Die am häufigsten angegriffenen Unternehmen setzen auf Phishing-resistentes MFA

Brett Winterford  and  Tim Peel
January 23, 2025

Untersuchungen von Okta Security haben gezeigt, dass von aktiven Bedrohungsakteuren angegriffene Unternehmen fast immer Phishing-resistente Anmeldemethoden für ihre Benutzer implementieren. Angesichts der geringen Kosten und Komplexität der Einführung von stärkerer Authentifizierung stellt sich die Frage, warum viele Unternehmen noch zögern.

Untersuchungen von Okta haben gezeigt, dass die Implementierungsrate von MFA sich zwar verlangsamt, während Phishing-resistente MFA-Methoden wie Okta FastPass und FIDO 2 sich enormer Beliebtheit erfreuen.

Insgesamt sind Okta-Kunden bei der Implementierung von Multi-Faktor-Authentifizierung sehr aktiv. Der im Januar 2024 erschienene Okta Secure Sign-in Trends Report 2024 zeigte, dass 91 % der Okta-Administratoren und 66 % der Okta-Benutzer sich per MFA bei Anwendungen anmelden.

Der am schnellsten wachsende Faktor bei Mitarbeiteridentitäten war Okta FastPass, dessen Anteil laut unserem Secure Sign-in Trends Report bei allen Okta-Benutzern von 2 % (2023) auf 6 % (2024) und bei Okta-Administratoren von 5 % auf 13 % stieg. Das sind insgesamt Millionen Benutzer, die jetzt endlich auf Passwörter verzichten können. Mehr als 5 % der Okta-Plattform-Benutzer haben sich mehr als einmal mit Phishing-resistenter passwortloser Authentifizierung angemeldet und müssen nie wieder ein Passwort eingeben.

Die Daten haben gezeigt, dass die MFA-Welt aufgeteilt ist in „Haben“ und „Nicht haben“. Warum setzt ein so erheblicher Teil der Kunden auf Phishing-Schutz für alle Benutzer, während die allermeisten Unternehmen immer noch auf Passwörter und Einmal-Passwörter (OTPs) setzen?

In diesem Jahr führte Okta Security eine separate Untersuchung dazu durch, warum FastPass und FIDO 2 mit einer wesentlich höheren Rate als alle anderen Sign-in-Methoden wachsen.

Wir haben nun zuverlässige Zahlen dazu, dass diese Sign-in-Methoden für Benutzer komfortabler sind: FastPass kann so konfiguriert werden, dass ein Besitz- und and Inhärenzfaktor in weniger als 4 Sekunden bereitgestellt wird. Das ist ein Bruchteil der Zeit, die für die Eingabe der Kombination aus Passwort und OTP-Abfrage benötigt wird. Wir wissen auch, dass viele Regulierungsbehörden und Beratungsorgane – z. B. die CISA (Cyber Security and Infrastructure Security Agency) in den USA und das ACSC (Australian Cyber Security Centre) – jetzt Phishing-resistente MFA für Unternehmen empfehlen, die ihr Sicherheitsprogramm verbessern wollen.

Okta Security wollte wissen, ob bei der zunehmenden Implementierung Phishing-resistenter Faktoren auch aktive Bedrohungsakteure eine Rolle spielten. Okta verfügt über die ideale Datenbasis, um dies zu untersuchen:

  • Wir haben eine umfangreiche mehrjährige anonymisierte Datenbasis zu MFA-Implementierungsraten in Okta Workforce Identity Cloud, die einmal im Jahr im Okta Secure Sign-in Trends Report veröffentlicht wird.
  • Wir verfügen über zuverlässige Methoden für das Clustering und Zuordnen von Phishing-Kampagnen zu konkreten Angreifern. Jeden Tag benachrichtigt Okta Security zahlreiche Kunden, wenn wir neue Phishing-Infrastrukturen beobachten, die ihre Anmeldeseiten nachahmen. Bislang haben wir Tausende Benachrichtigungen versendet – allein 600 in den letzten drei Monaten.

Anhand dieser Daten können wir eine statistisch signifikante Kundengruppe isolieren, die von einem konkreten Bedrohungsakteur angegriffen wurde, und ihre Implementierungsrate Phishing-resistenter Authentifizierung vor und nach dem ersten Angriff vergleichen. Zudem können wir diese Raten mit den Implementierungsraten aller Kunden vergleichen, die Workforce Identity Cloud-Services einsetzen. Unsere Hypothese dabei ist: Je häufiger Unternehmen angegriffen werden, desto eher entscheiden sie sich für stärkere Authentifizierung.

Für diese Untersuchung betrachteten wir den sehr aktiven Bedrohungsakteur Scatter Swine genauer, der von Okta im Jahr 2022 identifiziert wurde und dessen Mitglieder zu Gruppen gehören, die als Scattered Spider, Muddled Libra und Octo Tempest identifiziert wurden. Sobald diese Angreifer ein Ziel ausgewählt haben, starten sie eine große Zahl von Kampagnen, registrieren mehrere Domains und greifen Dutzende oder Hunderte Mitarbeiter per SMS-Phishing-Nachrichten an.

Für unsere Untersuchung betrachteten wir 35 Unternehmen, die zwischen 2022 und Anfang 2024 von dieser Gruppe angegriffen wurden. Dabei ermittelten wir die Implementierungsrate Phishing-resistenter Faktoren vor der ersten Angriffsbenachrichtigung durch Okta und im März 2024.

Die Ergebnisse

Unsere Hypothese erwies sich als weitgehend zutreffend.

