Dr. Ivan Gudymenko, Fachlead Confidential Computing / SSI bei der Telekom MMS
Der Identitätsdiebstahl ist allgegenwärtig. Mit gefälschten E-Mails oder Schadprogrammen wie Trojanern sammeln Cyber-Kriminelle personenbezogene Daten von Mitarbeitenden und verursachen bei den betroffenen Unternehmen leicht Schäden in Millionenhöhe. Laut einer Presseinformation von bitkom.org sind 9 Prozent der Unternehmen, die von einem Cyberangriff betroffen sind, sogar in ihrer Existenz bedroht.
„Aktuell ist der Identitätsdiebstahl ein Spiel zwischen Angreifer und Verteidiger. Mit den Vorteilen beim Angreifer.“
Dr. Ivan Gudymenko, Telekom MMS
Ist ein Identitätsmissbrauch vermeidbar? Die Vorteile beim Identitätsdiebstahl liegen auf Seite des Angreifers, allerdings sind die Mehrheit der Schadensfälle aktuell auf ein mangelhaftes Identitätsmanagement zurückzuführen. Wir stellen Ihnen in diesem Beitrag fünf Maßnahmen vor, die den Datendiebstahl deutlich erschweren und die digitalen Identitäten besser schützen.
Digitaler Identitätsdiebstahl – Was ist das?
In einer digitalen Welt ist die Identifizierung von Personen im virtuellen Raum essentiell für Transaktionen wie Käufe und Verkäufe oder für die Zusammenarbeit innerhalb und außerhalb von Unternehmen. Belegt wird die digitale Identität einer Person dabei durch personenbezogene Daten. Sie ist einmalig und unverwechselbar. In der Praxis kommen verschiedene Verfahren zur Authentifizierung zum Einsatz, die beispielsweise Attribute wie Benutzername und Passwort, Token oder biometrische Daten nutzen, um die Echtheit einer Identität zu belegen.
Bei einem digitalen Identitätsdiebstahl (auch Identitätsmissbrauch oder Identitätsbetrug) zielen Cyberkriminelle darauf ab, sich Zugang zu personenbezogenen Daten zu verschaffen, diese zu kombinieren, um sich dann mit einer fremden Identität ausweisen zu können. Auf diese Weise nutzen Sie das Vertrauen gegenüber Kolleg*innen, Familie und Freunden aus und erlangen beispielsweise über Phishing-Attacken Zugriff auf sensible Informationen. Der Schaden eines Identitätsdiebstahls kann unterschiedlich sein: Die Kriminellen können auch Fake-News über die Person verbreiten oder Kontakte zu unüberlegten Handlungen bewegen.
In der Arbeitswelt gelangen die Angreifer durch einen Identitätsmissbrauch auf firmeninterne Systeme, können sensible Datensätze sammeln (und anschließend weiterverkaufen) oder Transaktionen durchführen, um sich Leistungen, Waren oder Geldleistungen zu erschleichen.
Welche Daten werden beim Identitätsmissbrauch erbeutet?
- Personaldaten wie Name, Adresse, Telefonnummer, Geburtsdatum, Mitarbeiter-ID, usw.
- Persönliche Daten wie Fotos, Netzwerk, Schreibstil, usw.
- Datensätze des Kundenstamms wie Namen, Adressen, Zugangsdaten, Rechnungsdaten, usw.
- Zugangsdaten zu E-Mail-Diensten, Kundenkonten, firmeninternen Systemen, usw.
Wie kann aus einem Identitätsdiebstahl ein Schaden für Unternehmen entstehen? Typische Methoden
Beispiele für typische Identitätsdiebstahl-Methoden:
CEO-Fraud & Fake Payments
Der CEO-Fraud ist auch als Chef-Betrug bekannt und zielt auf die sensiblen Daten des Geschäftsführers oder Vorstandes ab, mit denen Täter einen in der Regel riesigen finanziellen Schaden verursachen. Die Kriminellen geben sich bei dieser Betrugsmasche als Geschäftsführer aus und setzen Mitarbeitende aus der Finanzabteilung unter Druck, damit sie Geldüberweisungen ins Ausland für sie tätigen. Gelingt der CEO-Fraud, ist das Geld in der Regel verloren. Erst 2016 machte ein spektakulärer Chef-Betrug Schlagzeile, als der Automobilzulieferer Leoni um 40 Millionen Euro betrogen worden ist (Quelle: FAZ).
