Die Identität einer Person eindeutig zu bestimmen ist entscheidend, um sicherzustellen, dass nur autorisierte Anwender Zugriff auf Daten und Systeme haben. Aber wie gelingt das in Zeiten von Hybrid Work, dem zunehmenden Cloudeinsatz und fortschrittlichen Cyberangriffen? Eine einfache Authentifizierung mit Benutzername und Passwort reicht nicht mehr aus. Zu groß ist das Risiko, dass Login-Informationen abhandenkommen oder Anwender ihre Zugangsdaten versehentlich preisgeben. Laut dem Verizon Data Breach Investigations Report hängen 82 Prozent der Securityvorfälle mit kompromittierten Benutzerdaten zusammen. Das zeigt, wie wichtig es ist, beim Identitätsschutz nachzuschärfen.

Viele Unternehmen setzen daher auf ein Zero-Trust-Konzept und Multifaktor-Authentifizierung (MFA). Zero Trust bedeutet: Vertraue nichts und niemandem. Jeder Anwender und jedes System – ganz gleich ob intern oder extern – muss sich ausweisen, bevor er oder es Zugriff erhält. Niemand hat einen Vertrauensvorschuss. MFA ist eines der wichtigsten Instrumente, um Zero Trust umzusetzen. Dabei wird neben dem Nutzernamen und Passwort mindestens ein zweiter Authentifizierungsfaktor angefordert, um die Identität eines Anwenders eindeutig festzustellen. Das kann zum Beispiel ein Einmalkennwort sein, das der Anwender auf sein Smartphone bekommt, eine Zusatzfrage, die er beantworten muss, ein biometrisches Merkmal oder ein Hardware-Token, etwa eine Chipkarte.

MFA erhöht einerseits die Sicherheit, ist andererseits aber auch umständlich für die Anwender – insbesondere, wenn sie sich an mehreren Systemen anmelden und wiederholt authentifizieren müssen. Das führt irgendwann zu einem Ermüdungseffekt, den Cyberkriminelle ausnutzen, um die Sicherheitsvorkehrung auszuhebeln. Ein beliebter Trick sind sogenannten MFA-Fatigue-Attacken: Die Hacker fordern den Anwender wiederholt und teilweise automatisiert dazu auf, seine Anmeldung mit seinem zweiten Faktor zu bestätigen. Irgendwann ist der arme Mensch so genervt, dass er der Anweisung folgt, ohne genau hinzusehen. Manchmal flankiert sogar ein gefälschter Anruf die Betrugsmasche, in dem ein vermeintlicher neuer IT-Kollege erklärt, warum die Anmeldung nötig sei.

Da solche Angriffe häufig abends oder am Wochenende stattfinden, erreicht der Mitarbeiter meist niemanden mehr, um sich rückzuversichern. Um nicht auf MFA-Fatigue-Angriffe hereinzufallen, gibt es folgenden Tipp: Niemals den zweiten Faktor eingeben, wenn nicht zuvor eine korrekte Passwortabfrage erfolgte. Hat der Anwender den Vorgang nicht selbst gestartet, ist das ein klares Zeichen dafür, dass seine Zugangsdaten gestohlen wurden. Er sollte sein Passwort jetzt sofort ändern und das Securityteam informieren.

Eine Möglichkeit, das Risiko für MFA-Fatigue-Attacken zu reduzieren, ist Single Sign-on. Der Anwender muss sich dann nur noch einmal an einem zentralen Authentisierungsservice per MFA anmelden und erhält damit Zugriff auf alle angeschlossenen Systeme. Doch auch das schützt nicht vor gewieften Angreifern, denn in der kommerzialisierten cyberkriminellen Szene gibt es mittlerweile Spezialisten, die Phishing-as-a-Service (PhaaS) anbieten. Ein bekanntes Beispiel ist der Provider "Evil Proxy", vor dem auch das BSI im aktuellen Lagebericht warnt. Der böse Proxy ermöglicht seinen kriminellen Kunden hochprofessionelle, zielgerichtete Phishing-Angriffe.

