Cyberbedrohungen immer einen Schritt voraus zu sein, ist für die meisten Unternehmen eine ständige Herausforderung. Aus diesem Grund aktualisieren die Behörden ihre Richtlinien und Anforderungen ständig.
Das Australian Signals Directorate (ASD) hat kürzlich die Wesentliche Acht-die die acht wirksamsten Strategien zur Abwehr der häufigsten und folgenschwersten Cyberangriffe für Unternehmen darstellen, sowie wichtige neue Richtlinien zur Multifaktor-Sicherheit (MFA), um den Kampf gegen Bedrohungsakteure zu unterstützen.
Auch wenn viele Regierungsorganisationen verpflichtet sind, sich an die Essential Eight anzupassen, sollten die Aktualisierungen nicht als eine reine Konformitätsübung für die Regierung betrachtet werden, bei der nur ein Häkchen gesetzt wird. Stattdessen stellen die Aktualisierungen eine Gelegenheit dar für alle Organisationen ihren Cybersicherheitsrahmen durch die Annahme dieser Leitlinien zu stärken.
Eine der wichtigsten Änderungen der Essential Eight ist die neue Anforderung an Organisationen, eine phishing-resistente MFA, wie z. B. FIDO2-Geräte, zu verwenden. Dies ist eine entscheidende Änderung und stellt eine erhebliche Verbesserung der Verteidigungsmechanismen von Organisationen gegen die am weitesten verbreitete Bedrohung der Cybersicherheit dar: Phishing-Angriffe, die die häufigste Ursache für Sicherheitsverletzungen und den zweitgrößten Schaden für das Endergebnis einer Organisation waren: die IBM Security Cost of a Data Breach Report 2024 stellte fest, dass die Kosten für durch Phishing verursachte Sicherheitsverletzungen im Durchschnitt 4,88 Mio. USD betragen.
Angesichts der Häufigkeit und der Auswirkungen von Phishing-Angriffen unterstützt RSA das Australian Cyber Security Centre (ACSC) und die ASD nachdrücklich darin, dies zu einer Voraussetzung für jede MFA-Implementierung zu machen, um eine "Reifegrad 2"-Stellung zu erreichen und das Risiko für Unternehmen zu verringern.
FIDO2 ist eine Technologie, die die Online-Authentifizierung revolutionieren soll. Es handelt sich um ein zweiteiliges System, das die Anmeldung bei Websites sowohl sicherer als auch bequemer macht. Mit FIDO2 können Sie sich mit biometrischen Merkmalen (z. B. Ihrem Fingerabdruck), einem Sicherheitsschlüssel oder Ihrem Telefon anmelden, anstatt sich auf herkömmliche Passwörter zu verlassen. Diese Methode ist viel sicherer, da es für Angreifer viel schwieriger ist, die Anmeldedaten von Nutzern zu hacken oder zu fälschen, die FIDO2 verwenden.
FIDO2 besteht aus einem speziellen Protokoll, mit dem Hardware-Geräte sicher mit Online-Diensten kommunizieren können, und einer Web-API, die diese Technologie direkt in Webbrowser wie Chrome oder Safari integriert und den gesamten Prozess benutzerfreundlich macht. Es ist ein intelligenter Weg, um Online-Identitäten und -Daten zu schützen.
FIDO2 ermöglicht es Organisationen auch, Passwörter in ihrer gesamten Infrastruktur abzuschaffen. Die Abschaffung von Passwörtern ist für die meisten Organisationen seit langem ein zentraler Punkt. Doch trotz der offensichtlichen Sicherheits- und Nutzungsvorteile von FIDO2 ist die Akzeptanz in Australien leider sehr gering. Das liegt zum großen Teil daran, dass ältere Infrastrukturen und Systeme die Vorteile der FIDO2-Protokolle nicht nutzen können, was ein erhebliches technisches und finanzielles Hindernis für eine breitere Akzeptanz darstellt. Diese älteren Systeme sind größtenteils noch auf ältere MFA-Methoden angewiesen, wie z. B. One Time Password (OTP).
Um den größtmöglichen Nutzen aus ihren bisherigen Investitionen zu ziehen, die neuen Essential Eight-Richtlinien zu erfüllen und ihre allgemeine Cybersicherheitslage zu verbessern, sollten Unternehmen Technologien prüfen, die gleichzeitig FIDO2 und OTP in derselben Lösung auf möglichst unauffällige Weise bereitstellen können.
