:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was muss MFA leisten? Was darf sie kosten? Multi-Faktor-Authentifizierung in Cloud-Umgebungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Eine der größten Sicherheitsbedrohungen geht heutzutage von kompromittierten Berechtigungsnachweisen und dem Missbrauch privilegierter Accounts aus. Dementsprechend stellt die Absicherung privilegierter Zugriffe auf Anwendungen, Server und Infrastrukturen die Basis einer effektiven Sicherheitsstrategie dar.
Dessen ist sich der Großteil der Security-Verantwortlichen in Unternehmen auch bewusst. Dennoch fällt es in der Praxis vielen nach wie vor schwer, zwischen einem berechtigten Administrator und einem Bedrohungsakteur, der kompromittierte Anmeldedaten verwendet, zu unterscheiden – insbesondere in verteilten und hybriden Cloud-Infrastrukturen. Konsequente Multi-Faktor-Authentifizierung (MFA) kann den Worst Case zwar verhindern, ihr Erfolg steht und fällt aber mit der ausgewählten Methode und dem Ort der Umsetzung.
Probates Mittel für mehr Sicherheit
Die flächendeckende Durchsetzung einer MFA ist ohne Zweifel eine der effektivsten Best Practices in der Zugriffskontrolle. Doch obwohl sie einfach umzusetzen und für regulierte Branchen wie Finanzdienstleister, das Gesundheitswesen oder den E-Commerce gemäß verschiedenen Richtlinien (wie PCI, HIPAA, PSD2, NIST usw.) sogar verpflichtend ist, ist MFA für viele Unternehmen noch längst nicht zum Standard geworden.
So zeigt eine weltweite Umfrage von CISOs und Sicherheitsverantwortlichen, dass 52 Prozent der Unternehmen kein MFA nutzen, um privilegierte Zugriffe wie etwa den Administratorzugriff zu schützen.
Dies ist umso erstaunlicher, als Analysten-Reports und Studien die Bedeutung von Mehrfachauthentifizierungen für nachhaltige Cybersicherheit immer wieder deutlich machen:
- 80 Prozent der Datenschutzverletzungen können laut Forrester Research auf kompromittierte Zugangsdaten zurückgeführt werden.
- 36 Prozent der User in Deutschland nutzen für mehrere Online-Dienste das gleiche Passwort, wie eine Bitkom-Befragung zeigt.
- 90 Prozent der verifizierten Phishing-E-Mails wurden laut einer Cofense-Studie in Umgebungen mit sicherem E-Mail-Gateway gefunden.
- Unternehmen, die ihren Fernzugriff erweitern, ohne MFA zu implementieren, erleben laut Gartner fünfmal so viele Kontoübernahmen wie solche, die auf MFA setzen.
Warum brauchen hybride Cloud-Umgebungen verhaltensbasierte MFA?
Das Prinzip MFA ist nicht neu, doch durch die vermehrte Cloud-Migration der letzten Jahre und die deshalb stark vergrößerte Angriffsfläche hat die Bedeutung der Mehrfachauthentifizierung als Teil einer starken Privileged-Access-Management (PAM)-Strategie deutlich zugenommen. Um bei unsachgemäßen Konfigurationen ihrer Multi-Cloud-Infrastrukturen oder kompromittierten Passwörtern für Cloud-Anwendungen nicht den Supergau zu erleben, brauchen IT-Abteilungen moderne MFA-Lösungen, die sowohl ihre On-Premises- als auch Cloud-Umgebungen absichern und dabei eine ausgewogene Balance zwischen Sicherheit und Benutzerfreundlichkeit wahren.
Herkömmliche MFA-Lösungen, die bei der Definition der Abfragen auf statische Richtlinien setzen, werden den Anforderungen der neuen perimeterlosen Cloud-Umgebung hingegen nicht mehr gerecht. Sie bieten keinen dynamischen Kontext und zwingen alle User dazu, unter allen Umständen ähnliche Richtlinien zu befolgen, was eine genaue Risikomessung unmöglich macht.
Kontextbezogene MFA geht hier zwar einen Schritt weiter, weil klar definiert wird, von welchem Standort, Gerät oder Netzwerk aus sich ein entsprechender Nutzer anmelden darf, und Identitätssicherheit so gezielter umgesetzt werden kann. Gleichzeitig ist diese Methode aber auch zeitaufwendiger und bindet mehr Ressourcen: Kontextuelle MFA erfordert ein höheres Maß an Wartung und Instandhaltung, was möglicherweise dazu führt, dass nicht alle möglichen Risikobedingungen berücksichtigt werden.
Einen wesentlich innovativeren und für Cloud-Umgebungen damit auch sichereren Ansatz bietet die adaptive und verhaltensbasierte MFA, bei der das Gewähren bzw. Blockieren von Zugriffen gemäß der Analyse des individuellen Sitzungsverhalten der Benutzer erfolgt. Einige Lösungen arbeiten dabei mit modernen Algorithmen für maschinelles Lernen und Verhaltensanalysen, um das Verhalten privilegierter Benutzer sorgfältig zu untersuchen und anomale und damit potenziell schädliche Aktivitäten wirksam zu identifizieren.