Die Täuschungsmanöver sind so gut getarnt, dass Anwender ganz genau hinsehen müssen, um sie zu erkennen. Evil Proxy arbeitet mit der sogenannten "Adversary in the Middle"-(AITM)-Phishing-Methode, die an altbekannte Man-in-the-Middle-Angriffe (MITM) angelehnt ist. So funktioniert es: Der böse Proxy ahmt zum Beispiel die Microsoft-Authentifizierungsseite nach und schaltet sich zwischen den Anwender und die echte Authentifizierungsseite. Jetzt erhält der Anwender einen Link mit der Aufforderung, sich per MFA anzumelden. Für ihn sieht alles aus wie bei seinem üblichen Login-Prozess. Während er seine Daten auf der gefälschten Seite eingibt und mit seinem zweiten Faktor bestätigt, baut der Evil Proxy im Hintergrund eine Verbindung zum Microsoft-Server auf, sodass dieser die Freigabe erteilt.

Der Anwender merkt gar nicht, dass er Opfer eines Cyberangriffs wurde. Sobald die Kompromittierung erfolgreich war, erhalten die Angreifer in Echtzeit eine Benachrichtigung per Telegram-Messenger und können sofort weiter vorgehen. Zum Beispiel nutzt die Ransomware-Gruppe Black Basta die Services von Evil Proxy, um in Unternehmensnetzwerke einzudringen.

Das Gefährliche an AITM-Phishing-Angriffen ist, dass das Täuschungsmanöver für die Opfer nur an wenigen Stellen überhaupt auszumachen ist. Außerdem ist der Anmeldeprozess für sie so alltäglich, dass sie in der Situation keine Gefahr wittern. Umso wichtiger sind daher Trainings und Schulungen, die auf solche Risiken aufmerksam machen. Unternehmen müssen die Belegschaft dafür sensibilisieren, dass die Multifaktor-Authentifizierung kompromittiert sein kann.

Erhalten Anwender die Aufforderung, auf einen Link zu klicken und sich dann zu authentifizieren, sollten sie die Abfrage ganz genau begutachten. Eine mit Evil Proxy erstellte Eingabeseite lässt sich zum Beispiel an der URL erkennen, die nur auf den ersten Blick authentisch aussieht. Bei genauerer Betrachtung fallen jedoch Unstimmigkeiten auf – beispielsweise bei der Groß- und Kleinschreibung.

Mitarbeiterschulungen zu neuen Angriffsmethoden sind für den Identitätsschutz genauso wichtig wie moderne Technik. Auch sie haben jedoch ihre Grenzen, denn Securityteams können nicht jeden Monat Trainings durchführen. Das wäre zu aufwendig und würde die Belegschaft zu lange von der Arbeit abhalten. Aber selbst wer noch so gut aufgeklärt ist, macht einmal einen Fehler oder übersieht etwas – sei es aus Stress, Müdigkeit oder Unachtsamkeit.

Unternehmen brauchen daher auch einen Plan B, falls es Cyberkriminellen doch gelingt, Anwender auszutricksen. Ein gut ausgearbeitetes Zero-Trust-Konzept dämmt den Aktionsspielraum der Angreifer zumindest ein. Neben MFA ist dafür ein detailliertes Rollen- und Rechtemanagement wichtig. Jeder Anwender sollte nur die Zugriffsrechte erhalten, die er unbedingt für seine Arbeit benötigt. So lässt sich der Datenschutz einhalten und verhindern, dass Angreifer mit einem beliebigen Nutzerkonto sofort weitreichende Befugnisse erhalten. Außerdem sollten Securityteams festlegen, welche Verbindungen überhaupt ins Unternehmensnetzwerk erlaubt sind. Ein Mitarbeiter, der nur im Inland arbeitet, braucht zum Beispiel nur in Ausnahmefällen Zugriff aus dem Ausland. Ein Kollege, der viel in Europa unterwegs ist, dagegen häufiger. Aber muss er sich auch aus Russland oder China einwählen dürfen?

