Home » Fachbeiträge » Security Management » Trügerische Sicherheit

Trügerische Sicherheit

Viele Unternehmen setzen eine Multi-Faktor-Authentifizierung (MFA) ein, um wertvolle Informationen abzusichern. Allerdings schützt eine MFA kaum besser als Passwörter und kann genauso leicht kompromittiert werden. Wenn möglich, sollten Unternehmen sich deshalb bemühen, eine Phishing-resistente MFA zu verwenden.

6 Min. Lesezeit
Passworteingabe mit Tastatur und Smartphone
Foto: ©AdobeStock/Kt Stock

Die meisten MFA-Lösungen lassen sich durch Man-in-the-Middle-(MITM)-Angriffe umgehen. Kriminelle bringen dafür Endbenutzer dazu, auf eine betrügerische URL zu klicken, die ihn zu einem bösartigen Proxy-Dienst umleitet. Dieser erfasst dann alles, was der Benutzer auf einer vermeintlich legitimen Website eingibt, einschließlich des MFA-Anmeldecodes.

Ein typischer Ablauf eines solchen Angriffs sieht so aus:

1. Der Angreifer schickt eine Phishing-E-Mail, die eine URL zu einer gefälschten, ähnlich aussehenden Website enthält, die in Wirklichkeit ein bösartiger MITM-Proxy ist.
2. Betreff und Inhalt der E-Mail verleiten den Benutzer zum Besuch der bösartigen MITM-Proxy-Website.
3. Der Benutzer gibt seine Anmeldedaten ein, die der Proxy, der sich nun wiederum als der legitime Benutzer ausgibt, auf der rechtmäßigen Website nutzt, um sich anzumelden.
4. Die legitime Website schickt ein korrektes Sitzungs-Token zurück, das ein Angreifer dann stiehlt und erneut abspielt, um die Session des Benutzers zu übernehmen.

Es gibt Dutzende, wenn nicht Hunderte von Möglichkeiten, diese Art von Angriff durchzuführen. Alle beginnen in der Regel mit einer Phishing-E-Mail und einem gefälschten URL-Link. So berichtete Microsoft vor kurzem, dass Mitarbeiter von 10.000 Unternehmen auf eine ähnliche MFA-Umgehungstechnik hereingefallen sind.

Übliche Angriffsmethoden sind zum Beispiel:

  • Ein böswilliger Akteur gibt sich als Hersteller aus und schickt eine SMS-Nachricht, in der er auffordert, ihm einen SMS-Code zu senden, den er angeblich mit einem anderen Betreff sendet.
  • Push-basierte MFA kann umgangen werden, weil ein beträchtlicher Prozentsatz der Nutzer unwissentlich eine Anmeldung genehmigt, die sie nicht aktiv vornehmen.
  • Social-Engineering wird eingesetzt, um ein  Opfer zum Herunterladen von Malware zu verleiten, die dann den MFA-Code des Benutzers aufzeichnet, damit er vom Computer des
    Angreifers aus verwendet werden kann.
  • Social-Engineering wird eingesetzt, um den technischen Support zu imitieren, um einen SIM-Tausch vorzunehmen oder einem Angreifer die Übernahme eines Kontos zu
    ermöglichen.

Der Grund, warum Unternehmen von reinen Passwort- auf MFA-Lösungen umsteigen, ist meistens, dass sie das Risiko von Phishing und Social-Engineering deutlich reduzieren wollen. Sieht man sich die Methoden und die Erfolge der Cyberkriminellen an, ist es eher fraglich, ob eine Umstellung auf eine MFA-Lösung die Zeit und die Kosten wirklich wert sind.

Wie sicher ist MFA?