RSA bietet Unternehmen kostengünstige und hochsichere Optionen, die diese Anforderungen übertreffen. Die RSA Authenticatoder Die App ist selbst FIDO-zertifiziert für Android und iOS. Zweitens, die RSA DS100 Hardware-Authentifikator ist sowohl ein FIDO-zertifiziertes Hardware-Gerät als auch ein OTP-Gerät auf einem Display. Und schließlich ist das RSA iShield Key 2-Serie, powered by Swissbit, liefert ein FIDO-zertifiziertes Gerät, das FIDO unterstützt2 und TOTP und ist FIPS 140-3 zertifiziert.
In den Essential Eight-Leitlinien wurde die Biometrie (z. B. ein Fingerabdruck auf dem Telefon) als gültige Authentifizierungsmethode in allen Reifegraden ausgeschlossen. Jede Anforderung, diese Art von Technologie für den privilegierten Zugang zu verwenden, sollte überprüft werden, und biometrische Daten sollten niemals als einziges Mittel für die Gewährung des Zugangs verwendet werden.
Darüber hinaus ist die Stimmerkennung ein weiterer Ansatz für die Gewährung von Zugang, bei dem der Nutzer aufgefordert wird, seine eigene Stimme zu verwenden, um Zugang zu etwas zu erhalten. Die heutigen generativen KI-Techniken ermöglichen es den Bedrohungsakteuren, jede beliebige Stimme mit einem kleinen Mustersatz zu klonen, und die Ergebnisse sind sehr überzeugend: Die Verizon 2023 Index für mobile Sicherheit Whitepaper berichtet, dass "sieben Wörter ausreichen können, um die Stimme einer Person glaubhaft zu imitieren".
In Anbetracht dieser Entwicklung könnte man sagen, dass die Stimmerkennung im Grunde eine tote Technologie für die Authentifizierung ist. Die Essential Eight biometrischen Updates unterstreichen, warum Organisationen bei den schnelllebigen Entwicklungen in der Welt der generativen KI-Technologie und ihrer Beziehung zu Identität und Sicherheit vorsichtig sein müssen. Bleiben Sie wachsam!
Die Umsetzung dieser Veränderungen erfordert eine strategische Planung und Ausführung. Ein erster Schritt ist die Abstimmung mit dem Budget und der Ressourcenzuweisung. Die Integration einer ausgefeilteren MFA kann erhebliche Vorab-Ressourcen erfordern, stellt aber eine langfristige Investition in die allgemeine digitale Sicherheit des Unternehmens dar. Wenn etwas kostenlos ist, bekommt man immer das, wofür man bezahlt hat.
Auch das Engagement der Mitarbeiter ist entscheidend. Die Wirksamkeit neuer Sicherheitsmaßnahmen hängt weitgehend davon ab, ob die Nutzer sie verstehen und annehmen. Schulungen und die kontinuierliche Förderung einer Kultur des Bewusstseins für Cybersicherheit erleichtern den reibungslosen Übergang zu neuen Authentifizierungsmethoden.
Wir haben die Erfahrung gemacht, dass Unternehmen die Akzeptanz ihrer Mitarbeiter schneller erreichen, wenn sie sie in die Umstellung einbeziehen und ihnen neue Ressourcen zur Verfügung stellen, anstatt ihnen die Änderung aufzudrängen. Die Bereitstellung eines Selbstbedienungsdienstes, der es den Benutzern ermöglicht, aus einer Vielzahl von gleichwertigen MFA-Methoden zu wählen, kann dabei helfen.
Darüber hinaus ist es ebenso wichtig, ein Gleichgewicht zwischen Cybersicherheit und betrieblicher Effizienz herzustellen. Die Implementierung von MFA-Maßnahmen sollte die Benutzerfreundlichkeit und den Geschäftsbetrieb nicht beeinträchtigen. Das richtige Gleichgewicht zwischen strengen Sicherheitsprotokollen und Benutzerfreundlichkeit zu finden, kann schwierig sein, ist aber der Schlüssel zur erfolgreichen Einführung. Achten Sie außerdem auf die Altsysteme - wählen Sie einen Anbieter, der die veralteten Ressourcen schützen kann, aber auch in der Lage ist, die neuesten Entwicklungen zu schützen.
Die aktualisierten Essential Eight-Leitlinien unterstreichen die Bedeutung des Risikomanagements. Die Implementierung einer robusten MFA-Lösung verringert die Wahrscheinlichkeit eines unbefugten Zugriffs und damit potenzieller Datenverletzungen. Darüber hinaus verringern diese Maßnahmen das Gesamtrisiko für die digitale Infrastruktur erheblich.
Deshalb fordern wir alle Organisationen auf, die überarbeiteten Essential Eight MFA-Richtlinien nicht nur als Compliance-Anforderung für Regierungsorganisationen und ihre Mitglieder zu betrachten, sondern sie als das zu sehen, was sie sind: ein strategischer Weg zur Stärkung der jede Organisation vor Cyber-Bedrohungen zu schützen.
