:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was zeichnet sichere MFA-Lösungen aus? Wie sicher ist Multi-Faktor-Authentifizierung wirklich?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
MFA-Lösungen sollen Phishing-Angriffen den Garaus machen. Doch die Methoden von Cyberkriminellen werden immer perfider und nicht jede Lösung hat dafür Antworten parat. Um auch MFA Phishing-sicher zu gestalten, sollten ein paar Dinge beachtet werden.
Wer kennt sie nicht, die gute alte Phishing-Mail. Mal mehr, mal weniger gut konzipiert, gehört sie nach wie vor zu den am häufigsten verwendeten Methoden von Cyberkriminellen, um an Zugangsdaten von Nutzer:innen zu gelangen. Wer nun aber denkt, man können diese ja ohnehin problemlos erkennen, etwa durch obskure Absender-Adressen, der sei an den vor kurzem publik gewordenen Fall beim Finanzdienstleister PayPal erinnert: Hier hatten sich vermeintliche Betrüger Zugriff auf den Mail-Server des Unternehmens verschafft, und über die offizielle Adresse des Unternehmens Phishing-Mails verschickt, um Login-Daten zu erbeuten.
Wenn solche Fälle öffentlich werden, ist der Ruf nach Multi-Faktor-Authentifizierung (MFA) oft die naheliegende Reaktion vieler Unternehmen. Einige Firmen, etwa Salesforce oder auch Microsoft bestehen schon auf das Verfahren und auch branchenspezifisch gibt es bereits strenge Vorgaben. Doch es ist ein weit verbreiteter Irrglaube, dass jede MFA-Lösung zuverlässigen Schutz vor Phishing bietet.
Um hier etwas Licht ins Dunkel zu bringen, sei kurz rekapituliert, um was es bei MFA geht. Die Authentifizierung der Person wird bei MFA durch mehrere Stufen verifiziert. Am häufigsten ist dabei die Kombination aus Login-Credentials (also einem Nutzernamen sowie Passwort) und einem weiteren Faktor, der in der zweiten Stufe abgefragt wird. Dazu erhalten Nutzer:innen häufig einen Bestätigungscode auf ein gesondertes Gerät, etwa dem Handy, und müssen diesen wiederum auf der Website oder in der App eingeben. Alternativ werden auch biometrische Merkmale abgefragt oder ein Sensor einer Chipkarte beziehungsweise USB-Token wird angepingt, um die physische Verortung zu bestätigen.
Sicherheitsfaktoren auf dem Prüfstand
Die einzelnen Faktoren werden dabei allgemein in drei Kategorien unterteilt: Wissen (zum Beispiel beim Passwort oder bei einer Sicherheitsfrage), Besitz (physische Verfügbarkeit einer Hardware-Komponente) und Inhärenz (biometische Merkmale wie der Fingerabdruck). Sie alle verfügen über ein unterschiedliches Schutzniveau und es gibt eine Reihe von Angriffsmöglichkeiten. Der Wissensfaktor ist dabei das wohl schwächste Element, dicht gefolgt vom Besitzfaktor. Beides lässt sich verhältnismäßig einfach stehlen oder ausspionieren: Vom Blick über die Schulter bis hin zum Klonen von physischen Keys gibt es ein breites Spektrum von Möglichkeiten. Der Inheränzfaktor ist zwar schwerer zu erbeuten, doch im Grunde spielt das keine Rolle, denn der Faktor Mensch und die Kommunikationswege zwischen den einzelnen Faktoren bieten ebenfalls Optionen für Hacker.
Eindrucksvoll hat das der Fall Uber im September 2022 demonstriert, wobei hier das sogenannte Prompt Bombing – eine besondere Form des Push-Phishings – zum Einsatz kam. Diese einfache und hocheffektive Methode zielt häufig auf MFA-Systeme und nutzt dabei Social Engineering, um Nutzer:innen dazu zu drängen, MFA-Anfragen des Systems leichtfertig zu bestätigen. Sind Kriminelle einmal im Besitz von Login-Credentials, werden in kurzer Zeit multiple Login-Versuche getätigt, die dann – via Push-Nachricht – zur Verifizierung auffordern. Genervt von den Anfragen, werden die Nutzer:innen dazu verleitet, “einfach zu bestätigen”.
Dieses Beispiel macht deutlich, dass es keine Rolle spielt, auf welchen Faktor die MFA-Lösung setzt: Ein 100-prozentiger Schutz gegen Credential-basierte Angriffe existiert so lange nicht, solange der eigentliche Angriffe auf den “Mittelsmann” – hier die Nutzer – erfolgt.
Was zeichnet sichere MFA-Lösungen aus?
Denn neben den einzelnen Faktoren der MFA-Lösung gibt es eine Reihe von Schwachstellen, die auf den ersten Blick nicht ersichtlich sind. Beispiele dafür sind etwa die Art, wie ein neues Gerät zur Authentifizierung hinzugefügt wird oder auch die Kontowiederherstellung.
Um hier auf Nummer sicher zu gehen, sollten MFA-Dienste gewählt werden, die für den Login auf die Authentifizierungsschnittstelle des Endgerätes setzen. Diese umfassen neben der biometrischen Login-Funktion durchaus auch PINs. Wichtig ist bei letzterem jedoch, dass dieser PIN ausschließlich auf dem lokalen Gerät funktioniert. Hier spricht man von “Same Device MFA”, einer Funktion, die nicht Kosten und Mühen im Fall verlorener Geräte verringert, sondern auch das On- und Offboarding neuer Mitarbeiter:innen erleichtert.
Ein weiteres Merkmal, auf das geachtet werden sollte, ist die Art und Weise, wie Nutzerdaten und Private Keys gespeichert werden. Cloud-Lösungen, die die Keys zentral speichern, sind hier nicht zu empfehlen, denn diese bieten einen weiteren Angriffsvektor. Stattdessen empfiehlt sich die Speicherung direkt auf dem Endgerät. Durch diesen dezentralen Ansatz lassen sich Angriffe deutlich besser eindämmen.
Und nicht zuletzt sollte für den gesamten Prozess der Authentifizierung, von der Kontoerstellung, über das Hinzufügen neuer Geräte bis hin zum Offboarding, darauf geachtet werden, dass konsequent ein Zero-Trust-Ansatz verfolgt wird. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.
Fazit
MFA trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe, da Passwörter nun endlich nicht mehr alleinig für den Schutz verantwortlich sind. Doch wie immer im Security-Kontext ist es nur eine Frage der Zeit, bis Cyberkriminelle die nächste Schwachstelle entdecken und diese ausnutzen. Von daher sollten sich Unternehmen nicht auf der Tatsache ausruhen, dass MFA eingeführt wurde und ihre Prozesse und Praktiken stetig auf den Prüfstand stellen. Nur wenn auch die MFA-Lösung selbst Phishing-sicher gestaltet wird, bietet sie nachhaltig Sicherheit.
Über den Autor: Al Lakhani ist CEO der IDEE GmbH.
(ID:49251189)
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/4a/694a356edcf1db25e71e1adc7057dfac/0113378979.jpeg "Vor der Einführung einer Multi-Faktor-Authentifizierung sollten Unternehmen die verfügbaren MFA-Methoden evaluieren, um diejenige auszuwählen, die am besten zu den Sicherheitsanforderungen und dem Budget des Unternehmens passt. (Bild: Urupong - stock.adobe.com)")