Multi-Faktor-Authentifizierung

5 Tipps für die Wahl einer Authentifizierungslösung

| Autor / Redakteur: Lars Gotlieb / Peter Schmitz

Eine Multi-Faktor-Authentifizierungslösung (MFA) erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches.
Eine Multi-Faktor-Authentifizierungslösung (MFA) erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches. (Bild: Pixabay / CC0)

Die Kombination aus Benutzername und Passwort ist längst nicht mehr ausreichend, wenn es um die sichere Anmeldung im IT-Netzwerk geht. Um das Sicherheitsniveau zu erhöhen und Angreifern die Nutzung gestohlener Zugangsdaten zu erschweren, raten Experten zur Multi-Faktor-Authentifizierung. Doch worauf sollten Unternehmen vor der Anschaffung einer solchen Lösung achten?

Identitätsdiebstahl, also das kriminelle Ausspähen und missbräuchliche Nutzen personenbezogener Daten, steht bei Hackern weit oben auf der Beliebtheitsskala. Denn Benutzername und Passwort eines Mitarbeiters öffnen Cyberkriminellen alle Türen: Sie können sich im Netzwerk frei bewegen, auf geschäftskritische Informationen zugreifen, wichtige Dateien verschlüsseln oder Kundendaten exportieren – ein Horrorszenario für jeden Arbeitgeber.

Authentifizierungsverfahren, die Hackern den Weg in die unternehmenseigene IT-Landschaft versperren, sind gefragter denn je – gerade angesichts der Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten gelten wird. Sie nimmt Unternehmen deutlich stärker in die Pflicht, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und zu dokumentieren.

Sicherheit im Unternehmen erhöhen

Wer sein Identity and Access Management optimieren möchte, sollte über den Einsatz einer Multi-Faktor-Authentifizierungslösung (MFA) nachdenken. Sie erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches. Außerdem bietet sie mehr Schutz als die herkömmliche Zwei-Faktor-Authentifizierung (2FA), die – wie der Name schon sagt – bei der Anmeldung lediglich zwei Faktoren abfragt: das Passwort des Benutzers sowie ein zusätzliches Einmalkennwort (One-time password, OTP). Dieser wird dem Mitarbeiter beispielsweise per SMS auf sein Smartphone oder als Nachricht auf den persönlichen Security-Token gesendet.

Im Gegensatz dazu bezieht die Multi-Faktor-Authentifizierung bei jedem Anmeldevorgang weitere Faktoren mit ein. Dazu zählen unter anderem die Session-ID, IP-Adresse, Anzahl erfolgreicher Logins oder der Standort des Anwenders. Ausschlaggebende Kriterien sind auch das System, zu dem der Zugang angefordert wird, das verwendete Gerät oder der Anmeldezeitpunkt. Das Zusammenspiel all dieser Kontextinformationen entscheidet darüber, ob der Anmeldeversuch als vertrauenswürdig eingestuft wird und die anfragende Person Zugriff auf das Netzwerk erhält. Die Sicherheitsvorteile dieser Methode liegen auf der Hand. Jedoch stehen IT-Entscheider angesichts der Anbietervielfalt vor der Herausforderung, die passende Multi-Faktor-Lösung für das eigene Unternehmen zu finden. Dabei soll diese Checkliste mit wichtigen Fragen zur Auswahl einer MFA-Lösung helfen.

Frage 1: Erstellt die Lösung One-time passwords (OTP) in Echtzeit?

Bei der Wahl einer MFA-Lösung sollten Unternehmen darauf achten, dass Einmal-Passcodes immer erst zum Zeitpunkt der Anmeldung generiert werden. Vorab erstellte Codes reduzieren die Sicherheit, weil sie gestohlen werden könnten. Besonders Authentifizierungsverfahren, die Hardware-Token nutzen, arbeiten in der Regel mit vorgenerierten OTPs auf Basis einer Seed-Datei. Darüber hinaus sollte die Übermittlung der Passcodes nicht auf demselben Kommunikationsweg erfolgen wie die eigentliche Anmeldung. Wenn sich also ein Mitarbeiter über seinen Rechner im Netzwerk einloggen möchte, sollte das OTP besser per App auf dem Smartphone generiert oder per Sprachanruf übermittelt werden.

