Die Überprüfung der Identität aus der Ferne wird immer schwieriger, aber auch immer wichtiger. Deepfakes sind auf dem Vormarsch. Sie sind zunehmend schwer von der Realität zu unterscheiden und schaden dadurch zunehmend der Sicherheit. Wie können Sie also überprüfen, ob ein Mitarbeiter wirklich derjenige ist, der er vorgibt zu sein, wenn Sie ihn nicht physisch verifizieren können?
Als großes Enterprise mit weltweiten Niederlassungen und Büros hat Okta viele Remote-Mitarbeiter, die sich von Heimbüros und anderen Standorten aus mit seinen Systemen verbinden (mithilfe gehärteter Geräte). Zwei der häufigsten Fragen zur Remote-Arbeit, die mir gestellt werden, sind:
- Wie verifizieren wir die Identität einer Person, die wir einstellen möchten, wenn so viele der Einstellungs- und Onboarding-Prozesse aus der Ferne abgeschlossen werden?
- Wie verifizieren wir die Identität eines Remote-Teammitglieds zu einem späteren Zeitpunkt (z. B. wenn jemand, der vorgibt, es zu sein, unseren IT-Helpdesk anruft?)
Lassen Sie uns einige Best Practices erkunden, die Unternehmen in diesen Szenarien anwenden können, basierend auf dem, was wir bei Okta umgesetzt haben und was meiner Erfahrung nach in der gesamten Branche funktioniert.
Bevor wir eintauchen, möchte ich betonen, dass nichts von dem, was ich hier sage, ein Ersatz für ein starkes Insider-Bedrohungsprogramm ist, das physische Sicherheit, Personalsensibilisierung und informationszentrierte Prinzipien kombiniert. Vielmehr sollten all diese als komplementäre Ansätze zum Aufbau und zur Aufrechterhaltung einer starken Sicherheitslage betrachtet werden, die unter einer umfassenderen Sicherheitskultur existieren.
Identity-Betrug während des Einstellungsprozesses
Die Risiken, die mit ausschließlich Remote-Recruiting und -Einstellungen verbunden sind, sind zwar nicht neu, traten aber im Juli 2024 in den Vordergrund, als Stu Sjouwerman, CEO und Gründer der Sicherheitsfirma KnowBe4, einen Blog mit dem Titel How a North Korean Fake IT Worker Tried to Infiltrate Us veröffentlichte.
Sjouwermans Beitrag beschreibt, wie KnowBe4 unwissentlich einen nordkoreanischen Hacker einstellte, der „eine gültige, aber gestohlene US-basierte Identität“ verwendete, um eine Stelle als Softwareentwickler zu bekommen. Unmittelbar nach dem Hochfahren ihres neu bereitgestellten Firmenlaptops begann der Hacker, Malware zu laden. Glücklicherweise haben die Sicherheitskontrollen von KnowBe4 den Missbrauch erkannt, und der Vorfall wurde eingedämmt, bevor der Hacker Schaden anrichten konnte.
Die Experience von KnowBe4 ist kein Einzelfall. Tatsächlich gaben drei US-amerikanische Regierungsbehörden im Jahr 2022 eine gemeinsame Warnung heraus, dass nordkoreanische IT-Mitarbeiter versuchten, Identitätsbetrug zu begehen, um sich eine Anstellung zu sichern und Zugang zu sensiblen Informationen zu erlangen. Das FBI veröffentlichte 2023 zusätzliche Richtlinien, und das britische Office for Financial Sanctions Implementation gab eine ähnliche Warnung mit noch mehr Details heraus.
Das von nordkoreanischen Hackern ausgehende Risiko ist ernst und sollte nicht unterschätzt werden, aber Identity fraud geht über Einzelpersonen hinaus, die im Namen von Regimen handeln. Manchmal verwenden Bewerber Stellvertreter, um sich auf eine Stelle zu bewerben – die Person, die zur Arbeit erscheint, ist nicht dieselbe Person, die das Unternehmen interviewt hat.
Wie dem auch sei, Identity-Betrug setzt das Unternehmen einem Risiko aus.
