Home » Fachbeiträge » Security Management » MFA ist ein Prozess

MFA ist ein Prozess

Das Risikopotenzial einer rein passwortbasierten Authentifizierung steht außer Frage. Insofern ist es mit Blick auf die Praxis erfreulich, dass Unternehmen der Absicherung von Identitäten und Zugangsinformationen heute deutlich mehr Aufmerksamkeit schenken als noch vor einigen Jahren und sich immer mehr mit der Multi-Faktor-Authentifizierung (MFA) auseinandersetzen.

6 Min. Lesezeit
©AdobeStock/THAWEERAT

Bei der Auswahl und Implementierung einer MFA-Lösung sollte jedoch auf die Details geachtet werden, denn auch die Angriffsmöglichkeiten aufseiten der Cyberkriminellen entwickeln sich weiter.

Läutet die Multi-Faktor-Authentifizierung das Ende des Russisch-Roulette-Spiels bei der Zugangsabsicherung ein?

Passwörter sind immer noch die am weitesten verbreitete Form der Authentifizierung beim Zugriff auf Plattformen, Systeme und Anwendungen – und die mangelnde Disziplin der Benutzer im Umgang damit ist nach wie vor ein gefundenes Fressen für Angreifer. So listet eine Studie von Nordpass beispielsweise die 200 weltweit gängigsten Passwortkombinationen auf. In der Bundesrepublik nehmen hierbei „123456“, „password“ und „123456789“ die vordersten Ränge ein. Um diese zu knacken, wird nicht einmal eine Sekunde benötigt. Dasselbe gilt für viele weitere Passwörter der Liste. „Password“ wird dabei weltweit für insgesamt fünf Millionen Konten genutzt. Die Ausrede vieler Anwender ist, dass es Hacker wohl kaum auf sie abgesehen haben können. Dabei vergessen sie oft, dass ein solch laxer Umgang mit Kennwörtern nicht zuletzt auch Gefahren für die Unternehmen birgt, bei denen sie beschäftigt sind.

Identitäts- und Anmeldeschutz mit hoher Priorität

Im Gegensatz zu vielen Mitarbeitern sind sich die Firmen dieses Risikos durchaus bewusst und suchen seit einigen Jahren deutlich intensiver nach Lösungen für dieses Problem. In einer Umfrage von WatchGuard und Gartner Peer Insights von September 2022 äußern 43 Prozent der teilnehmenden IT- und Security-Verantwortlichen, dass eine sichere Authentifizierung für ihr Unternehmen entscheidend ist. Dementsprechend setzen diese Organisationen einschlägige Maßnahmen um. 79 Prozent geben an, dass bei ihnen Mindestanforderungen im Hinblick auf die Komplexität der Passwörter gelten, bei 66 Prozent kommt Single-Sign-on (SSO) zum Tragen, 65 Prozent beharren auf dem regelmäßigen Zurücksetzen von Passwörtern. Sicherheitsschulungen für Mitarbeiter sind für 59 Prozent ein Mittel der Wahl und 43 Prozent verweisen auf Passwortmanager.

Dass Passwörter als einzige Sicherheitsbarriere landläufig ausgedient haben und die Zwei- beziehungsweise Mehr-Faktor-Authentifizierung zunehmend an Boden gutmacht, wird hierbei ebenfalls offensichtlich. Bei 87 Prozent sind im Zuge des Zugriffs auf Systeme und Anwendungen mindestens zwei Faktoren im Spiel – von traditionellen Passwörtern (59 %) über One-Time-Password-(OTP)-Token (47 %) und SMS-Authentifizierung (37 %) bis hin zu Biometrie (28 %), Wissensabfragen (21 %) und USB-Token ist das Spektrum weit gefächert. 83 Prozent der Befragten geben an, dass ihr Unternehmen derzeit bereits die Multi-Faktor-Authentifizierung forciert, wobei die Absicherung von Cloud- und lokalen Anwendungen sowie der sichere Zugriff auf Netzwerkgeräte, wie Router oder Firewalls, auf Desktops oder Datenbanken im Fokus stehen. Nur 6 Prozent bekennen, dass es dazu aktuell gar keine Planungen gibt. Hinderungsgründe sind auf Nachfrage der Mangel an Ressourcen, erwartete Probleme beim Login-Prozess sowie Kosten.

