auf das Konto.

Nachteile der Multi-Faktor-Authentifizierung?

Sie.ist.unbequem. bzw. hat sie zumindest diesen Ruf.

Bequemlichkeit soll allerdings keine Ausrede für mangelhafte Sicherheit (nicht nur) im Unternehmensnetzwerk sein. Auch gibt es aktuell bereits durchaus sehr benutzerfreundliche Wege, um das eigene Netzwerk mit MFA deutlich sicherer zu machen.

Ein weiterer Nachteil ist, dass es umständlich sein kann, Zugriff auf sein Konto zu erhalten, wenn der weitere Faktor, der für die Anmeldung erforderlich ist, verloren gegangen ist (z.B. das Handy oder die Zugangskarte wurden verlegt). In diesen Fällen muss dann meist die IT-Abteilung tätig werden oder es müssen zusätzliche Schritte ergriffen werden, um wieder Zugriff auf das eigene Konto zu erlangen.

Was hat MFA mit Cyber-Versicherung zu tun?

Versicherungsunternehmen, die Versicherungsschutz für Cyber-Angriffe bieten, haben ein verständliches Interesse daran, dass die Systeme Ihrer versicherten Kunden sicher sind. Vergangene Schadensfälle haben gezeigt, dass Unternehmen, welche (zumindest im Fernzugriff) Multi-Faktor-Authentifizierung verwenden, viel besser gegen Cyber-Angriffe gewappnet sind.

Während es vor 2 Jahren auch für mittelständische Unternehmen durchaus möglich war, Versicherungsschutz ohne umgesetzte MFA zu erlangen, ist dies heute in den meisten Fällen nicht mehr möglich.

Da die Multi-Faktor-Authentifizierung zwischenzeitlich für jede gängige Unternehmenssoftware zur Verfügung steht, ist es aufgrund der oben genannten Vorteile von MFA nur verständlich, dass von vielen Versicherungsgesellschaften MFA bereits zu den Mindestvoraussetzungen erhoben wurde (neben Backup, Firewall, etc.). Daraus leiten sich meist in der Folge auch Bestimmungen in den Versicherungsverträgen ab, welche eine Leistung ausschließen, wenn der Schaden durch fehlende Multi-Faktor-Authentifizierung verursacht oder verschlimmert wurde.

Auch wir sind der Meinung, dass gerade in diesen Zeiten, in denen auch  verstärkt auf die Unternehmensumgebungen aus dem Homeoffice zugegriffen wird, die Absicherung des eigenen Netzwerks durch MFA insbesondere bei Fernzugriffen unumgänglich ist.

Auch die Datenschutzbehörden fordern beim Zugriff auf sensible Daten die Absicherung des Zugriffs über MFA. In diesem Zusammenhang verweisen die Behörden auf die Bestimmungen der DSGVO, dass geeignete technische Maßnahmen beim Zugriff auf sensible Daten zu ergreifen sind. Ist dies nicht der Fall stehen entsprechend hohe Strafen für die Verantwortlichen im Raum.

Der Cloud-Ausfall – Top-Risiko für Unternehmen im 21. Jahrhundert

/in , , /von

Ca. 80% aller Unternehmen nutzen irgendeine Art von Dienst in der Cloud. Die Marktgröße von Angeboten in der Public Cloud hat mittlerweile die 400-Milliarden-Euro-Schwelle erreicht. Die Abhängigkeit von der digitalen Lieferkette vergrößert das Risiko bei einem Ausfall einen finanziellen Schaden zu erleiden. Gemäß Allianz-Riskbarometer 2022 sehen Unternehmen Cyber-Events und Betriebsunterbrechungen als die beiden größten Risiken – der Ausfall von Cloud-Providern zählt hierbei zu den meistgenannten Ursachen.

Im Versicherungsmarkt gibt es nun Lösungen diesen Risiken zu begegnen.