Indem Administratoren passende Rollen, Rechte, Einschränkungen und Ausnahmen definieren, erhöhen sie die Sicherheit. Dabei stehen sie vor verschiedenen Fragen: Welche Rollenprofile brauchen wir? Wie stringent sind diese und wie gut lassen sie sich in der IT abbilden? Je besser das Rollenkonzept, desto einfacher umsetzbar sind anschließend die Security-Policies. Allerdings wächst mit der Zahl der Mitarbeiter im Unternehmen auch der Aufwand, denn Administratoren müssen Berechtigungen nicht nur einmal zuweisen, sondern auch regelmäßig überprüfen und aktualisieren. Wie filigran das Rollen- und Rechtemanagement sein darf, hängt daher auch immer von den verfügbaren Ressourcen ab.

Um Identitätsschutz effizient und praktikabel zu gestalten, brauchen Unternehmen bestmögliche technische Unterstützung. Auch künstliche Intelligenz kann dabei helfen. Maschinelles Lernen in Kombination mit Bildanalyse kommt zum Beispiel bei der Erkennung von Phishing-Websites zum Einsatz. Die Technologie prüft Markenelemente, Anmeldeformulare und andere Website-Inhalte und führt die Informationen dann mit Elementen der Website-Reputation und optischen Zeichenerkennung (OCR) zusammen.

Auch bei der Abwehr von Business-E-Mail-Compromise (BEC) bietet sich der Einsatz von KI an. Solche Cyberangriffe täuschen E-Mails vor, die vermeintlich vom Chef oder einem hochrangigen Manager im Unternehmen stammen. Sie drängen den Mitarbeiter zum Beispiel dazu, eine hohe Summe auf ein Konto im Ausland zu überweisen – unter strikter Geheimhaltung, versteht sich. Laut der Auswertung von Trend-Micro-Telemetriedaten ist die Zahl der entdeckten BEC-Angriffe im Jahr 2023 um 16 Prozent gestiegen. Mit einer KI-gestützten Writing-Style-DNA-Analyse lässt sich das Risiko für solche Attacken reduzieren. Die Technologie prüft anhand der sprachlichen Merkmale im Text, ob eine Nachricht tatsächlich vom Chef stammt. Allerdings benötigt die KI im Vorfeld ein Training mit mindestens 500 echten E-Mails der Person, um ein verlässliches Profil zu erstellen. Dieser Aufwand lohnt sich in der Regel nur für größere Unternehmen.

Der KI-gestützte Ansatz zur BEC-Erkennung erfordert nicht nur einiges an Vorarbeit, sondern auch kontinuierliche Pflege. Denn der Schreibstil eines Menschen entwickelt sich im Laufe der Zeit weiter, sodass das KI-Modell einer regelmäßigen Aktualisierung bedarf. Was ist außerdem, wenn der Chef gerade einen besonders schlechten oder guten Tag hat und aus der Emotion heraus ganz anders schreibt als sonst? Bei jeder automatisierten Bedrohungserkennung sind Sicherheitsteams auch bis zu einem gewissen Grad mit False Positives konfrontiert. Die Frage ist nur, wie hoch die Fehlerquote sein darf. Vermutlich ist der CEO nicht besonders erfreut, wenn die KI seine E-Mails wiederholt herausfiltert. Hinzu kommt, dass natürlich auch Cyberkriminelle künstliche Intelligenz nutzen, um ihre Phishing-Mails möglichst realistisch und glaubwürdig zu gestalten. Auch sie analysieren Sprachprofile und generieren dann Texte, die den gewünschten Schreibstil täuschend echt nachahmen.

