Gemäß Sophos stehen kompromittierte Zugangsdaten an vorderster Front bei Cyberangriffen. Obwohl sowohl Unternehmen als auch Nutzer sich bewusst sind, dass moderne, phishingresistente MFA-Technologien den besten Schutz bieten, handeln viele nachlässig. Doch was steckt dahinter?

Passwörter sind unsicher, insbesondere weil Benutzer Bequemlichkeit bevorzugen, unsichere Passwörter wie „12345“ verwenden, diese selten oder nie ändern und die Einführung der Multi-Faktor-Authentifizierung (MFA) in ihren Unternehmen nicht verbindlich ist. „Das Frustrierende daran ist, dass die Branche weiß, wie man dieses Problem lösen kann, aber nur wenige Organisationen diesem Bereich Priorität einräumen“, erklärt M. Veit, ein Experte für Cybersicherheit bei Sophos. Dies erleichtert es Cyberkriminellen erheblich, in Unternehmensnetzwerke einzudringen. Laut dem aktuellen Data Breach Investigations Report von Verizon gehen 86 Prozent der im Bericht verzeichneten Sicherheitsverletzungen auf gestohlene, schwache oder veraltete Passwörter zurück. Dabei machte menschliches Versagen in knapp drei Vierteln (74 %) dieser Angriffe einen bedeutenden Anteil aus.

Der Active Adversary Report von Sophos bestätigt diesen Trend: Während bisher Sicherheitslücken das Hauptziel von Angriffen waren, sind kompromittierte Zugangsdaten im Jahr 2023 an erster Stelle. Die Hälfte der von Sophos erfassten Angriffe war darauf zurückzuführen, während Schwachstellen nur noch von knapp einem Viertel (23 %) der Cyberkriminellen ausgenutzt wurden.

Ein weiterer Vorteil für Angreifer besteht darin, dass bewährte Angriffsmethoden wie Social Engineering, Phishing, Vishing, Brute Force oder Credential Stuffing oft noch einfacher werden, indem Generative KI verwendet wird. Cyberkriminelle nutzen GenAI, um Passwörter automatisiert zu knacken und neue Malware schneller und effizienter zu entwickeln. Insbesondere Deep Fakes werden dadurch überzeugender. Der Identity-Security-Anbieter CyberArk warnt davor, dass KI-Text-to-Speech-Modelle beim Vishing eingesetzt werden und das Überlisten der Gesichtserkennung sowie das Programmieren von Schadcode erleichtern.

Abwehrmaßnahmen

Um sowohl das Nutzererlebnis als auch die Sicherheit zu verbessern, empfehlen die Experten von Forgerock die Abschaffung von Passwörtern. Nur so kann der Diebstahl von Passwörtern vollständig vermieden werden. „Das Problem liegt nicht in der Technologie, sondern in ihrer Durchsetzung. Oftmals werden die Anforderungen an die Authentifizierung gelockert, um ein besseres Benutzererlebnis zu bieten“, betont M. Veit. Laut dem Sicherheitsanbieter war MFA in 39 Prozent der bisher untersuchten Fälle nicht umfassend konfiguriert. Veit empfiehlt Organisationen, die sich vor den neuesten Angriffstechniken schützen möchten, auf phishingresistente MFA umzusteigen und ihre Authentifizierungssysteme für den adaptiven Zugriff zu konfigurieren. Darüber hinaus sollten Unternehmen entsprechende Schulungen für ihre Mitarbeiter anbieten, da nur eine mehrschichtige Verteidigung und Telemetrieanalyse Unternehmen die Möglichkeit geben, einen aktiven Angriff zu erkennen und abzuwehren.