:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud-Anbieter sollten MFA einführen Warum ein Sicherheitsgurt für das Internet so wichtig ist
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die meisten von uns sind inzwischen mit einer Zwei-Faktor- oder einer Multi-Faktor-Authentifizierung vertraut. Das sind per SMS zugestellte Einmal-Passwörter, Push-Benachrichtigungen oder biometrische Daten zur Anmeldung bei Benutzerkonten.
In Europa hat die Zahlungsdiensterichtlinie PSD2 eine starke Kundenauthentifizierung mittels Zwei-Faktor-Authentifizierung beim Online-Bezahlen weitestgehend durchgesetzt. Auch die Cloud-Anbieter stehen im Hinblick auf die Einführung einer Multi-Faktor-Authentifizierung (MFA) deshalb nicht mehr vor der Frage, ob sie kommt, sondern wann.
Fortschritte bei der Multi-Faktor-Authentifizierung
Die Finanz- und Zahlungsdienstleister sind nicht die einzigen, die sich mit dem Thema Authentifizierung beschäftigen. So haben im Jahr 2021 einige der großen Anbieter von Online-Verbraucherdiensten Teile ihrer Nutzer auf MFA umgestellt. Google beispielsweise verpflichtete sich, die Multi-Faktor-Authentifizierung für alle Google-Workspace-Nutzer vorzuschreiben, und verschenkte zudem Tausende von Sicherheitsschlüsseln an Personen mit hohem Risiko. Microsoft hat sich von unsicheren Verfahren verabschiedet und passwortlose Zugriffsoptionen für Benutzerkonten eingeführt.
:quality(80)/images.vogel.de/vogelonline/bdb/1948100/1948133/original.jpg "Salesforce will bis Mai kommenden Jahres alle Kunden zur Multi-Faktor-Authentifizierung verpflichten. (gemeinfrei, geralt / Pixabay)")
Umstellung bis Mai 2023
Salesforce führt Multi-Faktor-Authentifizierung ein
Beim Einsatz von Multi-Faktor-Authentifizierung ist noch Luft nach oben. Die oben angesprochenen Initiativen sind zwar ein guter Anfang, für flächendeckenden Schutz müssen jedoch mehr Dienstanbieter sehr viel mehr Kunden dazu bewegen, sichere Authentifizierungsverfahren zu verwenden.
Die oben genannten Tech-Giganten und andere Cloud-Anbieter haben daher noch einiges zu tun und sollten dabei folgende Aspekte berücksichtigen:
1. Anwender zur Nutzung von Multi-Faktor-Authentifizierung verpflichten
Eines wissen wir aus Erfahrung: Damit Nutzer ihr Verhalten ändern, muss die Multi-Faktor-Authentifizierung obligatorisch werden – vergleichbar mit dem Sicherheitsgurt im Auto. Denn abgesehen von einigen wenigen technikaffinen Menschen ist es unwahrscheinlich, dass Anwender freiwillig die Art und Weise ändern, wie sie auf ihre Accounts zugreifen – vor allem, wenn das mit einem Aufwand verbunden ist.
2. Nutzerzahlen öffentlich machen
Dienstanbieter sollten kommunizieren, wie viele Nutzer die Multi-Faktor-Authentifizierung tatsächlich verwenden. Selbst wenn die Nutzerzahlen zunächst alles andere als großartig sein werden, ist Transparenz sinnvoll. Die Zahlen zeigen einerseits den Zuwachs und führen andererseits vor Augen, dass und wo weitere Anstrengungen notwendig sind, um mehr Nutzer an Bord zu holen.
