Multi-Faktor-Authentifizierung wird Pflicht bei Google Cloud
In naher Zukunft müssen alle Nutzer der Google Cloud Platform (GCP) bei der Anmeldung nicht nur ihr Passwort eingeben, sondern auch einen zusätzlichen Code nutzen. Google plant diese Umstellung, um die Übernahme von Konten durch Angreifer zu erschweren. Die Einführung der obligatorischen Multi-Faktor-Authentifizierung (MFA) hat bereits begonnen und soll bis Ende 2025 für alle Nutzer verpflichtend sein.
Warum MFA bei Google Cloud eingeführt wird
Ein aktueller Blogbeitrag von Google erläutert die Gründe für diese Sicherheitsmaßnahme. Derzeit ist es für Angreifer vergleichsweise einfach, ein Konto zu kapern, wenn sie Zugriff auf die Login-Daten haben. Die alleinige Eingabe eines Passworts soll deshalb zukünftig nicht mehr ausreichen. Mit der Aktivierung von MFA ist zusätzlich ein Code erforderlich, der beispielsweise von einer Authenticator-App generiert wird. Damit wird verhindert, dass ein Angreifer mit nur einem Passwort auf ein Konto zugreifen kann.
Zeitrahmen und Umsetzung
Anfang 2025 plant Google den Start des Rollouts der Pflicht-MFA für bestehende Konten. Ab diesem Zeitpunkt können neue Nutzer nur noch mit Aktivierung der MFA ein Konto erstellen. Bis Jahresende 2025 soll das neue Anmeldeverfahren für alle Cloud-Nutzer verbindlich werden. Google arbeitet dabei eng mit Geschäftskunden und Identitätsanbietern zusammen, um den Übergang so reibungslos wie möglich zu gestalten. Aktuell nutzen bereits etwa 70 Prozent der Cloud-Kunden MFA.
Sicherheitsempfehlungen von Google
Google empfiehlt allen Endkunden, die Multi-Faktor-Authentifizierung schon vorab unter security.google.com zu aktivieren. Zusätzlich rät das Unternehmen dazu, auch für reguläre Google-Accounts die Zwei-Faktor-Authentifizierung (2FA) zu implementieren, um die Konten weiter abzusichern.
Weiterführende Sicherheitsmaßnahmen
Neben der Einführung der MFA arbeitet Google an weiteren Maßnahmen zum Schutz der Benutzerkonten. Eine davon ist die Einführung der Device Bound Session Credentials (DBSC), die den Diebstahl von Cookies und die damit verbundene Übernahme von Login-Sitzungen verhindern soll. Diese Neuerungen sollen die Sicherheit weiter verbessern und den Schutz vor unbefugtem Zugriff erhöhen.
Passend zur kalten Jahreszeit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheit von smarten Heizkörperthermostaten untersucht. Die Analyse zeigt, dass viele Geräte keinen ausreichenden Schutz bieten und personenbezogene Daten gefährden könnten. Das BSI fordert bessere Sicherheitsmaßnahmen von den Herstellern und bietet Empfehlungen zur Verbesserung der IT-Sicherheit im Entwicklungsprozess.
Aktuell nutzen Cyberkriminelle zwei Sicherheitslücken in Windows aus und weitere Schwachstellen sind bekannt, was das Risiko für künftige Angriffe erhöht. IT-Administratoren sollten Windows Update aktivieren und alle Patches installieren. Eine Schwachstelle in MSHTML (CVE-2024-43451, Risiko „mittel“) und eine im Windows Task Scheduler (CVE-2024-49039, Risiko „hoch“) sind aktiv in Nutzung. Zudem gibt es vier weitere bekannte Sicherheitslücken, darunter eine kritische in .NET und Visual Studio (CVE-2024-43498). Microsoft hat kürzlich Schwachstellen in Excel, SQL Server und anderen Komponenten geschlossen. Es ist wichtig, Systeme aktuell zu halten, um Angriffe zu verhindern.
Jedem ist der Begriff „IT-Sicherheit“ bekannt und jeder weiß, was es damit auf sich hat. Oder etwa nicht? Im letzten Beitrag haben wir bereits erläutert, welche Anforderungen das sogenannte IT-Sicherheitsgesetz (IT-SiG) mit sich bringt. Unternehmen müssen verschiedene Punkte gewährleisten, um als sicher zu gelten. Darunter beispielsweise Firewall, Netzwerksegmentierung uvm. Heute thematisieren wir die BSI-Standards und […]
Sensible Daten und Systeme von Firmen verlangen einen Rundum-Schutz, um vor allen Risiken vollständig sicher zu sein. Für Unternehmen ist das eine Herausforderung– für uns als Experten ist es grundlegende Kompetenz. Während Sie sich weiter auf Ihr Kerngeschäft fokussieren können, garantiert woelke it-solution als regionaler Dienstleister vor Ort absolute Sicherheit. Mit unseren IT-Experten schützen Sie Ihr Netzwerk […]
Im digitalen Untergrund tauchen zunehmend sensible Informationen von Mitarbeiter:innen großer Unternehmen auf, darunter Daten von Amazon, HP, HSBC, und Lenovo. Über ein Forum wurde ein Datensatz, der die Identität von Angestellten offenlegt, zum Verkauf angeboten. Der Verantwortliche hinter dem Pseudonym „Nam3l3ss“ bietet solche Daten von Mitarbeitenden potenziell über tausend Unternehmen an. Die kompromittierten Daten stammen vom 31. Mai 2023 und beinhalten keine Kundeninformationen, sondern Angaben wie Namen, Personalnummern und Jobbezeichnungen. Die Sicherheitsanalysen bestätigen die Betroffenheit insbesondere von Amazon und HSBC. Die genauen Umstände, wie die Daten erlangt wurden, bleiben unklar.
Das FBI in Atlanta hat kürzlich eine Warnung herausgegeben: Cyberkriminelle setzen verstärkt auf den Diebstahl von Session-Cookies, um E-Mail-Konten zu kapern. Obwohl diese Methode nicht neu ist, nimmt ihre Anwendung offenbar zu. Google arbeitet an Device Bound Session Credentials, um aktive Sitzungen sicher an Geräte zu koppeln und so die Nutzung gestohlener Cookies zu verhindern. Bis zur Verfügbarkeit dieser Technologie sollten Nutzer Vorsichtsmaßnahmen ergreifen, um Cookies zu schützen.
