Immer mehr Unternehmen wollen eine Multifaktor-Authentifizierung (MFA) einführen, um ihre IT-Sicherheit zu stärken. Allerdings stellt sie die Implementierung der Technologie häufig vor Herausforderungen: Hohe Kosten, ein langwieriger Roll-out und ein großer Verwaltungsaufwand sorgen für Missmut. Wie sich diese Hemmnisse aus dem Weg räumen lassen und was eine MFA leisten muss.
Passwörter haben zu viele Nachteile, als dass sie alleine für die Accountsicherheit hinzugezogen werden sollten. Diese Erkenntnis hat sich in den meisten Unternehmen durchgesetzt. Nutzer:innen verwenden häufig nicht nur unsichere Passwörter, die sich brute-forcen lassen, sondern nutzen diese oft auch noch für verschiedene Accounts, teilen sie mit Kolleg:innen usw. Kurzum: Die Möglichkeiten, falsch mit Passwörtern umzugehen, sind zahlreich.
Entsprechend groß ist das Angriffspotential, das sie Cyberkriminellen bieten. Um ihre IT-Sicherheit zu stärken, fügen Unternehmen deshalb der Kombination aus Nutzernamen und Passwort einen oder mehrere Faktoren hinzu. Hierdurch sollten Cyberkriminelle nicht mehr in der Lage sein, auf Daten zuzugreifen, selbst wenn sie in den Besitz von Login-Informationen kommen. Mittlerweile haben sich verschiedene Methoden für die MFA etabliert. Sie unterscheiden sich in der Art der genutzten Faktoren, ihrem Nutzungskomfort und vor allem ihrem Sicherheitsniveau, das sie gegenüber Phishing aufweisen.
Eine weitere wichtige Eigenschaft, die Unternehmen bei der MFA-Wahl berücksichtigen sollten, ist der Implementationsaufwand der jeweiligen MFA-Lösung.
Viele Lösungen, verschiedene Sicherheitsniveaus
Generell lassen sich Sicherheitsfaktoren in drei Kategorien unterteilen, die jeweils ihre eigenen Stärken und Schwächen haben. Um das Kriterium einer MFA zu erfüllen, muss eine Authentifizierungsmethode Merkmale abfragen, die mindestens zwei der folgenden Faktoren zugehörig sind:
- Der Wissensfaktor: Passwörter, PINs und Geheimfragen (beispielsweise der Mädchenname der Mutter oder der Name des besten Grundschulfreundes) sind klassische Beispiele für einen Wissensfaktor: Abgefragt wird Wissen, über das nur der Benutzer verfügen sollte.
- Der Besitzfaktor: Bei diesem Faktor weisen Benutzer nach, dass sie in Besitz eines bestimmten physischen Gegenstandes sind. Dabei kann es sich zum Beispiel um eine Hardware-Komponente wie einen Security-Token handeln, der bei jedem Login via USB oder anderer Schnittstelle zum Einsatz kommt und in der Regel eine PIN-Eingabe erfordert. Doch auch die Verwendung von Authenticator-Apps auf einem Zweitgerät zählt zum Besitzfaktor.
- Der Inhärenzfaktor: Dieser Faktor umfasst individuelle physische Merkmale, die nur dem oder der Nutzer:in zu eigen sind. Dazu zählen vor allem biometrische Informationen wie der Fingerabdruck, die Gesichtsform oder die Iris-Struktur. Auch die Stimme gilt als biometrisches Merkmal.
Die unterschiedlichen Faktoren haben jedoch unterschiedliche Sicherheitsniveaus: Der Wissensfaktor ist anfällig für Phishing-Angriffe und der schwächste von den dreien. Der Besitzfaktor ist sicherer und je nach Ausführung relativ sicher vor Phishing. Am sichersten sind MFA-Lösungen, die auf Informationen zurückgreifen, die Personen inhärent sind: Fingerabdrücke, Iris-Muster etc. lassen sich nur mit hohem technischen Aufwand fälschen.
Eine Frage der Implementierung
Die Sicherheit, die die eigene Lösung vor Phishing bietet, sollte für Unternehmen im Vordergrund stehen. Allerdings geht es im Geschäftsalltag auch darum, dass eine Technologie sich möglichst reibungslos in bestehende Prozesse eingliedern lässt.
In vielen Unternehmen haben sich beispielsweise Security-Tokens etabliert: Dabei handelt es sich um physische Schlüssel, ähnlich USB-Sticks, die mit Endgeräten über verschiedene Schnittstellen verbunden werden. Diese Art der MFA ist für User relativ komfortabel zu nutzen, da sie ihren Key nur mit ihrem Endgerät verbinden und ihre Login-Daten eingeben müssen, um sich bei Anwendungen und Diensten anzumelden.