MFA mit Wirkung

Die bisherigen Erfahrungen mit der Multi-Faktor-Authentifizierung zeigen, dass sich der Aufwand lohnt. Von den Umfrageteilnehmern, bei denen sie – egal in welcher Form oder Kombination – im Einsatz ist, stellen 7 Prozent fest, dass die Anzahl der Sicherheitsvorfälle seitdem um mehr als 50 Prozent zurückgegangen ist, 48 Prozent beziffern den Rückgang auf über 20 Prozent und immerhin noch ein Fünftel schätzt ihn auf über zehn Prozent. Insofern verwundert es kaum, dass die Professionalisierung der MFA-Strategien auf Unternehmensebene weiter voranschreitet. Moderne Lösungskomponenten wie komplett passwortlose Techniken, biometrische Abfragen, Passwortmanager und mobiltelefongestützte Verfahren sind klar auf dem Vormarsch.

Soweit der Status quo in der Praxis. An dieser Stelle sei angemerkt, dass die genannten Umfrageergebnisse zwar auf einer überschaubaren Teilnehmerzahl von rund 100 Personen beruhen, sich in der Tendenz aber weitgehend mit den Erfahrungen des WatchGuard-Partnernetzwerks decken. Dazu gehören weltweit 17 000 IT-Reseller, Systemhäuser und Managed-Services-Provider, deren Mitarbeiter und Mitarbeiterinnen jeden Tag im Kontakt mit Unternehmen jeder Art und Größe stehen.

Lösungen im Fokus

Die erwähnte „Professionalisierung der MFA-Strategien auf Unternehmensebene“ liefert nun das Stichwort für eine genauere Betrachtung der verfügbaren Optionen. Denn nicht alle
MFA-Lösungen sind gleich. Zudem muss jede korrekt konfiguriert und verwaltet werden, um wirklich verlässlichen Schutz bieten zu können. Wie der Name schon sagt, werden bei der Multi-Faktor-Authentifizierung mehrere Authentifizierungsfaktoren zur Bestätigung der Identität kombiniert – die einzelnen Elemente basieren auf Wissen (Passwort), Besitz (Hardware) oder Biometrie. Auf diese Weise hat ein Angreifer, der das Passwort eines anderen ausspioniert, deutlich schlechtere Karten. Aber auch eine MFA, die beispielsweise auf einem Passwort und der Bestätigung einer mobilen Push-Benachrichtigung beruht, sollte niemals als unfehlbar betrachtet werden. Hier wiegen sich Unternehmen oftmals in falscher Sicherheit. Ein Cyberkrimineller

könnte zum Beispiel einen Wörterbuchangriff durchführen, um an ein Passwort zu gelangen, und dann, wenn er auf einen Verifizierungsschritt mit MFA stößt, seinen Angriff mittels
Prompt-Bombing vollenden. Dabei schlüpft er in die Rolle des Unternehmens, auf dessen Seite die Software mit MFA-System im Einsatz ist, und überschwemmt den jeweiligen Anwender mit einer Flut an Identifizierungsanfragen – in der Hoffnung, dass dieser früher oder später darauf klickt, weil er die Anfragen für seriös hält oder er die vielen Benachrichtigungen einfach loswerden möchte. Und schon hat der Hacker Zugriff auf die Systeme des Unternehmens.

Die gute Nachricht ist, dass es MFA-Lösungen gibt, die sich gegenüber solchen Szenarien als resistent erweisen. Diese basieren beispielsweise auf den Standards und Spezifikationen von Fast Identity Online (FIDO 2.0), die auch eine passwortlose Authentifizierung ermöglichen. Zudem existieren hardwaregestützte Optionen entlang der Smart-Card-Standards, für die sich die Secure Technology Alliance einsetzt.

Biometrie als der Weisheit letzter Schluss?

