Warum Zweifaktorauthentifizierung unerlässlich ist
Auch die gezielte, soziale Manipulation der Opfer, das “Social Engineering”, hat sich zu einer wachsenden Bedrohung für die Passwortsicherheit entwickelt. Hierbei nutzen die Angreifer den “Faktor Mensch” als Schwachstelle aus. Sie erkunden zum Beispiel das soziale Umfeld der Zielpersonen und machen sich bestimmte, erkennbare Verhaltensmuster zunutze, um schließlich an geheime Daten und Nutzerinformationen zu gelangen. Kenntnisse über Neigungen oder soziale Verbindungen der Anwender machen es den Betrügern leicht, das Vertrauen eines autorisierten Nutzers zu gewinnen und diesen dazu zu verleiten, den Zugriff aufs Unternehmensnetzwerk zu gewähren und Zugangsdaten preis zu geben.
Ob über Botnets, Schwachstellen in gängigen Computerprogrammen oder Social Hacking-Attacken – Passwörter sind nach wie vor ein überaus beliebtes Ziel von Cyberkriminellen und bieten alleine keinen ausreichenden Schutz.
Enormer Sicherheitsgewinn: Aus Eins mach Zwei
Nicht ohne Grund empfiehlt daher unter anderem das BSI in seinen Grundschutzkatalogen stärkere Maßnahmen, wenn es um die Feststellung von Nutzeridentitäten geht: die so genannte Zweifaktor-Authentifizierung, kurz “2FA”. Über dieses Verfahren weisen Internetnutzer ihre Zugangsberechtigung nicht mehr nur über ein Passwort, sondern über wenigstens zwei unterschiedliche, voneinander unabhängige Merkmale nach. Das kann etwas sein, das der Anwender weiß (Kennwort), etwas, das er besitzt (Bankkarte, Einmal-Passwort oder Hardware-Key/Dongle), oder etwas, was er “ist”, also ein biometrisches Merkmal, das ihn eindeutig identifiziert – etwa das Muster seiner Iris, seine Stimme oder sein persönlicher Fingerabdruck. Allerdings warnten nun internationale Experten anlässlich der im August 2015 in Las Vegas abgehaltenen “Black Hat IT-Sicherheitskonferenz” vor allzu großem Vertrauen in Fingerabdruckscanner: Ein Hacker demonstrierte live, wie leicht sich zum Beispiel die Fingerabdrücke der Anwender von Android-Geräten auslesen beziehungsweise kopieren lassen. Diese Bedrohung, so die Forscher Yulong Shang und Tao Wei von der IT-Sicherheitsfirma Fireye, sei viel gefährlicher, als etwa der Diebstahl von Passwörtern. Ein gestohlenes Passwort könne man schließlich zurücksetzen und ändern. Fingerabdrücke aber sind ein unveränderliches Merkmal, das man sein Leben lang bei sich trägt – und das ein Leben lang von Cyberkriminellen missbraucht werden kann.
Doch welche Attribute der jeweiligen Authentifizierungslösung auch zugrunde liegen – der Benutzer muss mindestens Erkennungszeichen aus zwei verschiedenen Gruppen nachweisen, nur dann ist die 2FA erfolgreich. Wird eines der geforderten Kennzeichen nicht nachgewiesen oder wird eine Komponente falsch genutzt, wird der gewünschte Zugriff nicht erlaubt.
Die Vorteile liegen auf der Hand: Ist es Hackern einmal gelungen, Passwörter zu knacken und abzuziehen, bleibt Ihnen der Zugriff auf die Systeme ihrer Opfer dennoch verwehrt – das zweite Merkmal fehlt. Dass die Stärken von 2FA bis heute dennoch in nur wenigen Unternehmen effizient genutzt werden, liegt offenbar an der Furcht vor zu hoher Komplexität. Gerade bei anspruchsvolleren Maßnahmen wie der Zwei- beziehungsweise Multifaktor-Authentifizierung haben besonders mittelständische Organisationen, so die Experten von Techconsult, ihre Schwierigkeiten. Zwischen 60 und 69 Prozent der von den Marktforschern befragten Unternehmen betrachtet die Umsetzung einer solchen Strategie als problematisch – was im Vergleich zum Vorjahr einem Anstieg um acht bis 15 Prozent entspricht.
“Dass anspruchsvollere Sicherheitsmaßnahmen auch häufiger Probleme bereiten, ist zu erwarten”, so der Techconsult-Analyst Henrik Groß. “Trotzdem lohnt sich die Umsetzung von Konzepten wie der Multi-Faktor-Authentifizierung ganz besonders, weil der Sicherheitsgewinn gegenüber einer einfachen Sicherheitsmaßnahme wie der reinen Passwort-Authentifizierung enorm ist.”
