Phishing und mögliche Sicherheitsmaßnahmen in pretix
Lesezeit: 5 Minuten
Vergangene Woche landete ein aufwendiger, raffiniert angelegter und direkt auf uns zielender Phishing-Versuch in unserem Support-Mailpostfach. Wir bei pretix waren davon sehr überrascht, aber wir waren auf diesen Angriff gut vorbereitet. Dennoch haben wir diesem Phishing-Versuch Einiges an Aufmerksamkeit gewidmet und unterschiedliche Gegenmaßnahmen eingeleitet. Weshalb dieser Phishing-Versuch nicht bei uns funktioniert hat und wie Sie auch gezielte Maßnahmen ergreifen können, um sich gegen solche Phishing-Versuche zu wehren, möchten wir gerne kurz erläutern.
Wir legen viel Wert auf den Datenschutz und die Informationssicherheit bei pretix und mit unserer ISO27001-Zertifizierung zeigen wir transparent, dass wir ein umfangreiches Informationssicherheitsmanagement in unserer Firma betreiben. Dazu gehört unter anderem, dass wir auf Angriffe verschiedener Art vorbereitet sind, wie auch sogenannte Phishing-Attacken per E-Mail (Neologismus von "fishing", engl. für "Angeln"). Diese gehören heute leider zum Alltag. Bei einer Phishing-Attacke wird den Nutzer*innen meist per E-Mail ein vertrauenswürdiger Kommunikationspartner vorgetäuscht, um an sensible Kreditkarten-, Bank- oder auch Zugangsdaten zu gelangen. Diese Art der Täuschungsversuche, die bei uns landen, rangieren meist zwischen dreist und offensichtlich als Phishing-Versuch erkennbar oder zeigen sich nach kurzer Überlegung als Täuschung, aber irgendwann kommt vielleicht ein Phishing-Versuch, der einen stutzen lässt und dann ist es gut, vorbereitet zu sein.
Tipps für Maßnahmen gegen Phishing
Passwort-Manager
Als beste Maßnahme zur Absicherung Ihrer Login-Daten möchten wir Ihnen die Verwendung eines Passwortmanagers ans Herz legen: Dieser unterstützt Sie beim Anlegen neuer Benutzer*innen-Konten für Webseiten, indem Ihnen starke, individuelle Passwörter vorgeschlagen und für diese Seite abgespeichert werden. Wenn Sie sich erneut einloggen möchten, werden diese Daten wieder abgerufen und in das entsprechende Login-Feld automatisch eingetragen. Hierbei tritt ein weiterer, die Sicherheit wesentlich erhöhender Effekt ein: Der Passwortmanager schlägt nämlich nur eine Benutzer*innen-Namen/Passwort-Kombination vor, wenn die momentan aufgerufene Webadresse mit einer abgespeicherten Webadresse übereinstimmt. Dazu ein Beispiel: Für www.pretix.eu bekämen Sie keinen Vorschlag Ihres Passwortmanagers für Ihr pretix-Konto präsentiert, weil der Passwortmanager dieses mit unserer Website www.pretix.eu verknüpft hat und nur für diese Webadresse freigibt. Auf diese Weise können Sie nicht auf Phishing-Versuche hereinfallen, die (leicht) veränderte und damit leicht zu übersehende Webadressen verwenden.
Zwei-Faktor-Authentifizierung
Um die Sicherheit weiter zu erhöhen, raten wir Ihnen, zusätzlich in Ihrem pretix-Benutzerkonto noch die Zwei-Faktor-Authentifizierung (2FA) einzuschalten. Damit ist ein Identitätsdiebstahl nahezu ausgeschlossen, weil neben den Zugangsdaten, die Ihnen der Passwortmanager vorschlägt, noch ein zweiter, davon unabhängiger Beweis ("Faktor") zum Login benötigt wird, der mit Ihrem Benutzer*innen-Konto in pretix verknüpft ist. Dieser zweite Faktor kann nicht kopiert werden und ist quasi Ihr Ausweisdokument, das Sie beim Login noch vorzeigen und damit beweisen, dass es sich tatsächlich um Sie handelt. Auch wenn Ihre Zugangsdaten gestohlen werden sollten, kann sich niemand mit diesen Einloggen, weil der zweite Faktor zum Login fehlt und sich dieser in Ihrem Smartphone/Software/Hardware befindet.