Ein offensichtlicher Trend im Authentifizierungsumfeld ist seit einigen Jahren die Integration von Biometrie – aus gutem Grund, denn die Charakteristik spricht klar dafür:

  • Universell: Es kann davon ausgegangen werden, dass jede Person, die ein System oder eine Anwendung nutzt, über das Merkmal verfügt (z. B. Gesicht, Finger, Stimme).
  • Unverwechselbar: Jede Person wartet mit einer einzigartigen und unterscheidbaren Ausprägung des jeweiligen Merkmals auf (z. B. Gesichtszüge, Fingerabdruck, Tonfall und Intonation der Stimme).
  • Dauerhaft: Das Merkmal überdauert nahezu unveränderlich die Zeit.
  • Erfassbar: Das jeweilige Merkmal lässt sich problemlos erfassen, messen und verarbeiten.
  • Resistent: Das Merkmal zeigt hohe Resistenz gegenüber Fehlgebrauch, Diebstahl oder Nachahmung.
  • Performant: Das Merkmal kann – in Kombination mit dem Abgleich und der Erkennung von „Lebendigkeit“ – hinsichtlich Genauigkeit, Geschwindigkeit, Langfristigkeit und Benutzerfreundlichkeit effektiv einbezogen werden.
  • Akzeptiert: Die Bereitschaft zur Nutzung der Biometrie ist auf Anwenderseite allgemein gegeben.

So gut das alles klingt: Angreifer haben mittlerweile Möglichkeiten gefunden, auch die biometrische Authentifizierung zu überlisten. So gibt es beispielsweise Fälle, in denen mittels
Deepfakes und Spoofing versucht wurde, entsprechende Authentifizierungsprozesse auszuhebeln. In den letzten Jahren haben gerade Finanzinstitute und Banken im Zusammenhang
mit der Einrichtung neuer Konten, der Beantragung von Krediten und Veranlassung weiterer Transaktionen nicht wenige identitätsbezogene Betrugsfälle erlebt. Wie auch Unternehmen anderer stark regulierter Branchen sind sie gesetzlich verpflichtet, Identitätsnachweise und Verifizierungsverfahren durchzuführen, die als elektronische Kundenidentifizierung (eKYC) bezeichnet werden.

Leider scheitern nicht nur viele rechtmäßige Antragsteller an der Komplexität des Nachweis- und Verifizierungsprozesses. Erschwerend hinzu kommt, dass auch böswillige Akteure immer wieder auf den Plan treten, sich als echte Personen ausgeben und versuchen, ihre Identität mithilfe synthetischer Daten in gefälschten Dokumenten und bei der biometrischen Erfassung zu „verschleiern“.

Abhilfe sollen Techniken wie „Passive Liveness Detection“ schaffen, die Deepfakes und Spoofing den Kampf ansagen. Es gibt mehrere unabhängige Test- und Zertifizierungslabors, die nicht nur die entsprechenden Anbieterlösungen, sondern auch deren Implementierung überprüfen, um sicherzustellen, dass sie effektiv eingesetzt werden. Vor Kurzem wurde zudem die dritte Ausgabe des „Handbook of Biometric Anti-Spoofing“ veröffentlicht, die nicht zuletzt im Hinblick auf neue Methoden zur Erkennung sogenannter Präsentationsangriffe (Presentation Attack Detection, PAD) für eine Reihe von biometrischen Modalitäten, einschließlich Gesichts-, Fingerabdruck-, Iris-, Stimm-, Venen- und Unterschriftenerkennung, aktualisiert wurde.

Flexibilität und Skalierbarkeit sind Trumpf

Die obigen Ausführungen sollen Unternehmen nicht verschrecken – ganz im Gegenteil. Es geht darum, das Bewusstsein dafür zu schärfen, dass auch im MFA-Umfeld das ständige Tauziehen zwischen Angreifern und Verteidigern allgegenwärtig ist. Es kommt vor allem darauf an, hier nicht von Anfang an den Anschluss zu verlieren.

Unternehmen, die MFA-Lösungen gegenüber einer rein passwortbasierten Authentifizierung bereits den Vorzug geben, haben ohne Zweifel schon einen enorm wichtigen Schritt gemacht und klar im Sinne ihrer IT-Sicherheitsstrategie gehandelt. Doch dieser Prozess ist sicher noch nicht zu Ende, und daher sollte man bei der Lösungsfindung immer wieder aufs Neue genau hinsehen – schließlich gilt es heute wie morgen zu vermeiden, nicht selbst zum Opfer moderner Bedrohungen zu werden.

Michael Haas

Michael Haas ist Regional Vice President Central Europe bei WatchGuard Technologies.

Andere interessante Fachbeiträge

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.