WatchGuard Blog

„Geofencing“ als nützliches Hilfsmittel bei der Bedrohungsabwehr

Die Bedeutung von Cyberangriffen im Rahmen geopolitischer Machtdemonstrationen und Manipulationsversuche nimmt weiter zu. Immer wieder erscheinen Hackergruppen auf der Bildfläche, denen eine – mehr oder weniger offensichtliche – Verbindung zu ausländischen Mächten nachgesagt wird. Ein passendes Beispiel dafür ist sicher die „Ghostwriter“-Operation aus dem Jahr 2021. Hierbei wurden unter anderem auch an zahlreiche deutsche Politiker gefälschte E-Mails versendet, um auf diese Weise Passwörter und Einwahldaten abzugreifen. Das Ziel: sich anschließend Zugang zu weiteren „internen“, vertraulichen Informationen zu verschaffen.

Hinter dieser Aktion vermuteten offizielle Stellen recht schnell den russischen Militärgeheimdienst GRU. Wie es in einer Pressemitteilung des Europäischen Rats heißt, richteten sich die hinter der Sammelbezeichnung „Ghostwriter“ stehenden, böswilligen Cyberaktivitäten gezielt gegen Mitglieder von Parlamenten, Regierungsbeamtinnen und ‑beamte, Politikerinnen und Politiker sowie Angehörige der Presse und der Zivilgesellschaft in der EU. Auch wenn die Spuren inzwischen nach Belarus führen, ändert dies nichts an der Brisanz der Situation.

Anmeldedaten in Gefahr

Szenarien wie dieses verdeutlichen einmal mehr, wie wichtig der Schutz von Benutzerdaten mittlerweile ist. Im September 2021 haben wir im Blog auf die hohe Zahl der Passwörter im Unternehmensumfeld, die ins Dark Web gelangen, hingewiesen. Die Aktivitäten von staatlich gelenkten und gezielt agierenden APT-Gruppen (APT = Advanced Persistent Threats) bringen die Gefahr, der sich Unternehmen beim Schutz von Anmeldedaten gegenübersehen, in dem Zusammenhang jedoch nochmal auf eine ganz neue Stufe. Denn solche Hacker verfügen über ausreichende Ressourcen, mit denen sie ihre potenziellen Opfer und deren Arbeitsumgebungen individuell auskundschaften, um sie anschließend mithilfe von Spear-Phishing und anderen Social-Engineering-Methoden gekonnt in die Falle zu locken. Dies geschieht nicht selten unter Vortäuschung der Identitäten von Kollegen, des IT-Teams oder sogar der Vorgesetzten (CEO-Fraud). Selbst Benutzer, die für das Thema IT-Sicherheit grundsätzlich sensibilisiert sind, lassen sich auf diese Weise austricksen. Die Erfolgsbilanz solcher Angriffe darf nicht unterschätzt werden.

Da diese raffinierten Bedrohungen meist aus dem Ausland kommen, stellt sich für Organisationen und staatliche Institutionen also die Frage, ob und wie sich entsprechende Sicherheitsverletzungen und Cyberangriffe aus bestimmten Regionen verhindern lassen. Ein probates Gegenmittel ist die Multifaktor-Authentifizierung (MFA) mit der Möglichkeit zur Geolokalisierung.

MFA mit Geofence-Risikorichtlinien

Politiker, Beamte und andere relevante Personen, die von der Ghostwriter-Kampagne betroffen waren, hätten durch den Einsatz einer Sicherheitslösung mit Geofencing-Optionen beispielsweise gezielt vor E-Mails aus Russland geschützt werden können. In Kombination mit einer fortschrittlichen Multifaktor-Authentifizierung inklusive risikobasierten Authentifizierungsfunktionen wäre es zudem möglich gewesen, die Herkunft und Legitimität der sich in das System einwählenden Personen zusätzlich sicherzustellen.

Entsprechende Möglichkeiten bietet WatchGuard AuthPoint. Mit der WatchGuard-MFA-Lösung sind im Zuge der Entscheidung, ob dem Einwählenden Zugriff auf die Systeme gestattet werden, zusätzliche Faktoren bestimmbar. Administratoren können über Geofence-Risikorichtlinien – die sich in der WatchGuard Cloud schnell und einfach individuell aktivieren lassen – beispielsweise sicherstellen, dass einem Zugriff aus nicht autorisierten Regionen gezielt der Riegel vorgeschoben wird – selbst wenn der Einwahlversuch dabei von scheinbar legitimen Devices ausgeht.

Der entscheidende Vorteil besteht also in der Bestimmung spezifischer Risikofaktoren, die bei der Authentifizierungsentscheidung Berücksichtigung finden – die Möglichkeiten gehen über eine rein statische Authentifizierung hinaus. Es lassen sich individuelle Regeln definieren, um das Authentifizierungsverhalten je nach Bedarf anzupassen. Bei geringem Risiko reicht ein einfacheres Prozedere aus, während es bei einem höheren Risiko durchaus Sinn macht, weitere Schritte im Rahmen der Einwahl festzulegen, um abzusichern, dass es sich tatsächlich um den richtigen Benutzer handelt. Zudem können Zugriffe bei erhöhter Gefahr auch komplett unterbunden werden – unabhängig davon, ob der Benutzer ein korrektes Einmalpasswort (OTP) eingibt.

„Woher?“ als Zünglein an der Waage

Durch Push-Benachrichtigungen mit Geolokalisierung erhalten Anwender zusätzliche Sicherheit bei ihren Authentifizierungsprozessen. Administratoren wie Benutzer sehen bei Bedarf sofort, woher die Anfrage stammt. Dies verringert die Wahrscheinlichkeit, dass ausländische APT-Gruppen Zugang zu ihren Systemen erhalten, erheblich – und das sogar dann, wenn diesen zuvor gelungen ist, in den Besitz von Anmeldeinformationen zu gelangen.

Erfahren Sie im Video und auf unserer Webseite mehr über die Möglichkeiten des „Geofencings“ und alle weiteren Vorteile von WatchGuard AuthPoint.