Durch maschinelles Lernen können Millionen von Ereignissen kontinuierlich unter die Lupe genommen werden, was mit manueller Forensik nicht möglich wäre. So sind Sicherheitsverantwortliche in der Lage, aktiv auf Vorfälle zu reagieren, indem sie bereits laufende Sitzungen unterbrechen, zusätzliche Kontrollen einrichten oder Markierungen für forensische Folgemaßnahmen setzen.
Wo MFA ein Must-Have ist
Denkt man an MFA, ist der erste klassische Anwendungsfall, der einem einfällt, der Administratorenzugang. Tatsächlich sollte MFA für IT-Administratoren und andere privilegierte Benutzer, die Zugriff auf sensible Daten und Systeme haben, grundsätzlich obligatorisch sein. Doch auch für nicht-menschliche Accounts und Ressourcen wie Passwort-Tresore, Firewalls, Netzwerkgeräte, Workstations oder Server sollten IT-Abteilungen MFA aktivieren – und zwar egal, ob sie sich On-Premises oder in der Cloud befinden.
Ein Problem ist, dass viele PAM-Strategien, die MFA nur beim klassischen Vault-Login vorsehen. Dies mag auf den ersten Blick bequem sein, bietet aber nur ein eingeschränktes Maß an Sicherheit. Besser ist es, die Mehrfachauthentifizierung konsequent an allen wichtigen Zugangspunkten zu erzwingen. Dazu gehören der Passwort- bzw. Secret-Checkout, die Server- bzw. Systemanmeldung aber auch die Erhöhung von Berechtigungen. Werden diese kritischen Punkte mit mehreren Faktoren geschützt, kann das Risiko von Privilegien-Missbrauch deutlich reduziert werden. Denn gelingt es einem Angreifer, an eine gültige ID und ein Passwort zu gelangen und sich damit bei einem Server anzumelden oder die Berechtigungen zu erhöhen, kann MFA diesen Versuch bereits im Keim ersticken. Dass ein Bedrohungsakteur – egal ob Mensch oder Bot – im Besitz der gültigen Anmeldedaten ist und zusätzlich auch den zweiten Faktor, etwa ein Mobiltelefon oder einen YubiKey-Dongle, kompromittiert hat, ist grundsätzlich eher unwahrscheinlich.
Eine weitere Schwachstelle in der MFA-Umsetzung ergibt sich dann, wenn Unternehmen MFA-Produkte verschiedener Anbieter kombinieren und diese an verschiedenen Orten einsetzen. Dies führt zu inkonsistenten Richtlinien, Sicherheitslücken und einem hohen Verwaltungsaufwand. IT-Abteilungen sollten daher darauf achten, Lösungen auszuwählen, die ihnen eine zentrale Verwaltungsoberfläche für MFA-Richtlinien bereitstellen. So können Richtlinien für die Serveranmeldung und die Erhöhung von Berechtigungen zentral definiert und verwaltet und von Server-PAM-Clients auf dem Server durchgesetzt werden.
Idealerweise unterstützen PAM-Lösungen die führenden Anbieter wie Duo, YubiCo und RSA sowie die gängigen Protokolle wie RADIUS und FIDO2. Denn der Support einer breiten Palette von Authentifikatoren bietet den IT-Mitarbeitenden die nötige Flexibilität für die unternehmensweite Absicherung von Zugriffen auf die AWS-Infrastruktur, bei der Passwortüberprüfung, der Sitzungsinitiierung, der Serveranmeldung oder bei der kritischen Erhöhung von Berechtigungen.
MFA ja und durchgängig
Die Multi-Faktor-Authentifizierung bietet Unternehmen hohen Nutzen bei minimalem Aufwand.
Um von den Vorteilen voll und ganz zu profitieren und wichtige administrative Zugriffspunkte auch langfristig gut geschützt zu wissen, müssen IT-Abteilungen jedoch auf moderne MFA-Methoden setzen und diese flächendeckend an allen kritischen Punkten erzwingen. Dies versetzt sie in die Lage, laterale Bewegung von Bedrohungsakteuren in ihren Netzwerken zu minimieren und ihre Cloud-Security-Strategie mit einer effektive Identitätssicherung zu härten.
* Der Autor Andreas Müller ist Vice President DACH für Delinea.
(ID:48799403)
:quality(80)/p7i.vogel.de/wcms/e6/57/e6574acfc8cdb3be097a2e72f8e5341e/0111094277.jpeg "Angriffe auf das Active Directory sicher abzuwehren ist praktisch unmöglich! Die neue Strategie lautet, alles für die Absicherung zu tun, aber mit erfolgreichen Hacks und Breaches zu rechnen und den Schaden über die Faktoren Aufmerksamkeit und Schnelligkeit gering zu halten. (Bild: © flashmovie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")