Multifaktor-Authentifizierung ist Pflicht: Eine Analyse des Falls Wiley Rein
Die renommierte US-amerikanische Anwaltskanzlei Wiley Rein ist Gegenstand einer Sammelklage. Ihr wird vorgeworfen, sensible personenbezogene Daten nicht ausreichend geschützt zu haben, die von Hackern gestohlen wurden, die mutmaßlich Verbindungen zur chinesischen Regierung unterhalten.Laut Klageschrift verschafften sich Cyberkriminelle zwischen Juli 2024 und Juni 2025 Zugriff auf Microsoft-365-E-Mail-Konten bestimmter Wiley-Rein-Mitarbeiter, bevor das Unternehmen den Einbruch im vergangenen Jahr bemerkte.Die gestohlenen Daten umfassen angeblich Namen, Adressen, Geburtsdaten, Kontonummern, medizinische Informationen sowie vollständige oder teilweise Sozialversicherungsnummern. Die Benachrichtigung der Betroffenen begann erst um den 6. März 2026.„Der Datenverstoß bei Wiley Rein unterscheidet sich von typischen Datenschutzverletzungen, da er Verbraucher betrifft, die in keiner Beziehung zu Wiley Rein standen, das Unternehmen nie kontaktiert und der Erfassung und Speicherung ihrer Daten durch Wiley Rein nie zugestimmt haben“, heißt es in der Klageschrift.Dieser Fall verdeutlicht die Anfälligkeit von Cybersicherheitssystemen, insbesondere wenn wir unsere Daten ohne Vorsichtsmaßnahmen an Dritte weitergeben. Angesichts der Häufigkeit von Cyberangriffen sind Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentifizierung unerlässlich.Betrachten wir einige Szenarien, in denen der Angriff hätte verhindert werden können.Szenario 1: Ohne Zwei-Faktor-AuthentifizierungDer Angreifer versendet eine Phishing-E-Mail, erlangt Benutzername und Passwort, meldet sich bei Microsoft 365 an und kann E-Mails einsehen. Dadurch erhält er vollen Zugriff auf alle in den E-Mails ausgetauschten Informationen.Szenario 2: Mit einfacher Zwei-Faktor-AuthentifizierungMit aktivierter Zwei-Faktor-Authentifizierung (MFA) reicht der Diebstahl des Passworts allein nicht aus. Der Angreifer hätte zusätzlich den zweiten Faktor umgehen müssen: SMS-Code, Push-Benachrichtigung, Authentifizierungs-App, physischer Token oder Ähnliches. In der Praxis wäre der Angriff wahrscheinlich wie folgt abgelaufen:1. Der Mitarbeiter fällt auf den Phishing-Betrug herein und gibt sein Passwort ein.2. Der Angreifer versucht, sich anzumelden.3. Microsoft 365 fordert den zweiten Faktor an.4. Wenn der Mitarbeiter die Anfrage nicht genehmigt, wird der Zugriff gesperrt.5. Der Vorfall wird möglicherweise auf „gestohlene Anmeldeinformationen“ anstatt auf „kompromittiertes Postfach“ reduziert.Szenario 3: mit Phishing-resistenter MFADas sicherste Szenario wäre die Verwendung physischer Sicherheitsschlüssel mit Zertifikatsauthentifizierung gewesen. Dies ist insbesondere in juristischen Kontexten mit Zugriff auf sensible Informationen relevant. In Spanien wird diese Methode mithilfe digitaler Zertifikate eingesetzt, um die Sicherheit von Kundendaten jederzeit zu gewährleisten. Die Zwei-Faktor-Authentifizierung verhindert zwar keinen Angriff, kann aber einen Datenschutzverstoß verhindern.
Español
English
Deutsch
