Der Teufel im Detail

Multifaktor-Authentifizierung: Von „gut gemeint“ zu „gut gemacht“

Authentifizierung, multi faktor authentifizierung, MFA, Multifaktor-Authentifizierung, IAM
LinkedInRedditWhatsAppPocket

Im Rahmen von IT-Security-Strategien nimmt die Multifaktor-Authentifizierung (MFA) heutzutage eine tragende Rolle ein. Der Mehrwert ist klar, doch der Schuss kann bei fehlender Nutzerakzeptanz sowie falscher Implementierung auch nach hinten losgehen.

Die Einführung einer Multifaktor-Authentifizierung (MFA) ist für Unternehmen zweifellos ein wichtiger Schritt, um IT-Infrastrukturen und Daten zu schützen. Dennoch stehen viele Mitarbeitende dem MFA-Einsatz nach wie vor meist kritisch gegenüber. Sie sehen die zusätzliche Authentifizierung eher als Hindernis, das die Produktivität herabsetzt, und befürchten unnötigen Aufwand. Wenn es darum geht, sich zwischen Geschwindigkeit und Sicherheit entscheiden zu müssen, geben immer noch viel zu viele der Geschwindigkeit den Vorrang – und setzen ihr Unternehmen damit kaum zu unterschätzenden Risiken aus.

Anzeige

Erster Schritt: MFA-Aufklärungsarbeit leisten

Insofern ist es extrem wichtig, dass Unternehmen die nötige Zeit und Ausdauer aufbringen, um Anwender von der Sinnhaftigkeit und Notwendigkeit einer Multifaktor-Authentifizierung zu überzeugen. Es sollte jedem Mitarbeitenden erklärt werden, wie MFA dafür sorgt, das Risiko eines unbefugten Zugriffs zu reduzieren. In dem Zusammenhang ist es aber auch zweckdienlich, die Bedenken gegen eine Umstellung auf MFA anzunehmen und zu verstehen. Die Einführung neuer Lösungen bringt oft Hürden mit sich – etwa in Form zusätzlicher Kosten, komplexerer Prozesse und möglicher Widerstände auf Endanwenderseite.

Wer User ausführlich über den MFA-Prozess informiert, kann Zweifel in der Regel schnell zerstreuen. So sollte beispielsweise der Vergleich zu den Kosten für die Wiederherstellung von Daten und behördliche Bußgelder im Zuge von Sicherheitsverletzungen angeführt werden. Grundsätzlich gilt es, MFA-Optionen einzusetzen, die einfach zu bedienen sind und sich an die spezifischen Bedürfnisse der Benutzer bestmöglich anpassen lassen. Hier bieten nicht zuletzt die Erfahrungsberichte und Erfolgsgeschichten anderer Unternehmen, die MFA eingeführt und damit positive Ergebnisse erzielt haben, sinnvolle Unterstützung. Kostenlose Testversionen ermöglichen es Anwendern, die Benutzerfreundlichkeit und Sicherheit von MFA zu entdecken.

Der Teufel im Detail

Sind diese Hürden erst einmal überwunden, kommt es zusätzlich auf Detailarbeit an. Denn vor allem im Hinblick auf die Etablierung einer Zero-Trust-Sicherheitsstrategie, die auf Compliance und Risikominimierung abzielt, können sich mangelhafte MFA-Praktiken auch kontraproduktiv auswirken. Hier einige Beispiele, die aufzeigen, wann der Einsatz der Multifaktor-Authentifizierung zu kurz greift:

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

1. Ausnahmeregelungen für bestimmte Rollen bzw. Prozesse

Beim Blick in die Praxis drängt sich schnell der Eindruck auf, dass es in nahezu jedem Unternehmen einen Ausnahmeprozess für die IT-Verantwortlichen selbst gibt. Im Zuge von Risk-Assessment-Programmen wird zudem viel Konzentration daraufgelegt, herauszufinden, „was“ am wertvollsten und „wer“ am anfälligsten ist. Nicht selten fehlt es an Konsequenz, bei MFA-Vorgaben „alles und jeden über einen Kamm zu scheren“. So kommt ausgewählten Gruppen der Belegschaft oft eine Sonderrolle zu. Die Kategorisierung richtet sich in der Regel nach der Kritikalität einer geschäftlichen Aufgabe oder der Verantwortung einzelner Personen. Eine hochriskante Rolle kann zum Beispiel jemanden zukommen, der administrativen Zugang zu sensiblen Kundendaten oder Unternehmensinterna hat. Hohe Verantwortung trägt jemand, der die Befugnis hat, Rechnungen zu genehmigen und Zahlungen zu leisten.