Wenn am Ende KI gegen KI antritt, sind Cyberkriminelle klar im Vorteil – ganz einfach, weil sie beliebig viele Versuche für eine Phishing-Attacke haben. Wenn eine E-Mail heute nicht durchkommt, dann vielleicht morgen, übermorgen oder nächste Woche. In der Zwischenzeit optimieren die Hacker ihr KI-Modell weiter. IT-Mitarbeiter dürfen dagegen nicht einfach auf Verdacht E-Mails blockieren, denn das würde mehr schaden als nutzen. Daher haben Sicherheitsfilter zwangsläufig eine verhältnismäßig hohe Fehlertoleranz. Außerdem muss immer erklärbar bleiben, warum die Technologie eine Bedrohung erkennt und blockiert.

Ganz anders sieht es auf der Gegenseite aus: Angreifer haben kein Problem mit dem Blackbox-Effekt von KI. Wie die intelligenten Algorithmen zu ihren Ergebnissen kommen, ist den Angreifern völlig egal. KI versetzt sie sogar in die Lage, biometrische Merkmale zu kapern. Dafür bedarf es nur einer intelligenten Bilderkennung und eines geeigneten digitalen Fotos. Die meisten Menschen veröffentlichen völlig unbedacht Aufnahmen mit biometrischen Merkmalen auf Social-Media-Kanälen, zum Beispiel von ihrer Hand. Hochauflösende digitale Fotos sind heute so gut, dass sich daraus die Fingerabdrücke auslesen lassen. Auf diese Weise gelang es zum Beispiel der finnischen Polizei, einen Fahndungserfolg zu erzielen.

Noch nicht einmal auf biometrische Verfahren ist bei der Überprüfung von Identitäten also uneingeschränkt Verlass. Wie bei allen Securitymaßnahmen gilt: 100-prozentige Sicherheit gibt es nicht. Unternehmen müssen daher immer damit rechnen, dass einmal ein Angriff erfolgreich ist. Da sich nie alle Risiken beseitigen lassen, ist es wichtig, sie zu monitoren und zu managen. Außerdem müssen Unternehmen in der Lage sein, Cyberangriffe schnell zu erkennen und einzudämmen.

Hier spielen Identity Security Posture Management (ISPM) und Identity Threat Detection and Response (ITDR) eine wichtige Rolle. ISPM schafft Transparenz über alle digitalen Identitäten im Unternehmen, erstellt detaillierte Identitäts-Profile und analysiert deren Aktivitäten. Ein entsprechendes System deckt identitätsbasierte Risiken auf und bewertet diese KI-gestützt unter Berücksichtigung sowohl interner als auch externer Sicherheitsinformationen. ITDR überwacht indessen sämtliche identitätsbezogenen Sicherheitsereignisse in der IT-Umgebung und korreliert sie KI-gestützt. Basierend auf Extended Detection and Response (XDR) kann das System Anzeichen für Cyberangriffe schnell erkennen und zu einem ganzheitlichen Angriffsbild zusammenfügen. In einem Plattformansatz arbeiten ITDR und ISPM nahtlos zusammen. Gemeinsam helfen sie, die Angriffsfläche zu reduzieren und das Schadenspotenzial zu minimieren.

Zero Trust, MFA, ein Rollen- und Rechtekonzept, KI-Analysen und Mitarbeiterschulungen: All das sind wichtige Sicherheitsmaßnahmen, um Identitäten zu schützen. Nicht immer ist es aber möglich, alles umzusetzen, was aus Best-Practices-Sicht wünschenswert wäre. Und nicht jede Maßnahme ist für jedes Unternehmen gleich gut geeignet. Manchmal ist vielleicht der Aufwand im Vergleich zum Nutzen zu hoch. Doch selbst bei optimaler Prävention gilt: Menschen machen Fehler und Technologie lässt sich austricksen. Daher brauchen Unternehmen eine ganzheitliche Securitystrategie, die ein kontinuierliches Cyberrisikomanagement und eine schnelle Detection und Response einschließt.