Web 3.0 bietet neue Angriffsflächen

Web 3.0 bietet neue Angriffsflächen

Beitrag teilen

Die Entstehung des Web 3.0 fiel in eine Zeit, in der sich die Welt grundlegend veränderte. In einer Zeit, in der es hieß, dass man zu Hause bleiben und den persönlichen Kontakt einschränken solle, musste das Leben weitergehen. Die Geschäfte mussten wie gewohnt weiterlaufen, Verträge mussten abgeschlossen und Geld überwiesen werden. Das Web 3.0 wurde zu einer Chance für Unternehmen, sich die digitale Zukunft zu erschließen.

Heute kann und wird alles digital abgewickelt, und obwohl die Vorteile auf der Hand liegen, sind neue Risiken und Herausforderungen entstanden. Mit dem Übergang zum Web 3.0 hat sich die Angriffsfläche auch auf die weitgehend unkontrollierte Kundenreise verlagert. Dies hat zur Folge, dass unsere Informationen, unser Geld und unsere Identität anfälliger sind als je zuvor.

Anzeige

Vor zehn Jahren war es noch eine große Sache, etwas für 20 Euro im Internet zu kaufen, doch heutzutage tätigen wir Großeinkäufe im Internet, ohne auch nur mit der Wimper zu zucken. Unsere Bequemlichkeit hat im Laufe der Jahre enorm zugenommen und wird noch weiterwachsen. Anfangs haben wir vielleicht nur kleine Einkäufe getätigt, aber heute werden Transaktionen mit hohem Wert wie Kredite, Geldüberweisungen und Versicherungsansprüche digital abgewickelt, was bedeutet, dass auch größere Vorkehrungen zur Sicherheit getroffen werden müssen.

Auf Verbraucherebene haben sich Plattformen wie Apple Pay und Amazon Pay entwickelt, die ein Gefühl des Vertrauens und der Sicherheit bei Online-Einkäufen vermitteln. Wir fühlen uns wohl, wenn wir mit Apple Pay bezahlen können. Wenn wir jedoch aufgefordert werden, unsere persönlichen Kreditkartendaten einzugeben, halten viele von uns inne und überlegen, ob die Website, der Anbieter seriös sind. Für hochwertige Geschäftstransaktionen gibt es ein solches System noch nicht. Darüber hinaus gibt es kein System, mit dem man sich vergewissern kann, dass ein Unternehmen wirklich das ist, was es vorgibt zu sein. Oder ob eine Verbindung gültig ist. Oder ob wir einen echten Kredit unterschreiben. Der Übergang zu einer digitalisierten Welt vollzog sich so schnell, dass niemand darüber nachdachte, dass wir uns vergewissern müssen, dass der Prozess legitim ist. Woher sollen wir ohne persönliche Interaktion wissen, was legitim ist?

Customer Journey absichern

Es gibt einen Grund dafür, dass Phishing-Angriffe seit 2021 um 61 % zugenommen haben und weshalb Bots heute stärker verbreitet sind als noch vor fünf Jahren: Angreiferinnen und Angreifer haben für sich eine Gelegenheit erkannt und diese genutzt. Als Branche befinden wir uns in einer Sackgasse, weil sich unsere Lösungen auf den Schutz von Endgeräten konzentriert haben, jetzt müssen wir jedoch komplette digitale Prozesse und die Customer Journey absichern. Wir müssen unsere Identität konsequent nachweisen. Lösungen wie Multi-Faktor-Authentifizierung (MFA), Biometrie und Token-basierte Authentifizierung leisten heute einen Teil dieser Aufgabe, aber leider reicht das nicht aus. Fast jede Woche hören wir von raffinierten BEC-Betrügern, die MFA umgehen und dabei Taktiken wie AitM-Phishing-Angriffe (Adversary-in-the-Middle) einsetzen.

Unternehmen sollten ihre Customer Journeys untersuchen und kritische Punkte identifizieren. Auf diese Weise können sie, während der gesamten Customer Journey Stellen ausfindig machen, die Angreiferinnen und Angreifer ausnutzen könnten. Die meisten Unternehmen haben mindestens einen dieser Knackpunkte erkannt und Schutzmaßnahmen ergriffen. Bevor wir beispielsweise die endgültige Rechnung einsehen können, erhalten wir einen Text mit einem sechsstelligen Code, den wir eingeben müssen, bevor wir den Prozess fortsetzen können. Dies sind die richtigen Schritte, aber wir dürfen nicht vergessen, dass eine digitale Transaktion nicht nur ein einstufiger Prozess ist. Wir bewegen uns auf ein Modell zu, das eine kontinuierliche Authentifizierung und Identifizierung während dieser Transaktionen erfordert. Dieses Modell wird für jede Firma etwas anders aussehen, aber letztlich wird das Modell die nachfolgenden fünf Schritte umfassen.

