Multi-Faktor-Authentifizierung und Zero Trust MFA darf nicht zum Stolperstein für Zero-Trust-Strategien werden

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Fujitsu Technology Solutions GmbH

WatchGuard Technologies GmbH

Unternehmen, die eine Zero-Trust-Sicherheitsstrategie erfolgreich umsetzen wollen, müssen sich mit einschlägigen Prinzipien und unterschiedlichen Technologiebausteinen auseinandersetzen. Dazu gehört nicht zuletzt das Thema Multi-Faktor-Authentifizierung (MFA). Der Einsatz einer entsprechenden Lösung kann maßgeblich dazu beitragen, das Sicherheitsniveau zu erhöhen und Risiken für alle Mitarbeiter zu mindern.

Trotz ihrer Bedeutung hat sich MFA als fundamentale Sicherheitsanforderung bei Weitem noch nicht flächendeckend im Markt durchgesetzt. Und selbst wenn MFA-Technologie in den Reihen einer Organisation grundsätzlich verfügbar ist, gibt es leider viele Fälle, in denen die mehrstufigen Authentifizierungsprozesse nur selektiv zur Anwendung kommen und/oder nicht verpflichtend gehandhabt werden. Eine internationale Studie des Cyber Readiness Institute aus dem Jahr 2022 hat ergeben, dass nur 46 Prozent der befragten Unternehmen aus dem KMU-Bereich MFA implementiert haben. Allein bei 28 Prozent ist deren Verwendung im Rahmen der Sicherheitsrichtlinien explizit vorgeschrieben.

Solch mangelhafte MFA-Praktiken können sich bei der Einführung und Etablierung einer Zero-Trust-Sicherheitsstrategie, die auf Compliance und Risikominimierung abzielt, kontraproduktiv auswirken. Warum das so ist und unter welchen Bedingungen der Einsatz von MFA-Technologie zum Schutz von Mitarbeitern und IT-Strukturen zu kurz greift, soll im Folgenden aufgezeigt werden.

1. Ausnahmeregelungen für bestimmte Rollen bzw. Prozesse

Beim Blick in die Praxis drängt sich schnell der Eindruck auf, dass es in nahezu jedem Unternehmen einen Ausnahmeprozess für die IT-Verantwortlichen selbst gibt. Im Zuge von Risk-Assessment-Programmen wird zudem viel Konzentration daraufgelegt, herauszufinden, „was“ am wertvollsten und „wer“ am anfälligsten ist. Nicht selten fehlt es an Konsequenz, bei MFA-Vorgaben „alles und jeden über einen Kamm zu scheren“. So kommt ausgewählten Gruppen der Belegschaft oft eine Sonderrolle zu. Die Kategorisierung richtet sich in der Regel nach der Kritikalität einer geschäftlichen Aufgabe oder der Verantwortung einzelner Personen. Eine hochriskante Rolle kann zum Beispiel jemanden zukommen, der administrativen Zugang zu sensiblen Kundendaten oder Unternehmensinterna hat. Hohe Verantwortung trägt jemand, der die Befugnis hat, Rechnungen zu genehmigen und Zahlungen zu leisten.

Was vielleicht praktisch klingt, erweist sich in der Realität schnell als Fallstrick. Denn Cyberkriminelle scheren sich nicht um solche Parameter oder Prioritäten. Viel mehr erkennen sie darin ihre Chance und nutzen die Situation zu ihrem Vorteil aus, indem sie einzelne Mitarbeiter und Mitarbeiterinnen ins Visier nehmen und gezielt mit Social-Engineering-Techniken adressieren. Der oberste Grundsatz des Zero-Trust-Modells darf also niemals vergessen werden: Vertraue niemandem, überprüfe immer – ganz unabhängig davon, um wen es sich handelt, intern wie extern und egal ob Angestellter, Auftragnehmer, Lieferant oder Partner. Es sollte keine Ausnahmen geben, denn ein Risiko besteht immer.

2. Ausnahmen aufgrund fehlender Mitarbeiterakzeptanz

Das Argument der Bequemlichkeit darf nicht gelten. Passwortmüdigkeit und Ausreden in Bezug auf „angebliche“ Produktivitätseinbußen bei MFA-Anmeldeprozessen sind nicht neu. Gerade deshalb kommt es darauf an, diese stringent durchzusetzen, schließlich stellt MFA in jedem Szenario sicher, dass ausschließlich autorisierte Anwender über ihre dafür registrierten Endgeräte (Laptop, Handy, Tablet) Zugriff erhalten. Es spielt keine Rolle, ob der Mitarbeiter oder die Mitarbeiterin im Büro, im Homeoffice oder während einer Dienstreise von unterwegs den Zugang zu geschäftlichen Assets benötigt und dabei auf WLAN, Ethernet, VPN oder Mobilfunk setzt. Jede inkonsequente Befolgung oder Aufweichung der MFA-Vorgaben aus Komfortgründen widerspricht der Zero-Trust-Prämisse – vom vollständigen Aussetzen ganz zu schweigen.

