Passkeys sind eine neue Art, sich online zu authentifizieren, ohne dabei auf herkömmliche Passwörter angewiesen zu sein. Im Gegensatz zu Passwörtern, die aus einer Zeichenkette bestehen und bisweilen leicht zu erraten oder zu stehlen sind, basieren Passkeys auf kryptografischen Schlüsseln, die wesentlich sicherer sind. Einfach gesagt: Passkeys sind digitale Schlüssel, die auf einem persönlichen Gerät wie Smartphone oder Notebook gespeichert werden und den Zugang zu Online-Konten ermöglichen. Das Verwalten und Eingeben von Passwörtern ist damit nicht mehr erforderlich – die Anmeldung erfolgt automatisch und sicher.

Wie funktionieren Passkeys?

Die Funktionsweise von Passkeys basiert auf dem Konzept der asymmetrischen Kryptografie. Dies bedeutet, dass für jede Anmeldung zwei Schlüssel generiert werden: ein öffentlicher Schlüssel und ein privater Schlüssel.

• Öffentlicher Schlüssel: Dieser wird auf dem Server des Dienstes gespeichert, bei dem Sie sich anmelden möchten.
• Privater Schlüssel: Dieser verbleibt sicher auf dem persönlichen Gerät (z. B. Smartphone, Laptop oder Tablet).

Wenn Sie sich bei einem Dienst anmelden, sendet der Dienst eine Anfrage an Ihr Gerät. Ihr Gerät verwendet den privaten Schlüssel, um diese Anfrage zu signieren, und sendet die signierte Anfrage zurück an den Dienst. Der Dienst überprüft die Signatur mit dem öffentlichen Schlüssel. Stimmt alles überein, erhalten Sie Zugang.

Der Clou dabei: Ihr privater Schlüssel verlässt niemals Ihr Gerät. Selbst wenn ein Hacker den Server des Dienstes kompromittiert, kann er mit dem öffentlichen Schlüssel alleine nichts anfangen.

Warum sind Passkeys sicherer als Passwörter?

Passwörter haben einige grundlegende Schwachstellen. Sie können:

1. Erraten werden, besonders wenn sie einfach sind.
2. Gestohlen werden, z. B. durch Phishing-Angriffe.
3. Wiederverwendet werden, was ein grosses Risiko darstellt, wenn einer der genutzten Dienste kompromittiert wird.

Passkeys umgehen all diese Probleme:

• Sie sind einzigartig und werden für jedes Konto individuell erstellt.
• Sie können nicht gestohlen werden, da der private Schlüssel niemals das Gerät verlässt.
• Es gibt keine Phishing-Gefahr, da der gesamte Prozess automatisch abläuft und Sie niemals sensible Informationen manuell eingeben müssen.

Wo werden Passkeys bereits eingesetzt?

Grosse Technologieunternehmen wie Apple, Google und Microsoft haben Passkeys bereits in ihre Systeme integriert. Wenn Sie ein iPhone, ein Android-Gerät oder einen Windows-PC verwenden, haben Sie also wahrscheinlich schon die Möglichkeit, Passkeys zu nutzen. Viele Websites und Apps bieten diese Funktion ebenfalls an, wie beispielsweise Amazon, DocuSign, eBay, iCloud, LinkedIn, OneDrive, PayPal oder Twitter.

Wie nutzt man Passkeys?

Die gute Nachricht ist, dass Passkeys benutzerfreundlich sind. Die meisten modernen Geräte, wie Smartphones und Laptops unterstützen Passkeys bereits. Die Verwendung ist einfach:

1. Einmalige Einrichtung: Wenn Sie sich das nächste mal bei einem neuen Dienst oder Webseite registrieren, die Passkeys unterstützt, wählen Sie die Option “Login über Passkeys” (oder ähnlich) aus. Ein Passkey wird automatisch für Sie erstellt und auf Ihrem Gerät gespeichert.
2. Anmeldung: Bei zukünftigen Anmeldungen wird Ihr Gerät automatisch erkennen, dass ein Passkey verfügbar ist, und die Authentifizierung erfolgt nahtlos.

Meist können auch biometrische Methoden wie Fingerabdruck oder Gesichtserkennung verwendet werden, um den Prozess noch schneller und sicherer zu machen.

Fazit

Passkeys sind ein bedeutender Schritt in Richtung eines sichereren Internets. Sie bieten nicht nur besseren Schutz vor den Gefahren, die mit Passwörtern einhergehen, sondern sind auch wesentlich bequemer in der Anwendung. Es lohnt sich, diese Technologie im Auge zu behalten und Schritt für Schritt in den Alltag zu integrieren. So sind Sie bestens gerüstet für die Zukunft der digitalen Sicherheit.