Wie wir Technologie verwenden ändert sich stetig und die Cloud ist eine dieser Entwicklungsschritte. Durch die Cloud-Technologie haben sich in den letzten Jahren neue Möglichkeiten erheben und sie wird  auch unsere künftige Arbeitsweise bestimmen. Was für die Wissenschaft bedeutet in die Vergangenheit des Universums zu blicken oder die nächste Pandemie vorauszusehen, führt in der Wirtschaft zur Anwendung von künstlicher Intelligenz und die jederzeit mögliche Auswertung riesiger Datenmengen – aber auch einfach zum sicheren Aufbewahren und ständiger Vorhalten von Dateien. Es gibt zahlreiche Anwendungsmöglichkeiten und die Cloud ermöglicht es Unternehmen, egal welcher Größe und Struktur, auf Dienste zuzugreifen, welche vor einigen Jahren für viele noch unerschwinglich waren. Dieses Angebot, die relativ einfache Handhabung, modernste Sicherheitsstandards und Flexibilität sorgen für eine stetig wachsende Nachfrage.

Neben Private Clouds, welche von einem Unternehmen exklusiv genutzt werden, ist es insbesondere der Bereich der Public Cloud, welcher ein starkes Wachstum vorweist. Cloud-Speicher, Backuplösungen, Textbearbeitung und digitale Arbeitsplätze sind allgegenwertig.

Die 3 großen Cloud-Anbieter

Die drei großen Anbieter, die diesen Markt dominieren und gemeinsam auf einen Anteil von rund 70% kommen, sind AWS (Amazon Web Services), GCP (Google Cloud Platform) und Microsoft Azure.

 

Die Idee von einer Cloud Rechenleistung und Speicherplatz zu mieten, stammt bereits aus dem Jahr 1955 als Computer für Unternehmen noch kaum finanzierbar waren. Im letzten Jahrzehnt hat sich die Cloudnutzung an die Spitze der Technologie-Trends gesetzt. Dies hat dazu geführt, dass heute im Sekundentakt Services über die Cloud bereitgestellt werden und Unternehmen zwischen mehr als 1.400 Services wählen können. Dies hat allerdings auch zur Folge, dass Cloud-Ausfälle beträchtliche finanzielle Einbußen und hohe Mehrkosten verursachen können.

Die Cloud ist kein risikofreier Ort

Die Cloud besteht letzten Endes aus Rechenzentren, die durch Cloud-Anbieter betrieben werden. Die Anbieter verteilen ihre Rechenzentren auf Regionen und um die einzelnen Regionen zuverlässiger zu gestalten, zusätzlich auf Verfügbarkeitszonen. Regionen sind geographische Gebiete, welche meist aus mehreren Verfügbarkeitszonen bestehen. Eine Verfügbarkeitszone ist jeweils ein eigenes Rechenzentrum mit eigener Stromversorgung, Kühlung und Netzwerkanschluss, um auch gegen Infrastrukturrisken und technisches Versagen von Komponenten gewappnet zu sein.

Rechenzentren, auch die in der Cloud, sind nach wie vor physische Orte und entsprechend können Ereignisse wie ein Brand, eine Überschwemmung oder auch ein Kurzschluss zu Ausfällen führen. Hinzu kommen Risiken bei der Installation von Updates, Netzwerkfehler oder auch Bedienfehler durch Mitarbeiter. Nicht zu vergessen sind Netzwerksicherheitsverletzungen. Auch die Cloud ist nicht vollständig vor Hackerangriffen und Co gefeit.

Eine große Rolle bei der Ausfallsicherheit von Cloud-Lösungen spielt die Vertragsgestaltung. Die Nutzung mehrerer Verfügbarkeitszonen und im Idealfall mehrerer redundanter Regionen reduziert die Ausfallwahrscheinlichkeit enorm. Wird jedoch für einen Service nur eine Region und gegebenenfalls sogar nur eine Verfügbarkeitszone gebucht, so sind mehrere Ausfälle über das Jahr wahrscheinlich. Betrachtet man von Cloud-Anbietern ausgegebene Verfügbarkeitsangaben, welche in den Service Level Agreements zu finden sind, bedeuten 99,8% Verfügbarkeit über das Jahr bereits mehr als 17 Stunden Ausfallzeit pro Jahr.

Die Absicherung von Restrisiken gehört zum Risikomanagement eines jeden Unternehmens

Eine volle Georedundanz kostet je nach genutzten Services viel Geld. Doch auch, wenn man in eine solche technische Lösung investiert, besteht keine 100%ige Sicherheit keinen Ausfall zu erleiden. Wie so oft bietet eine Versicherung die Möglichkeit zur finanziellen Absicherung vorhandener Restrisiken. Einzelne Cyber-Versicherer haben in ihren Produkten einen optionalen Versicherungsbaustein für Cloudnutzung. Jedoch wird Versicherungsschutz oftmals nur für Schäden durch Netzwerksicherheitsverletzungen (z.B. Schadsoftware, Hackerangriff)  geboten und eine Wartezeit von 10 bis 12 Stunden sowie eine Entschädigungsgrenze vereinbart. Das wirkliche Risiko bei Cloudausfällen liegt jedoch zum einen in den immer wieder vorkommenden kürzeren Ausfällen unter 10 Stunden und dem sehr unwahrscheinlichen, aber möglichen Großschadenszenario bspw. In Form der Zerstörung eines gesamten Rechenzentrums wie bei einem Brand 2021 in Straßburg.