Die mittlere Implementierungsrate Phishing-resistenter Faktoren bei diesen Unternehmen lag bereits bei 23 %, was mehr als doppelt so hoch wie bei einem durchschnittlichen Okta-Kunden war. Vielfach handelte es sich um moderne Technologieunternehmen, die von Anfang an über stärkere Sicherheitskontrollen verfügen.

Scatter Swine before and after

Nachdem die Unternehmen über die aktiven Angriffe informiert wurden, stieg die mittlere Implementierungsrate dieser starken Authentifizierungsfaktoren sprunghaft von 23 % auf 95 %. Anstatt nur wenige privilegierte Benutzer mit FIDO 2-Authentifizierung zu schützen, entschied sich die überwiegende Mehrheit für die Implementierung mehrerer Phishing-resistenter Authentifizierungsfaktoren für alle Benutzer. In vielen Unternehmen wurden FIDO 2-Hardwareschlüssel als Wiederherstellungsschlüssel behalten, selbst nachdem 100 % der Benutzer auf Okta FastPass umgestiegen waren.

Was unterscheidet diese häufig angegriffenen Unternehmen außerdem von ihren Branchenkollegen?

  • Sie erfassen ihre Authentifizierungsprotokolle sehr viel häufiger in Echtzeit per Log Streaming, was auf aktive Telemetrieerfassung hinweist.
  • Sie automatisieren sehr viel häufiger ihre Identity-Prozesse, was besonders für Okta-Workflows gilt (No-Code-Automatisierungen).
  • Sie aktivieren häufiger grundlegende Schutzmaßnahmen in Okta, z. B. ThreatInsight (das vor großvolumigen Angriffen schützt).

Warum also warten, bis Sie ins Visier genommen werden? Angreifer stehen heute Tools-as-a-Service zur Verfügung, mit denen sie die meisten grundlegenden MFA-Typen unterlaufen können, sodass umfangreichere und gleichzeitig effektivere Phishing-Kampagnen möglich sind.

Angesichts dieser Bedrohungslage sollten alle Unternehmen Phishing-resistente Authentifizierung implementieren. Unsere Daten zeigen, dass passwortlose Phishing-resistente Authentifizierung schnell bereitgestellt werden kann und die Risiken sofort minimiert.

Die beste Rückmeldung unserer Kunden war, dass es nach der Einführung von Phishing-resistentem Schutz ganze Kategorien von Angriffen gibt, die ihnen keine Sorgen mehr bereiten.

Weitere Informationen über gängige Methoden, Taktiken und Ziele von Phishing und darüber, wie Sie Angriffe erkennen und verhindern können, finden Sie in unserem ultimativen Leitfaden für Phishing-Schutz.

Brett Winterford
Brett Winterford
Regional Chief Security Officer, APAC, Okta

Brett Winterford is the Senior Director of Cybersecurity Strategy at Okta. He advises business and technology leaders on evolving threats and helps them harness advances in identity technology to drive business outcomes and mitigate risk.

Prior to Okta, Brett held a senior leadership role at Symantec, and helmed security management, research and education at Commonwealth Bank.

Brett is a seasoned journalist, having been the editor-in-chief of iTnews Australia and contributed to ZDNet, the Australian Financial Review and the Sydney Morning Herald. Most recently, he was the founding editor of the Srsly Risky Biz newsletter, a companion to the Risky Business podcast, providing the cybersecurity, policy, defense and intelligence communities with a weekly brief of the news that shapes cyber policy. 

Brett holds a Bachelor of Media (Journalism) from Macquarie University in Sydney, Australia.

Folgen Brett Winterford
Share on Linkedin
Tim Peel
Tim Peel
Director of Threat Analysis and Research

Tim Peel is the Director of Threat Analysis and Research at Okta, where he leads the global threat intelligence, research, and adversary emulation teams. He has over 15 years of experience in the government, financial, and technology sectors, performing intrusions analysis, cyberthreat intelligence, incident response, and detection engineering roles. Tim is passionate about the practical application of threat intelligence and research. By researching, analyzing, and sharing each of our unique insights into how threat actors are targeting and compromising organizations, we can uplift the collective security of the entire ecosystem.

Tags

Sicherheit Phishing-Resistant MFA MFA
Previous
Next

November 8, 2024

Was ist Decentralized Identity und wie funktioniert es? | Okta

Von Okta
Dezentrale Identität, auch unter dem englischen Begriff der „Self-Sovereign Identity“ (SSI) bekannt, wird immer mehr zur Alternative zu heutigen…

Zum Artikel

October 23, 2024

Phishing-resistente MFA kommt stark in Fahrt

Von Todd McKinnon
Heute hat Okta den zweiten jährlichen Secure Sign-in Trends Report zur Verwendung von Multi-Faktor-Authentifizierung (MFA) am Arbeitsplatz veröffentlicht…

Zum Artikel

September 18, 2024

Sechs große Vorteile von CIAM für Unternehmen

Von Okta
Kundenidentitäts- und Zugriffsverwaltung (Customer Identity and Access Management, CIAM) ist für Unternehmen heute ein Muss. Doch mit der falschen Lösung…

Zum Artikel

August 26, 2024

Den Vorstand überzeugen: Wie CISOs den ROI von Sicherheit belegen

Von Camille Rasmussen
CISOs stehen unter Druck zu beweisen, dass Sicherheit nicht nur eine Kostenstelle, sondern auch ein strategischer Motor für Unternehmenswachstum und…

Zum Artikel

August 1, 2024

Drei Wege zu Daten-Compliance und Sicherheit für Kundenidentitäten

Von Liz Rivera
Website-Logins. Mobilgeräte-Apps. Kundendienst-Portale. Chats. Die Digitalisierung der User Experience bedeutet, dass die meisten Unternehmen über riesige…

Zum Artikel