Allerdings ist der Implementierungsaufwand bei diesem zusätzlichen Faktor hoch. Die Security-Keys müssen beispielsweise in ausreichender Anzahl eingekauft werden: Nicht nur müssen genügend Keys für die eigentliche Nutzung bereitliegen; es muss auch bedacht werden, dass die Geräte verloren gehen oder beschädigt werden. Daher kommen auf jede:n Nutzer:in ein oder mehrere Ersatz-Keys, die vom Einkauf beschafft und von der IT-Abteilung inventarisiert, gelagert und bei Bedarf an User herausgegeben werden müssen – Einrichtung an den jeweiligen Endgeräten inklusive. Mit der Größe des eigenen Unternehmens steigt somit auch der Verwaltungsaufwand der MFA-Lösung an: Bei größeren Organisationen kann sich der Roll-out über Wochen strecken und damit viele Ressourcen binden.
Eine Push-basierte MFA für mobile Endgeräte lässt sich einfacher implementieren, da hier Anschaffung, Lagerung und Aushändigung von Geräten wegfallen. IT-Admins können einen breiten Roll-out mit der entsprechenden Software einplanen. Allerdings bietet diese Methode nicht das nötige Sicherheitsniveau, um User vor Phishing zu schützen: Cyberkriminellen ist es ein Leichtes, in einschlägigen Darknet-Marktplätzen und Hacker-Foren an Zugangsdaten (den ersten Faktor) zu kommen. Versucht ein Angreifer dann, sich mit diesen Daten einzuloggen, erhält der User eine Aufforderung, den Login zu bestätigen. Nun wiederholt der Angreifer diesen Vorgang so lange, bis sein Opfer auf „Bestätigen“ tippt und hat sein Ziel erreicht. Dieser Vorgang heißt „Prompt Bombing“, da Benutzer:innen hier mit einer großen Anzahl an Login-Anfragen bombardiert werden, bis sie entnervt den Zugang bestätigen. Fälle wie bei Reddit und Uber, bei denen Cyberkriminelle eine MFA per Push-Benachrichtigung während eines Angriffs missbrauchten, zeigen die Anfälligkeit von Push-basierter MFA in der Praxis.
Was eine MFA leisten muss
Um Benutzer:innen vor Phishing-Angriffen zu schützen und gleichzeitig IT-Abteilungen zu entlasten, sollte eine MFA verwendet werden, die sowohl den WebAuthn-Standard unterstützt und die Authentifizierungsschnittstellen der Endgeräte für den Login in Anwendungen oder Cloud-Services nutzt. Dabei wird eine lokale biometrische Login-Funktion oder PIN auf einem einzelnen Gerät verwendet, um den Einsatz von verlorenen Zweitgeräten zu vermeiden und Unternehmen das Hinzufügen neuer Nutzer:innen zu erleichtern. Wichtig ist auch, dass Benutzerdaten dezentral auf dem Endgerät gespeichert werden und das Hinzufügen neuer Geräte oder die Wiederherstellung von Konten auf den Grundsätzen des Null-Vertrauens und des transitiven Vertrauens basiert, um Insider-Angriffe zu verhindern.
Eine unternehmensweite Einführung sollte schnell und einfach sein und für eine Phishing-sichere MFAs wie beispielsweise von IDEE dauert der Roll-out üblicherweise nur 15 Minuten bei Standardanwendungen – unabhängig von der Anzahl der zu schützenden Identitäten. Eine API der MFA-Lösung hilft derweil bei der Implementation in individuelle Anwendungen.
Fazit
An einer MFA für die IT-Sicherheit kommt kein Unternehmen vorbei – allerdings schützen nicht alle MFA-Lösungen gleich gut vor verschiedenen Phishing-Angriffen.
Unternehmen, die nach einer MFA-Lösung suchen, sollten deshalb auf eine 100-prozentige Phishing-Sicherheit achten. Genauso wichtig ist allerdings die schnelle Implementierung in die eigene Infrastruktur – hier stechen vor allem Lösungen hervor, die sich innerhalb weniger Minuten (statt Wochen) einbinden lassen.
Sind diese Punkte berücksichtigt, hat die IT-Sicherheit des eigenen Unternehmens eine erhebliche Verbesserung erfahren – und das ohne den Verwaltungsaufwand für die IT-Abteilung zu erhöhen.