
Die Security Awareness in deutschen Unternehmen
Die Security Awareness in deutschen Unternehmen Nach wie vor gibt
Ende 2021 machte Google die Zwei-Faktor-Authentisierung (kurz: 2FA) für rund 150 Millionen Nutzer
zum Standard. Ein längst überfälliger Schritt, denn ein Passwort allein reicht schon lange nicht mehr –
da sind sich alle Sicherheitsexperten einig. Alle großen Cloud- und Online-Dienste bieten inzwischen
eine sichere Zwei-Faktor-Authentisierung, um das Risiko von Phishing-Angriffen zu verringern und
Kontoübernahmen zu unterbinden. Trotzdem mangelt es bislang nicht nur bei privaten Nutzern an
der Akzeptanz des Sicherheitsstandards.
In einer Studie zur „Basic Account Hygiene“ [1] hat Google bereits 2019 belegt, dass selbst die
unsicherste 2FA-Variante (Versand zufällig generierter SMS-Token an das Smartphone des
Anwenders) automatisierte Bot-Attacken komplett blockiert. Zudem entschärft sie 96 Prozent der
groß angelegten Phishing-Kampagnen und 76 Prozent der gezielten Angriffe (Spear-Phishing). Zu
ähnlichen Ergebnissen kommt der Cloud-Gigant Microsoft, der täglich über 30 Milliarden Log-ins von
mehr als einer Milliarde Anwendern verarbeitet. So gaben Microsoft-Techniker auf der „RSA
Conference 2020“ bekannt, dass mehr als 99,9 Prozent der kompromittierten Benutzerkonten nicht
per MFA gesichert seien. Abseits des Online-Bankings nutzt bislang aber trotzdem nur jeder zweite
User eine sichere Multi-Faktor-Authentifizierung [2] .
Cybergefahren bereiten Firmen laut „Allianz Risk Barometer 2022“ weltweit die größten Sorgen [3] .
Ransomware-Angriffe, Verletzungen des Datenschutzes durch Datenpannen oder IT-Ausfälle
beunruhigen die Betriebe sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen,
Naturkatastrophen oder die Covid-19-Pandemie. Die Sorge ist absolut berechtigt: „Noch nie wurde
die deutsche Wirtschaft so stark angegriffen wie heute“, warnt auch Matthias Wachter,
Abteilungsleiter für Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im
Bundesverband der Deutschen Industrie e. V. [4] . „Die Anzahl der Angriffe ist in der Corona-
Pandemie weiter gestiegen, weil Unternehmen im Homeoffice noch verwundbarer sind.“
Die Anfälligkeit von Einzelpersonen und Unternehmen untersuchen die aktuellen „CRIF Cyber
Reports“ im Open und Dark Web [5]. Die Studie zeigt konkret, welche Daten am häufigsten betroffen
sind, welche Informationen sich im Web finden und wo sich der Datenverkehr konzentriert. Demnach
trifft der E-Mail- und Passwort-Diebstahl die USA, Russland, Frankreich und Deutschland derzeit am
stärksten. Deshalb geben die Autoren der Studie den dringenden Rat, „die Zwei-Faktor-
Authentifizierung zu aktivieren, um so zu verhindern, dass Hacker in Konten eindringen, selbst
nachdem sie den Benutzernamen und das Passwort herausgefunden haben“.
Im Grunde funktioniert der Log-in mit 2FA und TOTP ebenso einfach wie das gewohnte TANVerfahren
im Online-Banking, wo die Zwei-Faktor-Authentisierung bereits seit Jahren erfolgreich im
Einsatz ist. Die erforderlichen Einmalpasswörter in Form eines sechs- oder achtstelligen Zahlencodes
generiert hier allerdings ein sogenannter Authenticator. Dieser Authenticator kann sich entweder als
App auf dem Smartphone befinden oder – sicherer und komplett ohne Internet-Verbindung – in
einer eigenen Hardware wie dem REINER SCT Authenticator verbaut sein.
Die doppelte Sicherung per 2FA ist effektiv, macht den Mitarbeitern das Leben jedoch zu schwer –
derartige Vorbehalte hört man in Unternehmen und entsprechenden Studien noch immer. Ein
Beispiel aus der Praxis belegt aber sehr anschaulich: 2FA und TOTP können den Komfort sogar
steigern und die Komplexität für die Administratoren und Anwender drastisch reduzieren.