Für die häufigeren Schäden zwischen einer Stunde und bis zu 18 Stunden Ausfallzeit bietet seit kurzem Parametrix eine innovative Lösung in Form einer parametrischen Cloud-Ausfallversicherung.

Vorteile einer parametrischen Versicherung

Bei einer parametrischen Versicherung wird ein Index festgelegt, der über den Eintritt des Versicherungsfalls bestimmt. In diesem Fall ist es ein System des israelischen Unternehmens Index Parametrix Solutions, welches die Verfügbarkeit der Cloud-Services global und in Echtzeit überwacht. Wird ein Ausfall registriert, werden die versicherten Kunden durch Parametrix informiert und nach Bestätigung von dem Ausfall betroffen gewesen zu sein, erfolgt eine zeitnahe Auszahlung der vereinbarten Summe. Diese Versicherungssumme wird vorab bestimmt und berücksichtigt neben dem direkt erlittenen Umsatzausfall auch zusätzliche Kosten, wie beispielsweise Mehraufwand oder notwendige Marketingmaßnahmen zur Vermeidung von Reputationsverlusten.

Ablauf einer parametrischen Versicherung

Ablauf einer parametrischen Versicherung

Vergleich zur „klassischen“ Cyber-Versicherungen:

  • Während eine Cyber-Versicherung sich oftmals auf die IT-Infrastruktur des Versicherungsnehmers fokussiert, steht bei Parametrix die Cloud-Infrastruktur und somit der Cloud-Anbieter im Mittelpunkt. Dies führt dazu, dass keine Fragen zu vorhandenen IT-Sicherheitsvorkehrungen oder Zertifizierungen erfolgen, was die Risikoprüfung deutlich verschlankt.
  • Die geringen Wartezeiten bei Parametrix und der Allgefahren-Ansatz, was die Ursache für die Nicht-Verfügbarkeit des Cloud-Services angeht, sind ebenfalls Unterscheidungsmerkmale.
  • Eine wirkliche Innovation bildet abschließend der parametrische Ansatz mit proaktiver Information und schneller Auszahlung.

Ersetzt die Cloud-Ausfallversicherung von Parametrix zukünftig eine Cyber-Versicherung?

Nein, zumindest in den wenigsten Fällen. Vielmehr ergänzen sich beide Lösungen hervorragend. Hinzuweisen ist in diesen Fällen auf die weiteren Bausteine einer Cyber-Versicherung, die Forensik und der Schutz bei Angriffen auf die eigene Infrastruktur des Versicherungsnehmers. Gleichfalls ist der neuartige Versicherungsschutz von Parametrix für alle Unternehmen empfehlenswert, deren Wertschöpfung in irgendeiner Weise abhängig von Cloud-Services ist.

Sie möchten mehr Informationen?

INFINCO bietet am 09.03.2022 ein Webinar zu dem Thema an – seien sie dabei, und lassen Sie sich über diese neuartige Form der Versicherung informieren – die Teilnahme ist kostenlos.

Zur Anmeldung

CYBER-NEWS: Alarmstufe Rot – Exchange-Sicherheitslücken führen zu Angriffen

/in , /von

„Sofortiges Handeln notwendig“ – das fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hacker greifen gleich über mehrere Sicherheitslücken Microsoft-Exchange-Server an. Prüfen Sie, ob Sie betroffen sind und informieren Sie jetzt Ihre Bestandskunden. Weiterlesen

D&O – Paradigmenwechsel im Underwriting

/in , /von

Während es im individuellen D&O-Underwriting für viele Unternehmen nun STOP für den Versicherungsschutz heißt, werden diese Kunden über Onlineportale froh und munter weiterversichert. Wie gefährlich dies für Makler und Kunden sein kann, zeigt sich im Schadensfall.

Weiterlesen