Schutz vor Identity-Betrug
Leider gibt es keine einfache Lösung zur Bekämpfung von Identity-Betrug. Wenn es das gäbe, würden Unternehmen nicht vor dieser Herausforderung stehen.
In der Praxis erfordert die Stärkung Ihrer Sicherheitsvorkehrungen einen mehrschichtigen Ansatz, der eine Kombination aus Menschen, Prozessen und Technologie umfasst. Zusätzlich zu den folgenden Vorschlägen empfehle ich Ihnen, die im vorherigen Abschnitt verlinkten behördlichen Hinweise zu lesen.
Beginnen Sie mit Ihren Mitarbeitern:
- Fördern Sie eine Sicherheitskultur, in der sich jeder im Unternehmen der allgemeinen Bedrohungen bewusst ist.
- Stellen Sie sicher, dass die an der Einstellung beteiligten Personen ein spezielles Training erhalten, um auf Anzeichen von Identity-Betrug zu achten, einschließlich:
- Inkonsistenzen in der Schreibweise von Namen in verschiedenen Dokumenten und Online-Profilen
- Die Zurückhaltung eines Interviewten, vor der Kamera zu erscheinen
- Unterschiedliche Adressen für den Arbeitsort und den Versand von Hardware
- Zögern des Bewerbers bei der Beantwortung einfacher Fragen zu Hintergrund und Qualifikationen
- Achten Sie auf Social-Media-Profile, die nicht mit dem Lebenslauf des Kandidaten übereinstimmen, auf mehrere Profile für dieselbe Identität mit unterschiedlichen Bildern oder auf Online-Profile ohne Bild.
Entwickeln Sie die Prozesse, um Ihre Sicherheitslage zu stärken:
- Führen Sie gründliche Hintergrundüberprüfungen durch, einschließlich biometrischer Verifizierung.
- Verlangen Sie während Remote-Interviews, dass die Kandidaten ihre Kamera einschalten.
- Wenn Sie Referenzen überprüfen, beschaffen Sie die Kontaktinformationen der Referenzen direkt und verwenden Sie nicht die vom Kandidaten bereitgestellten Informationen; versuchen Sie, die Referenzen zu verifizieren (z. B. durch bekannte Verbindungen in einem professionellen Netzwerk).
- Verlangen Sie von neuen Mitarbeitern, dass sie mindestens zwei Dokumente zur Identity vorlegen, z. B. einen von der Regierung ausgestellten Ausweis und/oder einen notariell beglaubigten Identity.
- Fordern Sie von den Finanzinstituten neuer Mitarbeiter ungültige Schecks oder beglaubigte Unterlagen an, die ihren Account zeigen. Vergewissern Sie sich, dass die Scheck- und Routingnummern mit einer tatsächlichen Bank übereinstimmen und nicht mit einem Geldtransferdienst.
- Implementieren Sie einen durchgängig phishing-resistenten Onboarding-Prozess. (Weitere Informationen finden Sie in meinem vorherigen Blog The weakest link: Securing your extended workforce.)
- Erwägen Sie, zumindest einige Ihrer Vorstellungsgespräche oder Ihr Onboarding persönlich abzuhalten.
Adoptieren Sie die Technologie, um Ihren Mitarbeitern und Prozessen Support zu bieten:
- Erwägen Sie die Nutzung eines Drittanbieter-Dienstes zur Identitätsprüfung, der die Identitäten potenzieller Mitarbeiter durch Abgleich mehrerer Identifikationsmethoden verifizieren kann.
- Im Rahmen des sicheren Onboardings senden Sie einen Offline-Sicherheitsschlüssel (z. B. YubiKey) und den Laptop separat; stellen Sie sicher, dass die Zieladressen identisch sind und mit dem Arbeitsort des neuen Mitarbeiters übereinstimmen, und erlauben Sie keinen Versand an ein Postfach. Box.
- Stellen Sie sicher, dass eine phishing-resistente Authentifizierung verwendet wird, um die Identität zu überprüfen, bevor neuen Mitarbeitern Zugriff auf Geschäftstools gewährt wird.