3. Der Faktor Benutzererfahrung
Die Art der Authentifizierung ist nicht nur eine Frage der Sicherheit, sondern auch der Benutzererfahrung. Sie ist bei Zwei-Faktor-Verfahren wie Einmal-Passcodes per SMS und Push-Benachrichtigungen wenig benutzerfreundlich. Herkömmliche Zwei-Faktor-Verfahren benötigen zwei Schritte. Und was ein komplizierter Ablauf bewirken kann, davon kann der Online-Handel ein Lied singen. Damit die Multi-Faktor-Authentifizierung in vollem Umfang angenommen wird, muss sie möglichst nahtlos in die Prozesse integriert sein. Insbesondere die besitzbasierte Authentifizierung hat im Hinblick auf das Benutzererlebnis Vorteile. Biometrie und Sicherheitsschlüssel sind in der Regel sehr einfache Authentifizierungsmethoden mit nur einer Geste. Mit ihnen lässt mehr Sicherheit erreichen, ohne dass das Benutzererlebnis leidet. Mit modernen Verfahren ist Multi-Faktor-Authentifizierung in einem einzigen Schritt möglich.
4. Die Multi-Faktor-Authentifizierung weiterentwickeln
Wie Microsoft dokumentiert hat, ist für den Schutz von Accounts jede Form von Multi-Faktor-Authentifizierung besser als ein Passwort allein. Allerdings sind nicht alle Zwei-Faktor-Verfahren gleichermaßen sicher. Neue Toolkits mit bösartiger Software, mit der herkömmliche Multi-Faktor-Verfahren, vor allem Verfahren mit Einmal-Passwörtern, umgangen werden können, sind zunehmend online verfügbar, und die Angriffe werden immer ausgefeilter und breiten sich immer weiter aus. Denn jedes Einmal-Passwort, ob von einer SMS oder einer Authentifizierungs-App, ist gewissermaßen ein offenes Geheimnis und deshalb anfällig für Manipulationen durch Phishing, Social Engineering sowie Replay- und andere Angriffe.
:quality(80)/images.vogel.de/vogelonline/bdb/1935400/1935490/original.jpg "Verbraucher sind nicht sehr geduldig und brechen Kaufprozesse oder die Anmeldung zu Online-Inhalten schnell ab, wenn der Login-Prozess zu umständlich ist. (gemeinfrei)")
Identitätsprüfung muss bequem sein
Komplizierter Check-In? – Schneller Check-Out!
Cloud-Anbieter sollten deshalb besitzbasierte Multi-Faktor-Authentifizierung einsetzen. Darunter sind kryptografische Verfahren in Kombination mit biometrischen Daten auf dem Gerät oder Sicherheitsschlüsseln zu verstehen. Da sie durch die robuste Hardware auf dem Gerät geschützt sind und sich während der Authentifizierung in der Hand des Kunden befinden müssen, können sie nicht wie Einmal-Passwörter gefälscht oder kompromittiert werden. Die Sicherheit der besitzbasierten Multi-Faktor-Authentifizierung ist der Grund, warum das Advanced Protection Program von Google nichts anderes unterstützt.
Die Entwicklung geht weiter
Bei der Entwicklung und Implementierung der Multi-Faktor-Authentifizierung sind viele Erfolge zu verzeichnen. Mit den Erfolgen haben sich auch die Fragestellungen geändert. Anstelle von Aspekten wie der Notwendigkeit und der prinzipiellen Machbarkeit einer bequemen und Phishing-resistenten Multi-Faktor-Authentifizierung steht heute im Vordergrund, wie sie konkret eingeführt werden soll.
Cloud-Anbieter sollten wissen, dass Benutzerfreundlichkeit und Sicherheit sich nicht widersprechen müssen und gleichzeitig umsetzbar sind.
* Der Autor Rolf Lindemann ist Boardmitglied der FIDO Alliance. FIDO ist ein Standard wie Wi-Fi oder Bluetooth, nur für die sichere Authentifikation. Zu den Mitgliedern der FIDO-Allianz zählen neben Apple, Google und PayPal auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
(ID:48206707)
:quality(80)/p7i.vogel.de/wcms/25/f4/25f4a39b52ff796d993864930f16285b/0106960244.jpeg "Die persönliche Anmeldung bei Online-Diensten oder in Systemen per Passwort ist zu unsicher geworden – der Trend geht hin zu Authentifizierungsmethoden, die mehrere unabhängige Merkmale prüft. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/56/70567b2c00f6b918072aacfd0d40f629/0106450499.jpeg "Die FIDO-Erweiterungen für „multi-device credentials“ und „roaming authenticator“ werden allgemein verfügbar. (Bild: fidoalliance.org (bearb.))")