Google Cloud wird ab Januar 2025 die Multifaktor-Authentifizierung (MFA) für sämtliche Nutzer verpflichtend einführen. Diese Maßnahme betrifft zunächst jene 30 Prozent der Kunden, die sich bislang lediglich mit einem Passwort authentifizieren.
Die Ankündigung reiht sich ein in eine branchenweite Entwicklung, bei der führende Cloud-Anbieter verstärkt auf mehrstufige Sicherheitsmechanismen setzen. Andere Branchengrößen wie Amazon Web Services und Microsoft Azure haben ähnliche Schritte angekündigt. Der Datenbank-Spezialist Snowflake führte die Pflicht zur Multifaktor-Authentifizierung bereits im Juli ein. Der Konzern aus Mountain View, der bereits 2011 die Multifaktor-Authentifizierung für Privatnutzer einführte, argumentiert mit der besonderen Schutzbedürftigkeit von Cloud-Implementierungen.
„Angesichts der sensiblen Natur von Cloud-Deployments und der Tatsache, dass Phishing und gestohlene Zugangsdaten weiterhin zu den häufigsten Angriffsszenarien zählen, halten wir diesen Schritt für unerlässlich“, erläutert das Unternehmen in einer Stellungnahme. Man stützt sich dabei auf Erkenntnisse der US-amerikanischen Behörde für Cybersicherheit (CISA), wonach die Wahrscheinlichkeit eines erfolgreichen Hackerangriffs durch MFA um 99 Prozent reduziert wird.
Stufenweise Einführung
Die Implementierung erfolgt in drei klar definierten Phasen: Ab November dieses Jahres startet Google Cloud zunächst eine Sensibilisierungskampagne. In dieser ersten Phase erhalten Nutzer, die noch keine Multifaktor-Authentifizierung verwenden, Hinweise und Unterstützung zur Umstellung. Die Google Cloud-Plattform stellt dabei Ressourcen zur Verfügung, die bei der Planung und Einführung der verschärften Sicherheitsmaßnahmen helfen sollen.
Anfang 2025 beginnt die zweite Phase, in der die Multifaktor-Authentifizierung für alle Nutzer verpflichtend wird, die sich bisher nur mit Passwort anmelden. Diese Änderung betrifft sämtliche Google Cloud-Dienste, einschließlich der Firebase-Konsole und des gCloud-Tools. Ohne aktivierte MFA wird dann keine Nutzung mehr möglich sein.
In der dritten und letzten Phase, die für Ende 2025 geplant ist, wird die Pflicht zur Multifaktor-Authentifizierung auch auf Nutzer ausgeweitet, die sich über zentrale Anmeldesysteme bei Google Cloud einloggen. Für diese Gruppe sind flexible Umsetzungsoptionen vorgesehen. Die MFA kann hier entweder direkt bei Google oder beim jeweiligen Identitätsanbieter aktiviert werden. Der Konzern arbeitet dabei eng mit führenden Identity Providern zusammen, um einen reibungslosen Übergang zu gewährleisten.