Wie Hacker Authentifizierungskonzepte umschiffen – und wie man sie aufhalten kann
Autor/Redakteur: Alexandre Cagnoni, Director of Authentication bei WatchGuard Technologies/gg
Für viele IT-Security-Profis zählt die Multifaktor-Authentifizierung (MFA) zu den wichtigsten Sicherheitsmaßnahmen überhaupt – für einige ist sie sogar die essenziellste. Das Grundkonzept erschließt sich schon aus dem Namen: Es geht darum, im Rahmen der Authentifizierung verschiedene Elemente zu kombinieren, die beispielsweise auf Wissen (Kennwort), Besitz (Hardware) oder auch Biometrie basieren. Wenn ein Hacker in den Besitz eines Anwenderpassworts gelangt (was heutzutage meist eine der leichtesten Übungen ist), kann durch Einbindung weiterer Faktoren sichergestellt werden, dass zwischen ihm und seinem Ziel – zum Beispiel wichtigen Unternehmensdaten – zusätzliche Hürden liegen, die es ebenfalls erst noch zu überwinden gilt.
Obwohl eine starke Authentifizierung mittlerweile als Eckpfeiler guter Sicherheitskonzepte gilt, ist es wichtig zu beachten, dass es in der Branche kein Patentrezept gibt. In der Vergangenheit haben Cyberkriminelle immer wieder Wege gefunden, entsprechende MFA-Schutzmaßnahmen zu umgehen. So berichtete beispielsweise die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) Anfang 2021 über mehrere erfolgreiche Cyberangriffe, bei denen MFA-Systeme geschickt umschifft wurden, um die Cloud-Lösungen mehrerer Unternehmen zu kompromittieren.
Wie genau schaffen es Hacker, bestehende MFA-Ansätze auszutricksen? Und was können Unternehmen tun, um solchen Versuchen Einhalt zu gebieten? In dem Zusammenhang sollen zunächst die verschiedenen Methoden zur Authentifizierung näher beleuchtet werden – inklusive der jeweils potenziellen Schwachstellen, die Angreifer für sich zu nutzen wissen.
SMS
Da die meisten Smartphone-Nutzer ihr Gerät immer bei sich oder in der Nähe haben, ist die Authentifizierung via SMS eine der am häufigsten verwendeten MFA-Technologien. Obwohl sie bequem ist, gehört sie zu den unsichersten Optionen. Nationale Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch das US-amerikanische National Institute of Standards and Technology (NIST) warnen bereits seit Jahren vor der Verwendung von SMS als Authentifizierungsfaktor. Schließlich gibt es mittlerweile zahlreiche Beispiele für die Kompromittierung von Endpunkten und Social-Engineering-Angriffe, die zeigen, wie leicht böswillige Akteure Textnachrichten abfangen, phishen und fälschen können.
„SIM-Swapping“ ist hierbei ein beliebter Trick, den Angreifer verwenden, um SMS-basierte MFA zu umgehen. Bei der SIM-Swap-Betrugsmasche gibt sich ein Hacker als die Zielperson aus, um einen Mitarbeiter auf Seiten des zuständigen Mobilfunkanbieters dazu zu bringen, die mit der SIM-Karte verbundene Telefonnummer auf ein neues (bösartiges) Gerät zu portieren. Nach der Migration kann der Hacker alle per Textnachricht gesendeten Zwei-Faktor-Authentifizierungscodes abfangen. Authenticator Apps, wie sie beispielsweise Google oder Microsoft bieten, können helfen, SMS-Hijacking und SIM-Swapping zu verhindern.
Einmalpasswörter (OTP – One Time Passwords)
OTP sind ein weiteres weit verbreitetes Instrument zur Authentifizierung, das mithilfe von Social Engineering jedoch ebenfalls viel Angriffsfläche bietet. Diebe persönlicher Anmeldedaten schrecken nicht davor zurück, ihre potenziellen Opfer anzurufen und davon zu überzeugen, ihnen das auf dem Token angezeigte Passwort mitzuteilen. Zudem wird Phishing dazu genutzt, Anwender auf eine gefälschte Anmeldewebseite zu locken, damit sie ihre Zugriffsdaten – einschließlich OTP – für das jeweilige Konto eingeben.
Der Einsatz von Anti-Phishing-Tools und Benutzerschulungen gehören zu den besten Maßnahmen, um solche MFA-Umgehungstaktiken zu verhindern. Zusätzlichen Schutz bietet darüber hinaus die Verwendung zeitbasierter OTP. Denn dies schiebt dem Missbrauch einmal generierter, ereignisbasierter OTP – die sich jederzeit verwenden lassen, solange die Reihenfolge eingehalten wird – einen weiteren Riegel vor.
USB-Token
USB/FIDO2-Token erfreuen sich im Zuge passwortloser Initiativen zunehmender Beliebtheit. Einige kritisieren USB-Token als teuer sowie mühsam in der Bereitstellung und Verwaltung. Ebenso wird bemängelt, dass diese als weiterer Ballast stets mit sich herumgetragen werden müssen. Trotzdem markieren sie einen Fortschritt in Sachen Nutzerfreundlichkeit, da sie Passwörter ersetzen. Genau hier liegt jedoch die Crux: Von Multifaktor-Authentifizierung kann keine Rede sein. Da diese einfach nur anstelle von Passwörtern genutzt werden, bleibt es bei einem Faktor zur Authentifizierung – was das Risiko nur bedingt schmälert. Jeder, der den Token besitzt, kann sich Zugang zum zugeordneten Computer beziehungsweise der Anwendung verschaffen. Insofern sollte der Einsatz von USB-Token von zusätzlichen Vorkehrungen begleitet werden – beispielsweise der Abfrage einer PIN oder dem Einbeziehen biometrischer Merkmale.
Mobile Push-Benachrichtigung
Bei „Mobile Push“ handelt es sich um eine Weiterentwicklung der SMS-Authentifizierung, die nicht von Carrier-Daten abhängig ist und auch per WLAN funktioniert. Im Vergleich mit den vorangegangenen Varianten markiert diese Option wohl immer noch den verlässlichsten Weg, da eine direkte Verbindung vorliegt. Auch im Hinblick auf die Anwenderfreundlichkeit gibt es Vorteile, da der Benutzer den Zugriff einfach genehmigen oder verweigern kann, wenn er dazu aufgefordert wird. Trotzdem besteht weiterhin das Risiko, dass ein Angreifer Social-Engineering-Taktiken einsetzt, um Benutzer davon zu überzeugen, einen unaufgeforderten Push zu autorisieren. Wer dies verhindern möchte, sollten sicherstellen, dass die eingesetzte „Mobile Push“-Lösung in der Lage ist, sowohl den Ursprungsort der Anfrage anzuzeigen als auch Auskunft darüber zu geben, für welches Gerät oder welche Anwendung die Zugriffsgenehmigung angefragt wird. Dies hilft dem Benutzer bei der Verifizierung der von ihm selbst initiierten Anfragen. Böswillige Versuche, sich unbefugten Zugriff zu verschaffen, können leichter erkannt und blockiert werden.