Viele Anbieter geben an, dass ihre MFA funktioniert und dass die Verwendung das Risiko einer erfolgreichen Kompromittierung erheblich verringert. Und sie haben auch recht damit, aber die vermeintliche Sicherheit reicht nur für einen kurzen Zeitraum. Denn heute fokussieren sich die meisten Social-Engineering-Angreifer noch nicht speziell auf potenzielle Opfer, die eine MFA verwenden. Derzeit sind etwa die Hälfte der Phishingmails auf einen klassischen Passwortdiebstahl ausgerichtet. Aber je mehr Unternehmen
MFA verwenden und kein Passwort mehr nutzen, desto eher nehmen die Kriminellen solche Lösungen ins Visier und suchen nach Möglichkeiten, sie zu umgehen. Und dabei sind
sie sehr schnell. Auf der anderen Seite brauchen Verteidiger meistens lange, um wieder die richtigen Schutzmaßnahmen zu ergreifen.

So bleibt festzuhalten, dass MFA-Tools in diesem dynamischen Umfeld insgesamt nur einen vorübergehenden Schutz bieten, denn schon heute können die meisten Lösungen leicht gefälscht und so umgangen werden wie die Anmeldungen mit Passwörtern. Die Multi-Faktor-Authentifizierung verlangt zudem von den Nutzern, dass sie einen umständlicheren Authentifizierungsprozess durchlaufen müssen – und das, ohne einen größeren Schutz zu erhalten. Die meisten Unternehmen dachten oder ihnen wurde gesagt, dass sie mit MFA weitaus weniger Gefahr laufen, Opfer von Phishing und Hacking zu werden, aber das stimmt einfach nicht.

US-Regierung rät ab

Die US-Regierung hat diese Aussage bereits 2017 in der Richtlinie NIST SP 800-63 bestätigt. Sie empfahl dort, keine SMS-basierte oder auf Sprachanrufen basierende MFA zu verwenden. In den Jahren 2021 und 2022 hieß es dann, man solle keine leicht zu fälschende MFA nutzen, einschließlich einmaliger Codes und Push-Benachrichtigungen. Im Jahr 2021 enthielt die präsidiale Anordnung (EO 14028) ein klärendes Folgememo: „Für den routinemäßigen Self-Service-Zugriff von Behördenmitarbeitern, Auftragnehmern und Partnern müssen die Systeme der US-Behörden die Unterstützung von Authentifizierungsmethoden einstellen, die Phishingversuchen nicht standhält, wie Protokolle, die
Telefonnummern für SMS- oder Sprachanrufe registrieren, Einmalcodes bereitstellen oder Push-Benachrichtigungen empfangen.“ Und die gleichen Empfehlungen wurden am 26. Januar 2022 noch einmal bestätigt.

Lösungsansätze

Daraus folgt, dass Unternehmen möglichst keine leicht zu umgehende MFA verwenden sollten. Allerdings haben sie oft keine Wahl, sondern werden vom Hersteller oder Dienstleister mehr oder weniger dazu gezwungen. Aber wenn die Verantwortlichen die Entscheidung beeinflussen können, sollten sie eine Phishing-resistente MFA-Lösung einsetzen. Ist die aktuell eingesetzte MFA-Lösung für leichtes Phishing anfällig, sollte man dem Hersteller die Bedenken mitteilen und ihn bitten, geeignete Funktionen und Schutzmaßnahmen zu implementieren. Darüber hinaus ist ein Umstieg auf eine Phishing-resistentere Lösung zu empfehlen, und zwar unabhängig davon, welche Art von MFA das Unternehmen verwendet.
Weiterhin müssen die Verantwortlichen sich über die Stärken und Schwächen ihrer Lösung informieren und wenn sie angreifbar ist, ihre Mitarbeiter darüber informieren. Es empfiehlt sich dann, Angriffsbeispiele zu finden und aufzuzeigen, wie leicht ein Phishingversuch zum Erfolg führen kann. Im weiteren Schritt sind die Benutzer darüber aufzuklären, wie sie es vermeiden, Opfer solcher Angriffe zu werden. Das bedeutet in der Regel, dass sie sicherstellen müssen, dass jeder Link, auf den sie klicken, auch ein legitimer Link ist.

Wie sollte eine Phishing-resistente MFA-Lösung aussehen? 