Was vielleicht praktisch klingt, erweist sich in der Realität schnell als Fallstrick. Denn Cyberkriminelle scheren sich nicht um solche Parameter oder Prioritäten. Vielmehr erkennen sie darin ihre Chance und nutzen die Situation zu ihrem Vorteil aus, indem sie einzelne Mitarbeiter und Mitarbeiterinnen ins Visier nehmen und gezielt mit Social-Engineering-Techniken adressieren. Der oberste Grundsatz des Zero-Trust-Modells darf also niemals vergessen werden: Vertraue niemandem, überprüfe immer – ganz unabhängig davon, um wen es sich handelt, intern wie extern und egal ob Angestellter, Auftragnehmer, Lieferant oder Partner. Es sollte keine Ausnahmen geben, denn ein Risiko besteht immer.

2. Ausnahmen aufgrund fehlender Akzeptanz einzelner Mitarbeitender

Das Argument der Bequemlichkeit darf niemals gelten. Passwortmüdigkeit und Ausreden in Bezug auf „angebliche“ Produktivitätseinbußen bei MFA-Anmeldeprozessen sind nicht neu. Gerade deshalb kommt es darauf an, diese stringent durchzusetzen, schließlich stellt MFA in jedem Szenario sicher, dass ausschließlich autorisierte Anwender über ihre dafür registrierten Endgeräte (Laptop, Handy, Tablet) Zugriff erhalten. Es spielt keine Rolle, ob sich die Person im Büro, im Homeoffice oder unterwegs auf Dienstreise befindet und sich einen Zugang zu geschäftlichen Assets über WLAN, Ethernet, VPN oder Mobilfunk verschafft. Jede inkonsequente Befolgung oder Aufweichung der MFA-Vorgaben aus Komfortgründen widerspricht der Zero-Trust-Prämisse – vom vollständigen Aussetzen ganz zu schweigen.

3. Gemeinsame Nutzung von MFA-Konten

Administratoren haben große Macht und Verantwortung; gemeinsam genutzte Admin-Konten und Service-Zugänge sind eine gängige Praxis. Wer im Besitz des Admin-Passworts ist, verfügt über eine Vielzahl von leistungsstarken Berechtigungen – u.a. zur Verwaltung von Cloud- und On-premises-Infrastrukturen, zur Überwachung unternehmenskritischer Ressourcen (inkl. Zugriff auf sensible Daten jeder Art) und zur Durchsetzung unternehmensweiter Sicherheitsstandards und -richtlinien. Die gemeinsam genutzten Konten mit MFA abzusichern, scheint somit eine großartige Idee zu sein, oder? In (behördlichen) Security-Audits fällt diese allerdings durch und auch Anbieter von Cybersecurity-Versicherungen sehen dies leider anders.

Es ist nicht nur zwingend erforderlich, gemeinsam genutzten Admin-Konten mit dauerhaften Berechtigungen – sogenannten „Standing Privileges“ – den Riegel vorzuschieben und diese durch Just-in-Time(JIT)-Berechtigungen und -Zugänge für administrative Aufgaben abzulösen. Gleichzeitig zählt auch die Authentifizierung jedes einzelnen Administrators per MFA bei JIT-Zugriff. Vor dem Hintergrund von Zero Trust sollte zudem das „Principle Of Least Privilege“ (POLP) zum Tragen kommen, nach dem jedem einzelnen nur die Rechte gewährt werden, die unbedingt erforderlich sind. Gerade im Zuge der Auflösung gemeinsam genutzter Konten und Abschaffung von Admin-Kennwörtern kann auf diese Weise einem Berechtigungswildwuchs effektiv vorgebeugt werden.

Fazit

Anhand all dieser Beispiele zeigt sich, wie bedeutsam Konsequenz ist. Mit MFA lässt sich viel gewinnen. Damit sich die Potenziale jedoch voll ausspielen lassen, ist es wichtig, MFA-Fallstricke zu vermeiden und bei der Auswahl und dem Einsatz von MFA-Lösungen genau hinzuschauen.


Paul Moll WatchGuard Technologies

Paul

Moll

Senior Field Marketing Manager Central Europe

WatchGuard Technologies

Bildquelle: WatchGuard Technologies
Anzeige

Artikel zu diesem Thema

Warum MFA für Ihr Unternehmen nicht mehr ausreicht
Zero Trust: Wer hat’s erfunden?
NIS2: Multi-Faktor-Authentifizierung zügig einführen
Multi-Faktor-Authentifizierung: Für Angreifer kein Problem mehr

Weitere Artikel

Startklar für NIS2 mit Open Source Software
Mobile Ausweisdokumente brauchen Vertrauen
MFA wird zur Schlüsseltechnologie der IT-Sicherheit
Zero Trust: Warum Vertrauen ausgedient hat
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.