Identitäten verifizieren

Eine unbekannte Identität wird in eine bekannte Identität umgewandelt. Dies sollte zu Beginn eines jeden Prozesses geschehen, bevor eine Transaktion stattfindet. Jede beteiligte Partei sollte ihre Identität nachweisen, sei es durch biometrische Daten oder einen Personalausweis.
Sobald die Identitätsprüfung abgeschlossen ist, sollten individuelle Berechtigungsnachweise für den Zugriff auf das digitale Eigentum verteilt werden – egal ob es sich um eine Website, eine App, ein elektronisches Dokument oder eine virtuelle Umgebung handelt.
Kundschaft und Verbraucherschaft sollten über eine interaktive, sichere virtuelle Umgebung mit verschiedenen Authentifizierungsmethoden durch mehrstufige und hochsichere Transaktionen geleitet werden.
Um die Transaktion selbst durchzuführen und abzuschließen, muss der Prozess eine starke Identitätssicherheit bieten, mit Funktionen wie der Verschlüsselung digitaler Signaturen ausgestattet sein und den strengsten Sicherheitsstandards und -vorschriften entsprechen.
Viele Verträge müssen in Übereinstimmung mit Gesetzen wie ESIGN, UETA und UCC Artikel 9-105 während ihres gesamten Lebenszyklus als eindeutige Originalkopien gespeichert und aufbewahrt werden. Um die Integrität des Dokuments oder der Transaktion zu gewährleisten, müssen Sie die Aufbewahrungskette aufrechterhalten und den Prüfpfad erfassen.

Da sich die Angriffsfläche verlagert, muss die Sicherheit in den gesamten Prozess und die Arbeitsabläufe integriert werden, und zwar nahtlos, um das bestehende digitale Erlebnis nicht zu stören. Mit Blick auf das neue Jahr ist davon auszugehen, dass dieses Thema sowohl für Unternehmen als auch für Sicherheitsdienstleister oberste Priorität haben wird und dass der Identitätsnachweis und die Gewährleistung von Vertrauen in digitale Prozesse zu einem entscheidenden Erfolgsfaktor werden. (Sameer Hajarnis, CPO bei OneSpan)

Mehr bei OneSpan.com

 


Über OneSpan

OneSpan unterstützt Organisationen bei der digitalen Transformation, indem es sichere, gesetzeskonforme und anwenderfreundliche Kundenvereinbarungen und Transaktionen ermöglicht. Organisationen, die ein Höchstmaß an Sicherheit erfordern – von der Integrität von Endnutzer:innen bis hin zur Echtheit von Transaktionsdaten bei Vereinbarungen – entscheiden sich für die Dienste von OneSpan für sichere und zugleich anwenderfreundliche Geschäftsprozesse mit ihren Partnerunternehmen und Kund:innen. OneSpan genießt das Vertrauen globaler Blue-Chip-Unternehmen, darunter mehr als 60 % der 100 weltgrößten Banken. Das Unternehmen verarbeitet jährlich Millionen von digitalen Vereinbarungen und Milliarden von Transaktionen in über 100 Ländern.


 

Passende Artikel zum Thema

Mit Passphrasen mobile Androidgeräte schützen

Passphrasen sind länger und komplexer als einfache Passwörter. Mithilfe eines Passphrasen-Generators lassen sie sich einfach erstellen. Ein führender Anbieter von ➡ Weiterlesen

Sicherheitsfunktionen automatisieren verringert Risiken

Ein Anbieter von Converged Endpoint Management (XEM) bietet eine neue Lösung an, mit der Unternehmen ihre Sicherheits- und IT-Betriebsaufgaben in ➡ Weiterlesen

Staatlich geförderte Cyberangriffe gegen kritische Infrastruktur

Staatlich geförderte Cyberangriffe entwickeln sich zu einer immer größeren Bedrohung, da digitale Systeme unverzichtbar für Regierungen, Unternehmen und kritische Infrastrukturen ➡ Weiterlesen

Phishing: Cyberkriminelle imitieren Zahlungsdienst Zelle

Immer öfter werden Finanzdienstleister Opfer von Third-Party-Phishing-Kampagnen. Neu betroffen ist der Zahlungsdienst Zelle. Kriminelle erbeuten persönliche Daten, indem sie ihre ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen

Schwachstellen beim Schutz von SaaS-Daten

Es sollte nicht überraschen, dass sich Unternehmen in der heutigen digitalen Landschaft mehr denn je auf Software-as-a-Service (SaaS)-Anwendungen verlassen, um ➡ Weiterlesen

TR-ESOR-Zertifikat für Langzeitaufbewahrungslösung

Seit 2013 gibt es die technische Richtlinie TR-ESOR des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Inzwischen gibt es davon ➡ Weiterlesen

Microsoft: APT-Gruppe Storm-0501 zielt auf Hybrid-Clouds

Microsoft hat beobachtet, wie der Bedrohungsakteur Storm-0501 einen mehrstufigen Angriff startete, bei dem er hybride Cloud-Umgebungen kompromittierte und sich lateral ➡ Weiterlesen