So stand beispielsweise Mitte des Jahres 2020 bei der Treuhand Saar Steuerberatungsgesellschaft
mbH in Saarbrücken eine Neuausrichtung der EDV und die Verbesserung der VPN-Infrastruktur auf
dem Plan. Bei der Umsetzung des Projekts nutzte die com4data GmbH aus St. Wendel den Citrix
NetScaler als VPN Gateway und den REINER SCT Authenticator zur Generierung der
Einmalkennwörter.
Diese Kombination bietet eine ganze Reihe von Vorteilen: Umständliche VPN-Installationen und
lästige Lizenzkosten für VPN-Clients gehören der Vergangenheit an. Da sich der NetScaler auch als
RDP-Proxy einsetzen lässt, entfällt die Installation von VPN-Clients komplett. Stattdessen melden sich
Homeoffice- und Außendienst-Mitarbeiter per Webbrowser beim NetScaler-User-Portal an. Dank
Active-Directory-Anbindung funktioniert das mit den gleichen Anmeldedaten wie am
Büroarbeitsplatz. Nach der Erstanmeldung folgt zusätzlich die Abfrage des Einmalpassworts als
zweiter Faktor. Hier ersetzt der REINER SCT Authenticator quasi den zuvor genutzten VPN-Client.
Der Zugriff erfolgt schließlich über Standardprotokolle wie HTTPS sowie TLS und ermöglicht auch die
Anmeldung über öffentliche Hotspots oder Gäste-WLANs. Ohne administrativ aufwendige Software-
Installationen können die Angestellten nun selbst private PCs oder Computersysteme vor Ort
verwenden. Da der NetScaler zusätzlich als Reverse-Proxy fungiert, baut der Remote Client dabei
auch keine direkte Verbindung zur firmeneigenen Serverfarm auf. Stattdessen verbinden sich die
Beschäftigten nur mit dem Netscaler, der dann die Verbindung zur Serverfarm herstellt. Hat der
Mitarbeiter seine Arbeit beendet, schließt er einfach das geöffnete Browserfenster, um die
Verbindung dauerhaft zu trennen. Komfortabler kann die Anbindung externer Arbeitskräfte kaum
ablaufen!
Die Security Awareness in deutschen Unternehmen Nach wie vor gibt
Die Bedeutung von Schutz Wenn über die Sicherheit von Daten
Der Google Authenticator ist nicht frei von Kritik und Versäumnissen.
Gefährliche Authenticator-Apps Die Zwei-Faktor-Authentifizierung ist einer der sichersten Wege, seine
Zwei-Faktor-Authentifizierung per SMS Vielleicht haben Sie es schon mitbekommen: Seit
Datenschutz im Fitnessstudio Die Mitglieder eines Fitnessstudios vertrauen auf das
Es ist immer möglich, dass sich irgendwo eine Sicherheitslücke auftut.
Hier in diesem Blog nutzen wir regelmäßig Begriffe wie die
Das Internet ist voll mit Links. Es gibt keine Webseite,
Die Festplattenverschlüsselung kann Daten auf Laptops oder PCs vor Hackerangriffen
DDoS steht für Distributed Denial-of-Service. Zu Deutsch: Verteilte Dienstverweigerung. Dabei
Eine Datenschutzpanne im Unternehmen hat unter Umständen schwerwiegende Folgen. Natürlich
Malware ist der Oberbegriff, der alle Arten von Schadsoftware zusammenfasst.
Der Arbeitnehmerdatenschutz spielt eine große Rolle in Unternehmen. Spätestens seit
Ransomware ist eine besondere Form der Schadsoftware. Zumindest in Bezug
Die Datenschutzgrundverordnung (DSGVO) zählt gesundheitliche Informationen zu den besonders schützenswerten
Online-Shopping ist nicht mehr wegzudenken. Die meisten Einkäufe werden heutzutage
Der Trojaner hat seinen Namen daher, dass sich diese Form
Passwortsicherheit und wo sie endet Passwortsicherheit. Ein Thema, das uns
Unter Cyberkriminalität oder Internetkriminalität versteht man kriminelle Aktivitäten, die auf