Frage 2: Passt sich der Authentifizierungsvorgang dem Kontext an?

Idealerweise passt sich das Sicherheitsniveau einer Anmeldung automatisch an die jeweiligen Kontextinformationen an (adaptive Authentifizierung). Je nachdem, ob sich ein Mitarbeiter innerhalb des Unternehmens oder an einem öffentlichen Ort wie zum Beispiel einem Flughafen befindet, variiert die Gültigkeitsdauer und die Zustellungsart des Einmal-Passcodes. In sicheren Umgebungen kann auch komplett auf die OTP-Eingabe verzichtet werden. Zudem ist eine Sperrfunktion für Zugriffe aus Hochrisikoländern oder -regionen sinnvoll. Ein weiteres Sicherheitskriterium ist es, wenn die MFA-Lösung Passcodes der jeweiligen Session-ID zuordnet. Dies bedeutet: Der Code wird erst erstellt, nachdem die Sitzung auf einem bestimmten Gerät aufgebaut wurde. Selbst wenn Hacker die Einmal-Kennung abfangen, können sie diese auf keinem anderen Rechner oder Smartphone erfolgreich einsetzen.

Frage 3: Informiert die Lösung den Anwender, wenn sein Passwort kompromittiert wurde?

Unternehmen sollten prüfen, ob die MFA-Lösung erweiterte Informationen bereitstellt, die einen Sicherheitsvorfall direkt aufdecken. Dies gilt sowohl für alarmierende als auch bestätigende Signale: Loggt sich ein Dritter mit einem gestohlenen Passwort ein, sollte die Authentifizierungslösung automatisch den betroffenen Mitarbeiter oder eine zuständige Person aus der IT-Abteilung darüber in Kenntnis setzen. Weiterhin sorgen bei der Anmeldung bereitgestellte Geo-IP-Informationen für eine zusätzliche Sicherheitskontrolle. Ein Mitarbeiter kann diese Daten dann mit seinem tatsächlichen Standort abgleichen. So lassen sich mögliche Man-in-the-Middle-Angriffe identifizieren.

Frage 4: Ist sie schnell einzurichten, einfach zu verwalten und skalierbar?

Entscheidend sind eine schnelle und zentrale Implementierung sowie ein intuitives Management. Lösungen, die eine Software-Installation auf den Smartphones, Laptops und anderen Geräten der einzelnen Anwender erfordern, sind zu vermeiden. Ebenfalls ungünstig ist es, wenn spezielle Hardware, z.B. ein Security-Token, notwendig ist, um die MFA-Lösung zu betreiben. Können Mitarbeiter für den OTP-Empfang ihr persönliches Smartphone verwenden, erhöht dies die Akzeptanz der Sicherheitsmaßnahme und macht Anwenderschulungen hinfällig. Außerdem wichtig: die Möglichkeit, weitere Anwender hinzuzufügen, sowie die nahtlose Integration in Microsoft Active Directory.

Frage 5: Bietet die MFA automatische Fail-Over-Mechanismen?

Die Zustellung des One-Time Passcodes kann durch äußere Faktoren wie Funkstörungen beeinträchtigt sein. In diesem Fall ist es essentiell, dass eine Authentifizierungslösung über automatische Fail-Over-Mechanismen verfügt. Wenn ein OTP nicht über die bevorzugte Übertragungsmethode gesendet werden kann, garantiert das Zurückgreifen auf Alternativen wie SMS, Anruf, E-Mail oder App, dass sich Mitarbeiter problemlos im Unternehmensnetzwerk anmelden können.

Über den Autor: Lars Gotlieb ist Regional Manager DACH von CensorNet, Anbieter von Cloud-Security-Lösungen. Die Multi-Faktor-Authentifizierung ist in der Komplettlösung CensorNet USS (Unified Security Service) integriert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44930390 / Authentifizierung)