Das wohl von Betrügern am häufigsten genutzte Mittel, um an Zugangsdaten zu kommen, ist das Phishing. Hierbei erhält das potenzielle Opfer eine E-Mail, die angeblich von einer vertrauenswürdigen Firma wie beispielsweise Amazon oder PayPal kommt. In der E-Mail wird häufig darum gebeten die jeweilige Internetseite über einen angegeben Link zu öffnen und sich dort anzumelden. Folgt man dieser Anweisung und hinterlegt auf einer täuschend echt aussenden Seite seine Login-Daten, sendet man diese ungewollt an die dahinterstehenden Betrüger.
Jedes Unternehmen (unabhängig von der Größe) steht vor der gewaltigen Aufgabe seine IT-Infrastruktur so sicher wie möglich aufzubauen. Aber nur ein Mitarbeiter, der Zugang zu sensiblen Daten hat und auf eine Phishing-Mail hereinfällt, kann das komplette System aushebeln.
Eine Firma, die dieses Problem nun anscheinend gelöst hat, ist Google. Alle 85.000 Mitarbeiter wurden seit der Einführung eines Sicherheits-Sticks Anfang 2017 vor Phishing-Angriffen bewahrt. Und das lediglich durch Kosten von 20 $ pro Stück (Amazon).
[mg_blockquote cite=“Google“]We have had no reported or confirmed account takeovers since implementing security keys at Google.[/mg_blockquote]Dabei ist die Funktonalität nicht neu. Schon heute benutzen viele Firmen die 2-Faktor-Authentifizierung, um Mitarbeitern Zugriff auf bspw. kritische Infrastrukturen zu gewährleisten. Den entsprechenden Code erhält der Anwender dann meist per SMS oder über eine App.
[asa]B07BYSB7FK[/asa]Laut dem Journalisten Brian Krebs hat Google diese Methode der Anmeldung noch weiter getrieben. Anstatt eines versendeten Codes oder einer App, muss der Mitarbeiter bei jeder Anmeldung seinen Sicherheits-Stick per USB anschließen und einen Knopf drücken. Das bringt auch dem alltäglichen Google-Nutzer einige Vorteile, da die bei Google hinterlegten persönlichen Daten so noch besser geschützt werden.
Falls ihr noch mehr Sicherheit wünscht, dann könnt ihr auch euren eigenen Sicherheits-Stick bei Google hinterlegen. Die Option lässt sich ganz einfach unter „Kontoeinstellungen > Anmeldung & Sicherheit > Bestätigung in zwei Schritten“ aktivieren. Unterstützte Sticks findet ihr auf der Seite des Herstellers.
Letztes Jahr im Oktober startete Google eine Kampagne zum besseren Schutz der Daten von durch Phishing besonders bedrohten Personen. Darunter fallen Journalisten, Führungspersonen in der Wirtschaft und Aktivisten, die bereits sogenannte YubiKeys nutzen. Dafür arbeitete Google mit verschiedenen Industriegruppen wie der FIDO-Allianz zusammen, um eine Technologie namens U2F für Sicherheits-Sticks zu entwickeln.
Im Jahr 2016 hat eine von Google entwickelte Studie gezeigt, dass die 2-Faktor-Authentifizierung, die auf Textnachrichten oder einer App basiert, eine durchschnittliche Fehlerrate von 3 % aufweist. Dagegen liegt die Chance, dass beim U2F-Standard etwas schiefgeht bei 0 %.