Überprüfung der Identitäten von Remote-Mitarbeitern
Nun zur Beantwortung der zweiten Frage: Wie verifizieren wir die Identität eines Remote-Teammitglieds zu einem späteren Zeitpunkt?
Zum Kontext: Einige Angreifer nutzen Schwachstellen in den Account Recovery Workflows aus, um auf geschützte IT-Umgebungen zuzugreifen, oft indem sie den Helpdesk eines Unternehmens anrufen und sich als legitime Mitarbeiter ausgeben.
Normalerweise nutzen solche Angreifer Account Recovery Workflows aus, die auf einzelnen Authentifizierungsfaktoren basieren:
- Heutige Angreifer können Open-Source-Intelligence-Taktiken anwenden, um persönliche Details zu entdecken, die oft als wissensbasierte Authentifizierungsfaktoren dienen.
- Angreifer können auch persönlich identifizierbare Informationen von Personensuchdiensten, Datenbrokern und Leaks, die im Dark Web veröffentlicht wurden, erlangen.
- Selbst „Liveness“-Überprüfungen, die auf Audio oder Video basieren, sind aufgrund der fortschreitenden Deepfake-Fähigkeiten anfällig.
Um diese Bedrohungen zu bekämpfen, haben wir unsere eigenen Tools und die unternehmensweite Implementierung von YubiKeys genutzt, um eine Anrufer-Identity-Überprüfung zu implementieren, die phishing-resistent, auditierbar und benutzerfreundlich für Helpdesk-Agenten und legitime Anrufer ist.
Unternehmen, die keine Offline-Sicherheitsschlüssel implementiert haben, können dennoch Schutzmaßnahmen einführen, um die Identity von Anrufern zu verifizieren. Zum Beispiel ermöglicht Okta Workflows die weitgehende Automatisierung eines Anrufer-Identity-Überprüfungsprozesses mithilfe von in Okta registrierten Authentifizierungsfaktoren, darunter:
- Eine Okta Verify Push-Herausforderung wird an das registrierte Mobilgerät des vermeintlichen Anrufers gesendet.
- Ein Einmalpasscode (OTP) von Okta Verify, Google Authenticator oder einem ähnlichen vertrauenswürdigen Kanal wird an die registrierte Mobiltelefonnummer des angeblichen Anrufers gesendet.
- Ein geheimes Schlüsselwort, das an die primäre oder sekundäre E-Mail-Adresse des angeblichen Anrufers gesendet wird.
Das Fazit: Ihr Training, Ihre Technologie und Ihre Prozesse müssen sich weiterentwickeln
Es ist wichtig, Ihr Training und Ihre Verfahren zur Verifizierung der Identity Ihrer Remote-Mitarbeiter regelmäßig zu überarbeiten, insbesondere im Kontext der neuesten Taktiken, Techniken und Verfahren, die von Angreifern eingesetzt werden. Gegner sind hoch motiviert, Umgehungen für Ihre Abwehrmaßnahmen zu finden, und eine Schutzmaßnahme, die gestern hochwirksam war, könnte morgen nicht mehr so zuverlässig sein.
Während Technologie eine Rolle spielen kann, insbesondere bei der phishing-resistenten Authentifizierung, sind auch Menschen und Prozesse ebenfalls von wesentlicher Bedeutung. Die Maximierung unseres Schutzes vor Identity-Betrug erfordert, dass alle drei Elemente im Einklang arbeiten.
Schließlich macht nichts von alledem ein Insider-Bedrohungsprogramm überflüssig, das die oben beschriebenen Praktiken ergänzt, indem es hilft, Bedrohungen aufzudecken, die durch Ihre Einstellungsfilter gelangt sind (und indem es das bedauerliche Szenario eines guten Mitarbeiters aufdeckt, der sich zum Schlechten gewendet hat).
Wenn Sie Mehr erfahren möchten, wie Sie Ihre gesamte Belegschaft, einschließlich Auftragnehmern, Lieferanten und anderen Dritten, schützen können, lesen Sie meinen Artikel The weakest link: Securing your extended workforce.