3. Gemeinsame Nutzung von MFA-Konten

Administratoren haben große Macht und Verantwortung; gemeinsam genutzte Admin-Konten und Service-Zugänge sind eine gängige Praxis. Wer im Besitz des Admin-Passworts ist, verfügt über einer Vielzahl von leistungsstarken Berechtigungen – u.a. zur Verwaltung von Cloud- und On-premises-Infrastrukturen, zur Überwachung unternehmenskritischer Ressourcen (inkl. Zugriff auf sensible Daten jeder Art) und zur Durchsetzung unternehmensweiter Sicherheitsstandards und -richtlinien. Die gemeinsam genutzten Konten mit MFA abzusichern, scheint somit eine großartige Idee zu sein, oder? In (behördlichen) Security-Audits fällt diese allerdings durch und auch Anbieter von Cybersecurity-Versicherungen sehen dies leider anders. Es ist nicht nur zwingend erforderlich, gemeinsam genutzten Admin-Konten mit sogenannten „Standing Privileges“ den Riegel vorzuschieben und diese durch Just-in-Time(JIT)-Berechtigungen und -Zugänge für administrative Aufgaben abzulösen. Gleichzeitig zählt auch die Authentifizierung jedes einzelnen Administrators per MFA bei JIT-Zugriff. Vor dem Hintergrund von Zero Trust sollte zudem das „Principle Of Least Privilege“ (POLP) zum Tragen kommen, nach dem jedem einzelnen nur die Rechte gewährt werden, die unbedingt erforderlich sind – gerade im Zuge der Auflösung gemeinsam genutzter Konten und Abschaffung von Admin-Kennwörtern kann auf diese Weise einem Berechtigungswildwuchs effektiv vorgebeugt werden.

4. Einsatz Phishing-anfälliger MFA-Technologie

Der renommierte Sicherheitsexperte Roger Grimes von KnowBe4 trifft in dem Zusammenhang klare Aussagen. Er schreibt: „Jeder sollte eine Multi-Faktor-Authentifizierung verwenden. Jeder! Das Problem ist, dass viele MFA-Lösungen kaum besser sind als Passwörter und genauso leicht kompromittiert werden können.“ Mit dieser Feststellung ist Grimes nicht allein. Eine Verordnung der US-Bundesregierung schreibt vor, dass Behörden dem Anwender-Login zu den in den eigenen Reihen gehosteten Konten eine Phishing-resistente MFA-Methode voraussetzen – dies gilt für alle Behördenmitarbeiter, Kontraktoren und Partner, die routinemäßig auf Inhalte zugreifen. Auf Protokolle, die Telefonnummern für SMS- oder Sprachanrufe registrieren, Einmalcodes bereitstellen oder Push-Benachrichtigungen empfangen, ist ganz zu verzichten.

Glücklicherweise gibt es auf dem Markt genügend MFA-Alternativen, die moderne, offene Identitätsstandards wie die W3C-Empfehlung zur Webauthentifizierung oder FIDO 2.0 erfüllen, auf biometrischen Faktoren beruhen und/oder Hardware-Token einbeziehen.

Fazit

Unternehmen, die eine Zero-Trust-Sicherheitsstrategie implementieren und einen identitätsorientierten Ansatz verfolgen, können viel gewinnen. Damit sich die Potenziale voll ausspielen lassen, ist es jedoch wichtig, MFA-Fallstricke zu vermeiden und bei der Auswahl und dem Einsatz von MFA-Lösungen genau hinzuschauen.

Über die Autorin: Carla Roncato, Vice President of Identity bei WatchGuard Technologies, verfügt über weitreichendes Fachwissen und umfangreiche Expertise im Hinblick auf Identitätsmanagement, Zugriffsmanagement, offene Identitätsstandards, IT-Sicherheit, Datenschutz und Zero-Trust-Initiativen. Vor ihrem Start bei WatchGuard war sie bei Unternehmen wie Cognizant, Intel, McAfee, Microsoft, Teradata und der OpenID Foundation in einschlägigen Positionen tätig. Seit jeher setzt sie sich für offene Identitätsstandards ein.

(ID:49617474)