Mit Multifaktor-Authentifizierung wirklich auf der sicheren Seite?
Autor/Redakteur: Al Lakhani, CEO der IDEE GmbH/gg
Phishing-Angriffe zählen zu den beliebtesten Methoden von Cyberkriminellen und richten alleine in Deutschland jedes Jahr Schäden in Milliardenhöhe an. Multi-Faktor-Authentifizierung soll dem Schrecken ein Ende machen, doch wer glaubt, dass man damit stets auf der sicheren Seite ist, der irrt. Nicht jede MFA-Lösung schützt zuverlässig und es gibt mitunter signifikante Unterschiede. Bei der Wahl der richtigen Lösung gilt es einige Dinge zu bedenken.
„Ihr Account wurde gesperrt. Bitte loggen Sie sich hier ein, um den Account zu entsperren. – Ihr IT-Team.” So oder so ähnlich klang bestimmt schon mal eine E-Mail in Ihrem Postfach. Die klassische Spam-Mail wird als solche identifiziert und landet im digitalen Papierkorb. Doch die Cyberkriminellen – zumindest diejenigen, die etwas auf sich halten – werden immer geschickter darin, ahnungslose Nutzer:innen dazu zu bewegen, den Link doch anzuklicken oder ihre Zugangsdaten anderweitig unwissentlich preiszugeben. Vor allem im B2B-Umfeld ist der Anstieg der Angriffszahlen signifikant und Social Engineering machte dem Bitkom zufolge 2022 fast jedem zweiten Unternehmen (48 Prozent) zu schaffen.
Ein aktuelles Beispiel aus Deutschland betrifft den Hosting-Provider Ionos und zeigt die zunehmende Professionalität. Potenziellen Opfern wird in einer seriös aussehenden E-Mail suggeriert, dass sie ihre Verbindungseinstellungen des Mailclients umstellen müssen, damit weiterhin ein Zugriff auf das Postfach ermöglicht werden kann. Nachdem der Anbieter selbst zu diesem Zeitpunkt tatsächlich gerade dabei war, den unverschlüsselten Mailverkehr abzuschalten und entsprechend veraltete Protokolle zu ersetzen, fand sich ein vermeintlicher Beweis für die Legitimität der Nachricht im Internet. Wer nun aber die html.-Datei aus dem Anhang öffnete, wurde damit gephisht und die Zugangsdaten waren kompromittiert.
Damit ein solcher Vorfall nicht sofort dazu führt, dass mit den gestohlenen Credentials Zugriff auf sensible Unternehmensbereiche erhalten wird, setzen einige Unternehmen heute bereits auf Multifaktor-Authentifizierung. Große Software-Anbieter wie Salesforce oder Microsoft haben die Lage ebenfalls erkannt, und verpflichten ihre Nutzer:innen zum Einsatz von MFA im Umfeld ihrer Lösungen. Die zusätzlichen Sicherheitsstufen beziehungsweise Sicherheitsfaktoren bremsen Angreifer zwar oft aus, halten ambitionierte Cyberkriminelle jedoch nicht auf – gerade solche nicht, die auf Credential-Phishing-Methoden setzen.
Sicherheitsfaktoren im Hacker-Check
Denn es kommt maßgeblich darauf an, welche Faktoren zur Verifikation von Nutzer:innen genutzt werden. Allgemein unterscheidet man zwischen Wissensfaktoren (Passwörter oder auch Sicherheitsfragen), Besitzfaktoren (etwa ein Hardware-Token, der bei der Abfrage lokalisiert wird) und Inhärenzfaktoren (zum Beispiel ein Fingerabdruck oder die Iris einer Person). Diese drei Faktoren bieten in keinster Weise gleichwertigen Schutz. Gerade der Wissensfaktor ist oft leichte Beute, und da muss man noch nicht einmal an Brut-Force-Attacken denken. Die reine Bequemlichkeit vieler Menschen sorgt dafür, dass Passwörter sehr einfach zu erraten sind. Hardware-Token sind umständlich, und obwohl sie sicherer sind als ein Passwort, werden sie gestohlen oder gehen schlichtweg verloren. Und Inhärenzfaktoren? Nun, diese lassen sich deutlich schwerer stehlen und sind in Kombination mit Hardware-Tokens zudem weniger anfällig für Kompromittierungsversuche.
