- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Wenn SMS-Nachrichten nicht funktionieren


Fünf Tipps zur Implementierung der Multifaktor-Authentifizierung
Es existieren unzählige länderspezifische Bestimmungen, die eingehalten werden müssen, damit eine SMS ankommt

(12.08.15) - Multifaktor-Authentifizierung wird nicht nur zur Norm (sowohl Apple als auch Snapchat arbeiten mittlerweile mit der Zwei-Faktor-Authentifizierung), sondern zur Vorschrift. Die Europäische Bankenaufsichtsbehörde (EBA) verlangt von Zahlungsdiensten vor der Abwicklung von Online-Zahlungen eine strenge Kundenauthentifizierung durchzuführen. Um die angegebene Identität zu bestätigen, müssen sich die Nutzer anhand von mindestens zwei spezifischen Merkmalen ausweisen können. Zur Auswahl stehen entweder eine Information wie ein statisches Passwort, ein Gerät, das nur der Nutzer besitzt, wie z.B. ein Mobiltelefon oder eine biometrisches Merkmal des Nutzers, etwa ein Fingerabdruck.

Der erste Stichtag zur Umsetzung der neuen Richtlinie ist der 1. August 2015: Bis dahin müssen Payment-Service-Provider verbesserte Authentifizierungslösungen für Nutzer implementiert haben. Auch in Ländern außerhalb der EU sind ähnliche Regelungen bereits in Kraft getreten oder werden wahrscheinlich bald eingeführt. Zur Umsetzung einer starken Authentifizierung gibt es mehrere Möglichkeiten. Die Telefonverifizierung hat sich als eine gute Option für die Zwei-Faktor-Authentifizierung erwiesen. Sie lässt sich leicht einrichten und erfordert nur einen geringen Zusatzaufwand seitens des Kunden.

Nexmo hat ihre Erfahrungen in Form von "Fünf Tipps zur Implementierung der Multifaktor-Authentifizierung" zusammengestellt.

1. Beachten Sie länderspezifische Vorschriften
Es existieren unzählige länderspezifische Bestimmungen, die eingehalten werden müssen, damit eine SMS ankommt. In Deutschland beispielsweise erhält nur derjenige eine Telefonnummer mit deutscher Ländervorwahl, wenn die betreffende Person oder das betreffende Unternehmen einen Wohn- oder Geschäftssitz im Land vorweisen kann. Manche Länder wie z. B. Frankreich verlangen alphabetische Absender-IDs.

2. Verifizieren Sie, ob Ihre Nachrichten ankommen oder gelesen werden können
Es gibt viele Situationen, in denen SMS-Nachrichten nicht funktionieren: Entweder ist der Empfänger nicht in der Lage, die SMS zu lesen, wie beispielsweise Menschen mit einer Sehstörung oder Leseschwäche. Hier wären Sprachnachrichten (text-to-speech) die passende Alternative zur klassischen SMS.

Oder die angegebene Nummer ist überhaupt keine Mobilnummer, sondern eine Festnetz- oder Faxnummer. Das müssen Sie verifizieren, denn in diesem Fall kommt die SMS gar nicht erst an, was ins Geld gehen kann. Auch VoIP-Nummern, die gerade von Betrügern eingesetzt werden, können nicht eindeutig einem Endgerät zugeordnet werden. Somit bleibt auch hier unklar, ob ein Verfizierungscode angezeigt werden kann. Sie werden ebenso aussortiert.

3. Bieten Sie mehrsprachigen Support an
Support in mehreren Sprachen anzubieten ist unproblematisch, wird aber häufig vergessen. Sparen Sie nicht an der falschen Stelle – billige Übersetzungen können zu einer schlechten Customer Experience führen und Kunden abschrecken.

4. Setzen Sie ein Zeitlimit
Arbeiten Sie mit Zeitalgorithmen wie RFC6238, die Verifizierungscodes löschen, falls diese nicht innerhalb eines bestimmten Zeitraums genutzt werden. Wenn die Codes nicht nach einer angemessenen Zeit ungültig werden (5 Minuten sind empfehlenswert), können Spammer sie sammeln und in Ihren Dienst eindringen.

5. Behalten Sie Ihre Conversion-Rates im Blick
Überprüfen Sie Ihre Conversion-Rates, sobald Ihre Mehrfaktor-Lösung im Einsatz ist und treffen Sie gegebenenfalls entsprechenden Maßnahmen. Ist das Zeitfenster zu klein? Sind Ihre PIN-Codes zu lang? Sicherheit ist wichtig, doch die User Experience auch.
(Nexmo: ra)

Nexmo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.