Die Kriminalität im Internet wächst. Unter anderem machen «Ransomware-Attacken» regelmässig Schlagzeilen: Bei einem solchen Angriff entwenden Hacker mithilfe von Schadsoftware Unternehmensdaten und verschlüsseln sie. Für die Entschlüsselung stellen sie anschliessend hohe Lösegeldforderungen – wer diesen nicht nachkommt, muss damit rechnen, dass die gestohlenen Daten veröffentlicht werden.

Im Spiel befindet man sich in einer vermeintlich alltäglichen Bürosituation – wird anschliessend aber zur Zielscheibe von Cyberkriminellen. Es gilt, die Ransomware-Attacke so schnell wie möglich zu erkennen und richtig zu reagieren. Die Spielerin oder der Spieler wird dabei vor verschiedene Entscheide gestellt. Wer sich erfolgreich durch alle Aufgabenstellungen durchklickt, erhält am Ende eine persönliche Auswertung und weitere Informationen rund um den Schutz vor Hackerangriffen. Das Spiel kann von Unternehmen beliebig verwendet und in Sensibilisierungskampagnen integriert werden.

Bereits Anfang Jahr prophezeit ein Report der Versicherungsgesellschaft Allianz: Die grösste Gefahr für Unternehmen sind Hackerangriffe. Wie zur Illustration attackierten Hacker im Verlauf des Jahres so viele Unternehmen wie nie zuvor.

Dass die Gefahr aber nicht erst seit 2020 besteht, zeigen die Beispiele der Firmen Meier Tobler und Swisswindows: Das Nebikoner Gebäudetechnikunternehmen Meier Tobler kostete ein Hackerangriff im Vorjahr mehrere Millionen Franken. Noch mehr Aufsehen erregte die Pleite des Mörschwiler Fensterbauers Swisswindows mit rund 170 Mitarbeitenden. Diese sei unter anderem eine Folge eines Cyberangriffs im Frühjahr 2019, sagte der damalige CEO.

Gefahr von Hackern droht insbesondere KMUs, da hier oft das Risikobewusstsein und folglich auch entsprechende Vorsichtsmassnahmen fehlen. Doch es kann auch die Grossen erwischen, das zeigte sich im Mai: Der Bussnanger Zugbauer Stadler Rail wurde von Hackern erpresst. Diese drohten mit der Veröffentlichung sensibler Daten und forderten hohe Geldbeträge. Stadler gab nicht nach und die Erpresser veröffentlichten die Daten.

Opfer von Cyberkriminellen wurden von Frühling bis Herbst auch die ETH, ausserdem drangen Cyberkriminelle in das IT-System der Unternehmensgruppe Metall Zug ein. Den Tätern war es gelungen, interne Buchungen auf falsche Konten umzuleiten. Weitere öffentlich bekanntgewordene Angriffsziele waren die Brugg-Gruppe sowie deren Tochter Fatzer AG. Kurz darauf meldete auch die Swatch-Gruppe einen Angriff. Rund zwei Wochen dauerte es, bis die wichtigsten Systeme wieder liefen.

Im November wurde bekannt: Auch auf die Privatklinikgruppe Hirslanden gab es einen Angriff. Das Unternehmen kam glimpflich davon: Die Versorgung der Patienten wurde nicht beeinträchtigt.

Im Dezember hat es schliesslich auch den Industriekonzern Huber+Suhner erwischt: Nach einem Cyberangriff mit Schadsoftware schaltete das Unternehmen umgehend alle Arbeitsstationen aus, die Produktion war weitgehend lahmgelegt.

Die hier beschriebenen, öffentlich gewordenen Fälle sind allerdings nur die Spitze des Eisbergs. Wie unserem kürzlichen Blog-Beitrag entnommen werden kann, wird geschätzt, dass bereits jedes vierte Schweizer KMU Opfer eines Cyberangriffs wurde.

Cyberangriffe kommen in der Schweiz bei KMU häufig vor. Ein Viertel der Unternehmen mit 4 bis 49 Mitarbeitenden mussten bereits einen solchen Angriff erleben. Rund ein Drittel dieser Firmen wurde durch die Attacke finanziell geschädigt und jedes zehnte angegriffene KMU verlor Kundendaten.

Das zeigt eine aktuelle Studie im Auftrag von Digitalswitzerland, dem Nationalen Zentrum für Cybersicherheit (NCSC) des Bundes, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW), der Schweizerischen Akademie der Technischen Wissenschaften (SATW) und der Mobiliar.

Trotz dieser hohen Zahl an Cyberangriffen fürchten nur wenige Geschäftsführer, dass ihr Geschäft attackiert werden könnte: Laut der Studie gaben rund zwei Drittel der Geschäftsführer das Risiko eines Angriffs als gering an. Nur 11 Prozent schätzen das Risiko eines Angriffs als gross ein. Befragt wurden für die Studie 503 Geschäftsführer von Unternehmen mit 4 bis 49 Mitarbeitenden in der ganzen Schweiz.

