Als kleines Unternehmen denkt man häufig: „Wir haben nichts, was es zu stehlen lohnt. Wer würde schon Interesse an unseren Daten haben?“ Doch die Realität sieht anders aus: Kleine Unternehmen sind besonders anfällig für Social-Engineering-Angriffe.
Laut einer aktuellen Studie sind kleine Unternehmen zu 350 % häufiger Opfer von Social-Engineering-Angriffen als große Unternehmen. Ohne dedizierte IT-Sicherheitsteams und die Ressourcen größerer Unternehmen fehlt es kleinen Unternehmen häufig an Personal, Schulungen und Cybersicherheitstechnologie, um diese Angriffe zu erkennen und abzuwehren. Könnten Passkeys die Antwort auf Social-Engineering-Bedrohungen für kleine Unternehmen sein?
Warum stellt Social Engineering eine Bedrohung dar?
Social Engineering nutzt menschliche Schwachstellen aus, indem es die Psyche und Emotionen des Opfers manipuliert, um sich unbefugten Zugriff auf etwas Wertvolles zu verschaffen. Angreifer verleiten Menschen dazu, vertrauliche Daten preiszugeben oder bestimmte Sachen zu tun, die die Sicherheit gefährden. Zu den typischen Social-Engineering-Techniken gehören Phishing, Pretexting, Baiting und Tailgating. Beim Phishing wird ein Benutzer getäuscht, um an vertrauliche Daten zu gelangen. Beim Pretexting wird eine erfundene Geschichte genutzt, um das Vertrauen eines Benutzers zu gewinnen und ihn zu etwas zu verleiten. Beim Baiting wird ein Benutzer mit bestimmten Gegenständen oder Informationen gelockt, um etwas für den Angreifer zu tun. Tailgating ermöglicht es einem Angreifer, sich physischen Zugang zu einem geschützten Bereich zu verschaffen, indem er beispielsweise hinter jemandem durch eine mit einer Schlüsselkarte geschützten Tür schlüpft. Es ist schwierig, sich gegen den menschlichen Faktor zu wehren, weil Menschen von Natur aus anderen Menschen vertrauen und ihnen helfen wollen. Angreifer nutzen dieses Vertrauen aus, um auf Systeme und Daten zuzugreifen und sich finanziell oder materiell zu bereichern. Die Schulung der Mitarbeiter zur Erkennung dieser Angriffe ist von entscheidender Bedeutung. Doch da Cyberdiebe immer raffinierter werden, sind weitere Maßnahmen erforderlich.Was sind Passkeys?
Passkeys sind eine alternative Authentifizierungsmethode. Sie stellen eine sicherere Anmeldemöglichkeit dar, als ein herkömmliches Passwort. Ein Passkey ist für jeden Benutzer eindeutig. Passkeys sind außerdem standardisiert. Somit haben Benutzer auf allen ihren Geräten und Browsern ein passwortloses Erlebnis, ohne sich jedes Mal erneut anmelden zu müssen. Browser, Geräte und sogar Passwort-Manager können Passkeys speichern, um die passwortlose Anmeldung zu ermöglichen. Ein Passkey kann außerdem die Vorteile der Multifaktor-Authentifizierung mit einem reibungsloseren Authentifizierungsvorgang kombinieren, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu erhöhen. Mit einem Passkey kann sich ein Benutzer mit einem Fingerabdruckscanner, einer Gesichtserkennung oder einer PIN anmelden, anstatt sich an Anmeldedaten erinnern und diese eingeben zu müssen. Passkeys bzw. „kryptografische Schlüsselpaare“ bestehen aus zwei Komponenten: öffentlichen und privaten Schlüsseln. Der öffentliche Schlüssel wird offen geteilt und zur Verschlüsselung von Daten verwendet, die an einen Benutzer gesendet werden. Er funktioniert wie ein Vorhängeschloss, und jeder kann es verwenden, um eine Nachricht sicher zu „verschließen“. Der private Schlüssel wird stets geheim gehalten. Er entschlüsselt die mit dem öffentlichen Schlüssel verschlüsselten Daten. Stellen Sie sich ihn als Schlüssel zum Entsperren des Vorhängeschlosses vor. Wenn jemand verschlüsselte Daten senden oder die Identität eines Benutzers verifizieren möchte, verwendet er den öffentlichen Schlüssel. Der Benutzer kann dann die Daten entschlüsseln oder seine Identität mit dem privaten Schlüssel nachweisen. Um genau zu sein, wird der Benutzer einfach dazu aufgefordert, sein Gerät oder seinen Dienst mit einem Fingerabdruck oder einer Gesichtserkennung zu entsperren, und ihm wird Zugang gewährt. Alles andere passiert im Backend. Da immer mehr Websites und Apps über Unterstützung für Passkeys verfügen, können sich immer mehr Unternehmen auf eine sichere, passwortlose Anmeldung umstellen, die Social-Engineering-Angriffe verhindert und die Authentifizierung insgesamt erleichtert.Wieso sind Passkeys besser als Passwörter?
Passwörter haben mehrere Schwachstellen, die sie anfällig für Social Engineering und andere Cyberbedrohungen machen:- Benutzer wählen oft schwache Passwörter, die leicht zu erraten oder zu knacken sind.
- Viele Menschen verwenden dieselben Passwörter für mehrere Konten, was das Risiko für alle Konten erhöht, wenn eines der Konten kompromittiert wird.
- Mittels Phishing-Angriffen werden Benutzer dazu verleitet, ihre Passwörter unbeabsichtigt zu teilen.
- Entwickler speichern Passwörter möglicherweise als Klartext in Datenbanken oder schützen sie anderweitig nicht ausreichend, was sie anfällig für Datenschutzverletzungen macht.
- Passwörtern fehlt grundsätzlich die zusätzliche Sicherheit der Multifaktor-Authentifizierung, die viele Benutzer nicht aktivieren.
- Sie sind lange, eindeutige und zufällig generierte Zeichenfolgen, die praktisch unmöglich zu erraten oder zu knacken sind.
- Benutzer geben sie nicht in Webformulare ein. Daher sind sie nicht anfällig für Phishing oder Keylogger.
- Passkeys bieten Nachweisbarkeit, d. h. Sie können stets den Ursprung aller Handlungen mit Ihrem privaten Schlüssel verifizieren und validieren, was böswillige Insider abwehren kann.
- Passkeys können mit anderen Faktoren (Multifaktor-Authentifizierung) wie Biometrie integriert werden, um eine höhere Sicherheit ohne zusätzliche Benutzerschritte zu bieten.
- Private Schlüssel werden nicht auf Servern von Drittanbietern gespeichert, sodass Hacker bei einer Datenschutzverletzung keine verwendbaren Authentifizierungsdaten erlangen können.
- Passkeys sind für jeden Dienst eindeutig, sodass Benutzer sich nicht bei einer Fake-Website anmelden können.
- Passkeys können für sicheren Remote-Zugriff genutzt werden und schützen Ihr Unternehmen vor unbefugtem Zugang.