Phishing-Mails
Phishing-Mails sind eine Betrugs-Methode, die Kriminellen Zugang zu Finanzinformationen oder sensiblen Kunden- oder Mitarbeiterdaten verschafft. Das Vorgehen ist simpel: die Täter verschicken gefälschte E-Mails an Mitarbeitende und verleiten sie mithilfe von Fälschungen oder Lügen zu unüberlegten Aktionen wie zur Herausgabe von Passwörtern oder sensiblen Datensätzen.
Spear-Phishing-Angriffe
Spear-Phishing-Angriffe geben noch einen Schritt weiter als Phishing-Mails, indem sie nicht so viele Ziele wie möglich erreichen wollen, sondern sich auf eine bestimmte Gruppe in einem Unternehmen konzentrieren. Dazu recherchieren die Angreifer zunächst Details zum Empfänger wie Namen, Orte oder Begriffe, die der Spear-Phishing-Mail eine hohe Plausibilität verleihen und den Mitarbeitenden zu einem Klick bewegen.
Angriff auf Cloud-Systeme
Angriffe auf die Cloud zielen darauf ab, Rechte von Personen zu erlangen, um im zweiten Schritt beispielsweise Zugang zu Datenbanken über die Cloud zu erhalten. Der Fehler bei einem Angriff auf Cloud-Systeme liegt größtenteils auf Nutzerseite, wenn z. B. Daten bereitgestellt werden, ohne dass der Zugriff für bestimmte Nutzergruppen eingeschränkt wird.
Schutz vor Identitätsdiebstahl – So werden Unternehmen keine Opfer von Identitätsmissbrauch
Wie kann sich ein Unternehmen vor Cyberangriffen schützen? Grundsätzlich gilt: Niemand ist vor einem Identitätsbetrug sicher, doch mit verschiedenen Maßnahmen können Gefahren und Risiken deutlich eingedämmt werden. Seien Sie stets vorsichtig in der Herausgabe von personenbezogenen Daten und setzen Sie Überwachungsdienste ein, um darüber informiert zu werden, wenn ein Identitätsdiebstahl stattgefunden hat.
Der Fokus sollte allerdings darauf liegen, dass es gar nicht erst zu einem Identitätsdiebstahl kommt. Die folgenden 5 Hacks unterstützen Unternehmen und einzelne Mitarbeitende dabei, ihre digitale Identität vor Cyberangriffen zu schützen.
Hack 1: Priorisierung des Identitätsmanagements
Um sich vor dem Datenmissbrauch nachhaltig zu schützen, braucht es ein umfassendes Identitätsmanagement im Unternehmen, das durch globale Vorschriften, Compliance- und Governance-Bestimmungen geregelt wird.
Neben Regelungen zum Datenschutz erfüllt es folgende Aufgaben:
- Erstellung und Überwachung von Richtlinien für Prozesse zur Identifizierung, Autorisierung und Authentifizierung von Mitarbeitenden
- Nachverfolgung und Verwaltung aller Anpassungen an Attributen der Identitäten im Unternehmen
- Regelung von Zugriffsrechten und Beschränkungen für Gruppen und einzelne Mitarbeitende
- Starten von Warnungen und Alarmmeldungen bei (versuchtem) Identitätsdiebstahl
Damit bietet das Identitätsmanagement Schutz vor unbefugtem Zugriff sowohl auf Datensätze und Software als auch auf Hardware wie Netzwerke, Server und Storage-Geräte.