Die Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt zwei Arten von Phishing-resistenten MFA-Lösungen:

  • FIDO/WebAuthn-Authentifizierung: Die FIDOAllianz hat das WebAuthn-Protokoll ursprünglich als Teil der FIDO2-Standards entwickelt, und es wird nun vom World Wide Web Consortium (W3C) bereitgestellt. WebAuthn wird von den wichtigsten Browsern, Betriebssystemen und Smartphones unterstützt und arbeitet mit dem verwandten FIDO2-Standard zusammen, um einen Phishing-resistenten Authentifikator bereitzustellen. WebAuthn-Authentifikatoren können entweder separate physische Token sein, sogenannte „Roaming“-Authentifikatoren, die über USB oder Nahfeldkommunikation (NFC) an ein Gerät angeschlossen werden oder sie sind eingebettet in Laptops oder mobile Geräte als „Plattform“-Authentifikatoren. Die FIDO-Authentifizierung kann auch verschiedene andere Arten von Faktoren einbeziehen, wie biometrische Daten oder PIN-Codes. FIDO2-konforme Token sind von einer Vielzahl von Anbietern erhältlich.
  • PKI-basierte MFA: Diese gibt es in verschiedenen Formen. Am bekanntesten sind Smartcards, die Behörden zur Authentifizierung von Benutzern an ihren Computern verwenden. Der erfolgreiche Einsatz von PKI-basierter MFA erfordert jedoch sehr ausgereifte Identitätsmanagementverfahren. Außerdem wird sie von den gängigen Diensten und der Infrastruktur nicht in dem Maße unterstützt, vor allem wenn keine Single-Sign-on-(SSO)-Technologie vorhanden ist. Bei den meisten PKI-basierten MFA-Implementierungen sind die Anmeldedaten eines Benutzers in einem Sicherheitschip auf einer Smartcard enthalten, und die Karte muss direkt mit einem Gerät verbunden sein, damit sich der Benutzer mit dem richtigen Passwort oder der richtigen PIN beim System anmelden kann.

Fazit

Insgesamt sollten Unternehmen ihre eingesetzten MFA-Tools prüfen und falls nötig auf eine Phishing-resistente Lösung setzen. Wenn sie eine push-basierte MFA verwenden, sollten die Verantwortlichen den Mitarbeitern klar machen, dass sie niemals Anmeldeanfragen genehmigen sollten, an denen sie nicht aktiv beteiligt sind. Darüber hinaus sollten sie alle Vorfälle dieser Art an die IT-Sicherheitsabteilung melden. Alle Benutzer von SMS-basierter MFA sollten die verschiedenen Angriffe auf SMS-Nachrichten kennen. Außerdem ist es wichtig einzusehen, dass selbst die Phishing-resistenten MFA-Lösungen nicht komplett vor Phishing schützen können.

Roger Grimes, KnowBe4

Roger A. Grimes ist Data-Driven Defense Evangelist bei KnowBe4.

Andere interessante Fachbeiträge

Herausforderungen bei der Strukturierung sicherheitsrelevanter Logs im SIEM

Bei dem Versuch, die Infrastruktur so sicher wie möglich zu gestalten und vor Angreifern zu schützen, stehen die IT-Sicherheitsteams vor zahlreichen Herausforderungen. Tägliche Änderungen an den IT-Systemen und ständig neue Sicherheitslücken erschweren diese Aufgabe zusätzlich.

Email-Sicherheit

Archivierung und Verschlüsselung von Business-E-Mails für Unternehmen

Ohne E-Mail läuft in Unternehmen nichts: Laut IT-Branchenverband BITKOM gehen in deutschen Unternehmen täglich durchschnittlich 40 E-Mails pro Postfach ein. Dabei tauschen Mitarbeiter häufig sensible Informationen aus, etwa Verträge, Kundeninformationen oder strategische Pläne.

Wie Low-Code nicht zu Low-Security wird

Low-Code soll die Produkteinführungszeit in der Softwareentwicklung verkürzen sowie Business und IT näher zusammenbringen. Doch wie lassen sich gleichzeitig die entsprechenden Sicherheitsstandards einhalten?