Zwei-Faktor-Authentifizierung bei Sony und anderen Unternehmen

Geklaute Logins (Username und Passwort) sind für fast ein Viertel aller Datenmissbräuche verantwortlich.

Einer Umfrage der Cloud Security Alliance (CSA) zufolge halten IT-Experten bösartige Insiderinformationen und Konto-Hijacking für die Top-Bedrohungen der heutigen Zeit. Diese Angriffe treten häufig auf, weil verschiedene Sicherheitsmängel in der Unternehmens-IT vorliegen. Oft scheitert es an einem nicht-skalierbarem Identitäts- und Zugangsmanagement (englisch: Identity and Access Management, IAM) oder an einer Nichtverwendung von Multi-Faktor-Authentifizierung. Dazu kommen unsichere und nicht wechselnde Passwörter oder Zertifikate. Es ist also nicht verwunderlich, dass diese Sicherheitsmängel einen so großen Teil bei Datenmissbrauch ausmachen.

„Die Ergebnisse der Umfrage zeigen eine deutliche Diskrepanz zwischen unzureichendem Identitäts- und Zugangsmanagement und der Zunahme von Cloud-basierten Lösungen für Unternehmen“, meint Luciano Santos, Executive Vice President der Forschungsabteilung der CSA. „Wir hoffen, dass die Unternehmen die Ergebnisse aus dem Bericht zum Anlass nehmen, ihr Sicherheitsverständnis von Logins in dem Maße zu erweitern, wie sie ihre Cloud-Umgebungen vergrößern.“

Von denen, die eine Datenschutzverletzung in ihrer Firma gemeldet haben, gaben 22% der Befragten an, dass die Verletzung auf kompromittierte Anmeldeinformationen zurückzuführen sei. Zusätzlich meinten 65% der Befragten, dass die Wahrscheinlichkeit für einen zukünftigen Angriff auf Login-Daten im Unternehmen hoch sei.

Überraschenderweise gab es keine signifikanten Unterschiede in den angewendeten Sicherheitslösungen zwischen den Befragten, die eine Verletzung hatten und davon berichteten und denen, die davon nicht berichteten oder nichts wussten.

Unternehmen, die auf „Big Data“ -Lösungen zurückgreifen, adoptieren mehr Umfang- und Identitätssicherheitslösungen; und 76% der internen Richtlinien zur Zugriffssteuerung werden auf ausgelagerte IT, Zulieferer und andere Dritte erweitert.

Erfreulicherweise scheinen die Unternehmen langsam zu reagieren und ihre Sicherheitsmängel aufzuarbeiten – so beispielsweise auch Sony. Fünf Jahre nach dem massiven Sicherheitshack, welcher 77 Millionen User betraf, hat das Unternehmen nun die Zwei-Faktor-Authentifizierung (2FA) auf dem PlayStation Network implementiert. Ein offizielles Statement gibt es dazu allerdings noch nicht.

Am 19. April wurde ein Tweet gesichtet, in dem es auf einem Screenshot hieß: „Die Anmelde-ID oder das Passwort ist nicht korrekt. Wenn die Zwei-Faktor-Authentifizierung aktiv ist, müssen Sie ein Geräte-Setup-Kennwort in das [Kennwort] Feld eingeben. Überprüfen Sie Ihr Mobiltelefon auf SMS-Nachrichten über Ihren Sony Entertainment Network-Account.“ Unter dem Bild stand: „Ein weiterer Beweis für die #PSN Zwei-Faktor-Authentifizierung. Diese Nachricht kam nach dem heutigen V4.80 Update von meiner PS3.“

Die 2FA wird oft als ein zusätzliches Sicherheitsverfahren beschrieben, bei dem man aufgefordert wird, eine zusätzliche Information beim Login mit anzugeben. In der Regel handelt es sich dabei um ein Einmal-Passwort. Das bedeutet, dass, wenn man sich auf einem Gerät mit Benutzernamen und Passwort anmeldet, einen zusätzlichen zufällig generierten Code mit eingeben muss. Dieser wird in der Regel vom Smartphone bereitgestellt.

Obwohl Sony noch keine offizielle Erklärung dazu veröffentlicht hat, sagte ein Vertreter von Gamespot, dass die 2FA in Zukunft ein fester Bestandteil sein wird. Das ist für alle User des PlayStation Network eine willkommene Nachricht, weil es Angriffe auf Benutzerdaten wie vor zwei Jahren verhindert. Damals führte ein Denial-of-Service-Angriff dazu, dass das Netzwerk offline gehen musste. Sony kommentierte, dass keine Daten kompromittiert wurden.

„Wie andere große Netzwerke auf der Welt unterlagen das PlayStation Network und Sony Entertainment Network einer DoS-Attacke, bei der die Server der Netzwerke mit künstlich hohem Traffic überschüttet wurden“.

Glücklicherweise hat Sony den Nutzen der 2FA erkannt und geht guten Beispiels voran, um Benutzerdaten auch in Zukunft optimal zu schützen.

Autor , We Live Security