Dem Sicherheitsreport zufolge teilt sich die Entwicklung von Schadprogrammen in zwei Bereiche auf: Einerseits nimmt der Einsatz von Massen-Malware (automatisiert erstellte Schadprogramme) für breit angelegte Online-Attacken weiter stark zu. Anderseits entwickeln Cyberkriminelle vermehrt ausgeklügelte Malware für zielgerichtete Angriffe auf Unternehmen und deren digitale Infrastruktur.

Des Weiteren zeigt der Report auf, dass der Schutz bei Android- und macOS-Systemen nach wie vor mangelhaft ist.

Den AV-TEST Sicherheitsreport 2019/2020 sowie Antworten auf die Fragen zur aktuellen Bedrohungslage finden Sie hier.

Mit SIP-Trunks (auch «SIP-Trunking») können lokale Telefonanlagen sowie deren Nutzer an das Internet und moderne Clouddienste angebunden werden. Dazu verknüpft ein VoIP-Anbieter über das Signalisierungsprotokoll «SIP» ein oder mehrere Sprachkanäle mit der Telefonanlage. Da SIP mehrere Echtzeitanwendungen unterstützt, kann SIP-Trunking Sprach-, Video- und Messaging-Anwendungen steuern. SIP-Trunking bietet zudem den Vorteil, dass mit nur einem einzigen Zugangsaccount eine unbegrenzte Anzahl Rufnummern zugewiesen werden kann. Beim herkömmlichen SIP-Verfahren benötigt jede einzelne Rufnummer einen Account mit Benutzername und Passwort.

Hosted PBX Lösungen finden anstelle der klassischen, lokalen Telefonanlagen immer mehr Verbreitung. Dabei handelt es sich um virtuelle Anlagen, die ein Anbieter auf seinen Servern rund um die Uhr als Online-Dienst zur Verfügung stellt. Ausser einem SIP-fähigen VoIP-Telefon und einer schnellen Internetverbindung wird keine weitere Hardware benötigt, telefoniert wird über die Cloud. Das hat den zusätzlichen Vorteil, dass dieser Service überall, sowohl im Büro, im Home-Office oder von unterwegs genutzt werden kann.

Sind Sie mit Ihrer aktuellen Telefonie-Lösung unzufrieden, beraten wir Sie gerne.

Über peoplefone

peoplefone wurde im Jahr 2005 gegründet und ist einer der führenden VoIP-Anbieter in der Schweiz. Sie wurde mehrfach ausgezeichnet und ist von allen bekannten Telefonanlagen-Herstellern zertifiziert. peoplefone bietet massgeschneiderte SIP-TRUNK und HOSTED Lösungen, unlimitierte Anzahl Gesprächskanäle, Rufnummerportierung von Schweizer und internationalen Telefonummern sowie kompetitive Telefonietarife ohne Verbindungsaufbaugebühren.

Wir werden nicht müde, auf die Gefahren von Phishing aufmerksam zu machen und haben diesem Thema schon den einen oder anderen Artikel gewidmet. Diese Woche hat die Google-Schwester Jigsaw ein Quiz aufgeschaltet, mit dem jeder sein Wissen über die Betrugsmasche testen kann. Das Quiz ist derzeit nur auf Englisch verfügbar. Wer es machen möchte, muss einen fiktiven Namen und eine erfundene E-Mail-Adresse eingeben. Sie dienen lediglich dazu, die Quiz-Mails realistischer erscheinen zu lassen.

Falls Sie vor dem Test einen Refresher benötigen, empfiehlt sich, vorher unser Sicherheitsbriefing zu absolvieren.

Hier geht’s zum Everyday IT Phishing-Briefing
Und hier der Link zu Googles Phishing-Quiz

Wenn E-Mail-Postfächer vor Bestell- und Versandbestätigungen grosser Online-Shops überquellen, versprechen sich Cyberkriminelle eine höhere Trefferquote. Denn eine gut gemachte Phishing-Mail mit korrekter Anrede und einem Hinweis auf angebliche Probleme mit einer Bestellung hat in diesem Umfeld bessere Chancen, Benutzer auf gefälschte Webseiten zu locken. Besonders gefährlich sind E-Mails mit Anhang: Diese können prinzipiell Malware enthalten.

Immerhin gibt es eine zuverlässige Möglichkeit, gefälschte Webseiten im Voraus zu erkennen: Anhand der URL der Webseite, auf der man seine «Daten bestätigen» soll. Meistens reicht es, mit dem Mauszeiger über den Link zu fahren, um sich das anzusteuernde Ziel anzuschauen. Auf Mobilgeräten kann meist länger auf einen Link getippt werden, um sich die URL anzusehen.