Hack 2: Etablierung eines Risikomanagements
Risikomanagement sichert ein Unternehmen für den Fall der Fälle. Wie beseitigt ein Unternehmen einen Schaden, der durch Identitätsdiebstahl entstanden ist und stellt seine Reputation wieder her? Wenn Sie ein umfassendes Risikomanagement in Ihrem Unternehmen etablieren, haben Sie einen Notfallplan, auf den Sie bei Datenmissbrauch zugreifen können, um sich vor der Bedrohung zu schützen.
Was passiert, wenn Daten eines Mitarbeitenden in die falschen Hände geraten sind? Analysieren Sie die kritischen Prozesse im Unternehmen und die möglichen Auswirkungen, die ein Identitätsdiebstahl auf diese haben würde. Stellen Sie dann einen sogenannten Business Continuity Plan auf, der die wichtigen Verantwortlichkeiten regelt. Die Umsetzung der Maßnahmen übernimmt ein Notfallmanager, der für die Koordination zuständig ist und das Unternehmen nach einem Identitätsmissbrauch wieder in den Normalbetrieb zurückführt.
Hack 3: Nutzung von Self-Sovereign Identity Technologie
Fakeprofil oder echte Person? Zukunftstechnologien wie Self-Sovereign Identity Technologie (SSI) werden genutzt, um die digitale Identität zu gewährleisten. Auf Basis einer Blockchain-Technologie kontrolliert SSI die digitalen Nachweise, ohne auf eine zentrale Stelle angewiesen zu sein. Diese Unabhängigkeit von Dritt-Instanzen ermöglicht einen vertrauenswürdigen Austausch zwischen Mitarbeitenden und Anwendungen.
Die digitalen Identitäten werden in einer ID-Wallet gespeichert und ermöglichen eine Überprüfung von:
- Echtheit der digitalen Identität
- Ursprung des digitalen Nachweises
Hack 4: Einsatz von Confidential Computing Technologie
Confidential Computing zählt zu den innovativen Zukunftstechnologien, mit denen Unternehmen beispielsweise Angriffe auf Cloud-Systeme abwehren können, indem sie Verschlüsselungsproxies einsetzen. Nutzen Sie Confidential-Computing zur Absicherung von Cloud-Verschlüsselungsproxies, um IT-Sicherheitsrisiken zu minimieren.
Die Sicherheitsmaßnahmen beim Confidential Computing werden so entwickelt, dass die Maßnahmen mit den angenommenen Angriffsvektoren übereinstimmen und beispielsweise die Rolle des Infrastrukturadministrators nicht in der Lage sein darf, in kritische Workloads einzugreifen. Die Technologie zeigt Potential, in naher Zukunft „State of the Art“ zu werden, denn sie ermöglicht eine sichere Nutzung von Cloud-Diensten, wodurch eine unternehmensweite Zusammenarbeit erheblich effizienter gestaltet werden kann.
Hack 5: Sensibilisierung der Mitarbeitenden für Identitätsdiebstahl
Angreifer gehen mit psychologischen Tricks vor, um Mitarbeitende in die Irre zu führen und Identitätsdiebstahl zu betreiben. Viel zu oft mit Erfolg. Das Risiko solch kritischer Sicherheitsvorfälle, die auf dem Missbrauch von Identitäten beruhen, können durch eine Sensibilisierung der Mitarbeitenden reduziert werden.
Eine Möglichkeit zur Mitarbeiter-Sensibilisierung bietet ein KI-Showcase, der einen CEO-Fraud simuliert.
Durch regelmäßige Security-Awareness-Trainings schaffen Unternehmen eine solide Sicherheitsbasis, die den Identitätsdiebstahl deutlich erschwert. Verankern Sie die Schulungen der Mitarbeitenden in Ihrer Unternehmenskultur, um ein dauerhaftes Problembewusstsein zu schaffen.
Selbstversuch: Das passiert, wenn man einen Hacker auf sich selbst ansetzt
Ob Digitalisierungsexpert*in, Werkstudent*in oder Schülerpraktikant*in – Hier berichten unsere Gastautoren aus ihrem Alltag.