Eine einfache Lösung für einen zweiten Faktor ist die Verwendung einer Authentikator-App auf Ihrem Smartphone ("TOTP", "time-based one-time password", engl. für "zeitbasiertes Einmalpasswort"). Dies ist ein guter Schutz Ihres Kontos.
Noch besser ist die Verwendung eines sogenannten "Passkey", der von aktuellen Browsern und Betriebssystemen angeboten wird. Dieser Passkey verwendet keine zusätzlichen zeitbasierten Passwörter, sondern tauscht mit dem pretix-Server in einem komplexen Verifizierungs-Verfahren Daten aus (wie bei einem Ping-Pong-Spiel werden zwischen Ihrem Browser und dem pretix-Server Anfragen und Antworten ausgetauscht), wobei die Antworten, die Ihr Browser sendet, nur für unseren pretix-Server gültig sind und nicht für andere (eventuell gefälschte) Server.
Die größte Sicherheit bietet die Verwendung eines Hardware-Tokens in Form eines kompakten USB-Sticks (beispielsweise der YubiKey von Yubico). Während des Login-Vorgangs stecken Sie diesen in einen USB-Port Ihres Rechners und weisen sich damit aus. Wie beim oben genannten Passkey werden zwischen dem pretix-Server und Ihrem Hardware-Token Daten ausgetauscht und sichergestellt, dass die Antworten Ihres Hardware-Tokens nur für den pretix-Server gültig sind.
Sämtliche oben genannten Zwei-Faktor-Authentifizierungen ("2FA") können Sie in Ihrem pretix-Benutzer*innenkonto unter Benutzereinstellungen > 2FA einschalten. Notieren Sie sich bitte während der Einrichtung die Notfall-Tokens und bewahren Sie diese an einem sicheren Ort auf. Falls das registrierte Gerät für den zweiten Faktor ausfallen sollte, können Sie sich mit diesen Notfall-Tokens ersatzweise anmelden. Jeder Token funktioniert nur ein einziges Mal. Als Administrator eines Veranstalterkontos können Sie seit Kurzem die Verwendung der Zwei-Faktor-Authentifizierung im pretix-Veranstalterkonto für einzelne Teams auch verpflichtend vorschreiben:
Neue Sicherheitsfunktionen
Bei den oben genannten Empfehlungen müssen Sie aktiv werden, um den besten Schutz zu erhalten. Aber gleichzeitig arbeiten wir auch daran, Ihren pretix-Account mit allen Möglichkeiten, die uns zur Verfügung stehen, zu schützen. Neben der bereits erwähnten neuen Möglichkeit, Zwei-Faktor-Authentifizierung für Ihre Kolleg*innen zu erzwingen, arbeiten wir kontinuierlich weiter daran, die Sicherheitsfunktionen in unserem System auszubauen. Vielleicht haben Sie es schon gemerkt: Seit gestern schickt Ihnen unser System eine E-Mail, wenn wir einen Login von einem anderen Gerät oder aus einem anderen Land als sonst feststellen. Wenn Sie also nur Windows benutzen und sich plötzlich ein MacBook in Ihrem Account anmeldet, oder plötzlich jemand am anderen Ende der Welt Ihr Passwort erfahren hat, haben Sie so ein Frühwarnsystem und können Ihre Zugangsdaten ändern.
Zusammenfassung
Falls Sie noch Fragen zu diesem Thema haben, melden Sie sich gerne per Telefon oder Mail bei uns.