Weitere Informationen zum Thema Phishing gibt es hier.

An dieser Stelle haben wir schon des Öfteren auf die Gefahren von Cyberangriffen hingewiesen. Dass es sich dabei keineswegs um eine abwegige Utopie handelt, sondern um ein sehr präsentes Risiko, unterstreicht der kürzliche Vorfall bei «Hellocut». Hellocut ist der schweizweit grösste Anbieter eines Online-Buchungs- und Kassenystems für Coiffeure und hat am 15. November 2018 durch einen Cyberangriff vorübergehend sämtliche Daten verloren – einschliesslich der Daten aller angeschlossenen Salons. Für die betroffenen Betriebe eine äusserst unangenehme Situation und für uns ein Grund zu hinterfragen, inwiefern der Betreiber, aber auch die Kunden selbst, ihren Sorgfaltspflichten nachgekommen sind.

Was ist aus Sicht Everyday IT schiefgelaufen?

Die verheerenden Auswirkungen des Angriffs legen nahe, dass der Anbieter seine IT nicht im Griff hatte. Das ist für den Kunden nicht ohne Weiteres ersichtlich und der Kunde kann es auch nur sehr eingeschränkt beeinflussen.

Andererseits haben sich die Kunden wohl auch zu wenig dafür interessiert, wie ihre geschäftskritischen Daten gespeichert werden.

Dazu ist nun folgendes festzuhalten:

• Jeder Internet-Teilnehmer – auch Sie – kann jederzeit Opfer solcher Angriffe werden.
• Beim Speichern von geschäftsrelevanten Daten sollten Sie daher immer im Vorfeld mögliche Risiken abklären und bewerten. Diese Aufgabe können Sie auch jemandem übertragen.
• Überschreiten bei den identifizierten Risiken die Eintretenswahrscheinlichkeit und das Schadenpotenzial ein bestimmtes Mass (nämlich die Risiko-Toleranzgrenze), müssen Vorkehrungen getroffen werden.
• Da die Aufbewahrung kritischer Geschäftsdaten von höchster Wichtigkeit ist, ist die Risiko-Toleranzgrenze dementsprechend tief. Also muss hier genau hingeschaut werden!

Informationssicherheit: Elementares Kriterium bei der Anbieterwahl

Im Fall der Nutzung von Cloud-Diensten würde es also beispielsweise Sinn machen, sich beim Anbieter nach dessen Schutzmassnahmen zu erkundigen. Bei nicht überzeugenden Antworten sollte entweder ein anderer Anbieter berücksichtigt oder – sofern möglich – die Schutzziele durch eigene Massnahmen gewährleistet werden.

Wer sollte diese Abklärungen vornehmen?

Das Einholen, Einordnen und Bewerten der Auskünfte sollte durch jemanden erfolgen, der die Wirksamkeit der Massnahmen auch tatsächlich beurteilen kann. Denn was für einen Laien zufriedenstellend klingen mag, muss noch lange keinen effektiven Schutz bedeuten. Es lohnt sich, in dieser wichtigen Phase eine Fachperson beizuziehen, welche die Abklärungen erst noch sehr viel schneller und damit kostengünstig erledigen kann.

Sicherheit ist auch eine Vertrauensfrage. Gerne empfehlen wir uns in Informatikfragen als zuverlässigen Partner.

Der Software-Hersteller Microsoft hat die Auslieferung seines aktuellen Updates für Windows 10 gestoppt. Damit reagiert das Unternehmen auf Meldungen von Nutzern, dass nach der Aktualisierung persönliche Dateien fehlen.

Automatische Updates: Empfehlenswert oder nicht?

Wer auf seinem Computer Windows 10 hat, bekommt mit den Standardeinstellungen die neuesten Updates automatisch aufs System geladen. Dadurch wird sichergestellt, dass aktuelle Programmverbesserungen auf möglichst vielen Windows-PCs installiert werden. Aus Sicherheitsgründen ist das prinzipiell empfehlenswert und in der Regel verläuft die Verteilung völlig unproblematisch.

So bleiben Ihre Daten sicher

Dass dennoch jedes Update auch Risiken birgt, darüber klärt Microsoft seine Nutzer nicht konsequent auf. Doch grundsätzlich kann jede Interaktion mit dem Computer die letzte sein, bevor eine Festplatte ihren Dienst verweigert oder ein Programm einen Fehler aufweist.

Deshalb sollten Nutzer ihre Daten immer gesichert haben, um sie im Schadenfall wiederherstellen zu können. Wie das geht, können Sie in unserem Artikel «So sichern Sie Ihre Daten richtig» nachlesen.