What THE HÄCK?! Selbstversuch - Phishing-Attacken sicher vermeiden

Über 80% der Unternehmen wurden bereits Opfer von erfolgreich durchgeführten Phishing-Attacken. Mit oftmals dramatischen Folgen für diese Unternehmen. Da sollte es sich doch lohnen, sich mal die Frage zu stellen, wie Phishing-Attacken tatsächlich sicher vermieden werden können.

Was ist Phishing?

Mehr Infos hierzu erhalten Sie auf unserem Glossar: THE GLOSSÄRY

Was ist das Ziel einer Phishing-Attacke?

Ziel des Angreifers ist es, Ihre Zugangsdaten (= Benutzername + Passwort) zu klauen. Dazu schickt er i.d.R. Phishing-E-Mails, die aussehen als würden Sie von einer Bank, von Paypal, von Amazon, etc. kommen. Klickt der Empfänger auf einen Link oder Button, öffnet sich eine Anmeldemaske. Gibt der User dort seine Zugangsdaten ein, hat der Angreifer Zugriff darauf und kann sie missbrauchen.

Wie kann ich Phishing sehr simpel und sicher verhindern?

Das Zauberwort heißt 2-Faktor-Authenifizierung (auch: 2FA, Zwei-Schritte- oder Zwei-Wege-Authentifizierung, ebenfalls -Authentisierung) oder ganz neu Multi-Faktor-Authentifizierung (MFA). Dadurch erweitern wir die Zugangsdaten für eine Anmeldung von "Benutzername + Passwort" um einen weiteren Faktor, den der Angreifer nicht klauen kann.

Im Optimalfall ist dies ein Sicherheitsschlüssel, also eine Hardware wie z.B. ein Two-Factor-Security-Key von Yubico.

Der Selbstversuch: 2FA-Sicherheitsschlüssel selbst einrichten

Hört sich vielleicht kompliziert an. Laut Yubico ist es das aber nicht. Man braucht dazu nicht mal einen Admin sondern kann das selbst machen.

Das wollte ich sehen. Also hab ich mir privat einen solchen Yubico-2FA-Sicherheitsschlüssel besorgt. Hier eine kurze Anleitung zur Einrichtung der 2FA bei meinem Google-Konto.

2FA beim Google-Konto einrichten

Dazu muss man sich erstmal im Browser Google Chrome in sein Google-Konto einloggen, geht im Profil auf Sicherheit / Bei Google anmelden / Bestätigung in zwei Schritten:

Im Folgedialog wählt man Sicherheitsschlüssel (Standard):

Dann klickt man auf [+ Sicherheitsschlüssel hinzufügen]:

Dann fragt Google Chrome (bzw. die Windows-Sicherheit), ob man den Sicherheitsschlüssel einrichten möchte, um sich als USER anzumelden. Dies bestätigt man mit OK:

Dann muss man nochmal mit OK bestätigen, dass man das Setup fortsetzen möchte:

Dann wurde ich dazu aufgefordert, meinen Yubico-2FA-Sicherheitsschlüssel in den USB-Anschluss einzustecken:

Als nächstes muss man auf den Yubico-2FA-Sicherheitsschlüssel "tippen". Das bedeutet, dass man die metallene Fläche des Keys berühren muss.

Jetzt musste ich meinem Sicherheitsschlüssel einen Namen vergeben:

Das war's. Ich habe die Bestätigung erhalten, dass mein Sicherheitsschlüssel hinzugefügt wurde:

Im Bereich "Sicherheitsschlüssel" im Google-Profil werden mir nun zwei Sicherheitsschlüssel angezeigt:

Wie immer musste nun der Test erfolgen, ob auch alles ordnungsgemäß funktioniert hat. Dazu hab ich mich bei Google ausgeloggt. Beim Einloggen werde ich nun wie vorher nach Benutzername und Passwort gefragt. Und dann erscheint zusätzlich die Aufforderung, meinen Sicherheitsschlüssel in den USB-Anschluss zu stecken.

Und da dieser Sicherheitsschlüssel sich an meinem Schlüsselbund befindet, sind Phishing-Attacken auf mein Google-Konto ab sofort "Schnee von gestern"!

Testet das selbst aus.

Yubikeys erhaltet Ihr direkt bei yourIT. Und übrigens lassen sich Yubico-Sicherheitsschlüssel auch wunderbar in die Unternehmensarchitektur als 2FA integrieren.