{"id":19417,"date":"2021-08-11T11:25:00","date_gmt":"2021-08-11T09:25:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19417"},"modified":"2021-08-09T10:37:00","modified_gmt":"2021-08-09T08:37:00","slug":"wie-hacker-authentifizierungskonzepte-umschiffen-und-wie-man-sie-aufhalten-kann","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19417","title":{"rendered":"Wie Hacker Authentifizierungskonzepte umschiffen \u2013 und wie man sie aufhalten kann"},"content":{"rendered":"\n

Autor\/Redakteur: Alexandre Cagnoni, Director of Authentication bei WatchGuard Technologies<\/a>\/gg<\/p>\n\n\n\n

F\u00fcr viele IT-Security-Profis z\u00e4hlt die Multifaktor-Authentifizierung (MFA) zu den wichtigsten Sicherheitsma\u00dfnahmen \u00fcberhaupt \u2013 f\u00fcr einige ist sie sogar die essenziellste. Das Grundkonzept erschlie\u00dft sich schon aus dem Namen: Es geht darum, im Rahmen der Authentifizierung verschiedene Elemente zu kombinieren, die beispielsweise auf Wissen (Kennwort), Besitz (Hardware) oder auch Biometrie basieren. Wenn ein Hacker in den Besitz eines Anwenderpassworts gelangt (was heutzutage meist eine der leichtesten \u00dcbungen<\/a> ist), kann durch Einbindung weiterer Faktoren sichergestellt werden, dass zwischen ihm und seinem Ziel \u2013 zum Beispiel wichtigen Unternehmensdaten \u2013 zus\u00e4tzliche H\u00fcrden liegen, die es ebenfalls erst noch zu \u00fcberwinden gilt.<\/p>\n\n\n\n

\"\"<\/a>
Bild: WatchGuard<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Obwohl eine starke Authentifizierung mittlerweile als Eckpfeiler guter Sicherheitskonzepte gilt, ist es wichtig zu beachten, dass es in der Branche kein Patentrezept gibt. In der Vergangenheit haben Cyberkriminelle immer wieder Wege gefunden, entsprechende MFA-Schutzma\u00dfnahmen zu umgehen. So berichtete beispielsweise die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA)<\/a> Anfang 2021 \u00fcber mehrere erfolgreiche Cyberangriffe, bei denen MFA-Systeme geschickt umschifft wurden, um die Cloud-L\u00f6sungen mehrerer Unternehmen zu kompromittieren.<\/p>\n\n\n\n

Wie genau schaffen es Hacker, bestehende MFA-Ans\u00e4tze auszutricksen? Und was k\u00f6nnen Unternehmen tun, um solchen Versuchen Einhalt zu gebieten? In dem Zusammenhang sollen zun\u00e4chst die verschiedenen Methoden zur Authentifizierung n\u00e4her beleuchtet werden \u2013 inklusive der jeweils potenziellen Schwachstellen, die Angreifer f\u00fcr sich zu nutzen wissen.<\/p>\n\n\n\n

SMS<\/strong><\/p>\n\n\n\n

Da die meisten Smartphone-Nutzer ihr Ger\u00e4t immer bei sich oder in der N\u00e4he haben, ist die Authentifizierung via SMS eine der am h\u00e4ufigsten verwendeten MFA-Technologien. Obwohl sie bequem ist, geh\u00f6rt sie zu den unsichersten Optionen. Nationale Beh\u00f6rden wie das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) oder auch das US-amerikanische National Institute of Standards and Technology (NIST) warnen bereits seit Jahren vor der Verwendung von SMS als Authentifizierungsfaktor. Schlie\u00dflich gibt es mittlerweile zahlreiche Beispiele f\u00fcr die Kompromittierung von Endpunkten und Social-Engineering-Angriffe, die zeigen, wie leicht b\u00f6swillige Akteure Textnachrichten abfangen, phishen und f\u00e4lschen k\u00f6nnen.

\u201eSIM-Swapping\u201c ist hierbei ein beliebter Trick, den Angreifer verwenden, um SMS-basierte MFA zu umgehen. Bei der SIM-Swap-Betrugsmasche<\/a> gibt sich ein Hacker als die Zielperson aus, um einen Mitarbeiter auf Seiten des zust\u00e4ndigen Mobilfunkanbieters dazu zu bringen, die mit der SIM-Karte verbundene Telefonnummer auf ein neues (b\u00f6sartiges) Ger\u00e4t zu portieren. Nach der Migration kann der Hacker alle per Textnachricht gesendeten Zwei-Faktor-Authentifizierungscodes abfangen. Authenticator Apps, wie sie beispielsweise Google oder Microsoft bieten, k\u00f6nnen helfen, SMS-Hijacking und SIM-Swapping zu verhindern.<\/p>\n\n\n\n

Einmalpassw\u00f6rter (OTP \u2013 One Time Passwords)<\/strong><\/p>\n\n\n\n

OTP sind ein weiteres weit verbreitetes Instrument zur Authentifizierung, das mithilfe von Social Engineering jedoch ebenfalls viel Angriffsfl\u00e4che bietet. Diebe pers\u00f6nlicher Anmeldedaten schrecken nicht davor zur\u00fcck, ihre potenziellen Opfer anzurufen und davon zu \u00fcberzeugen, ihnen das auf dem Token angezeigte Passwort mitzuteilen. Zudem wird Phishing dazu genutzt, Anwender auf eine gef\u00e4lschte Anmeldewebseite zu locken, damit sie ihre Zugriffsdaten \u2013 einschlie\u00dflich OTP \u2013 f\u00fcr das jeweilige Konto eingeben.

Der Einsatz von Anti-Phishing-Tools und Benutzerschulungen geh\u00f6ren zu den besten Ma\u00dfnahmen, um solche MFA-Umgehungstaktiken zu verhindern. Zus\u00e4tzlichen Schutz bietet dar\u00fcber hinaus die Verwendung zeitbasierter OTP. Denn dies schiebt dem Missbrauch einmal generierter, ereignisbasierter OTP \u2013 die sich jederzeit verwenden lassen, solange die Reihenfolge eingehalten wird \u2013 einen weiteren Riegel vor.<\/p>\n\n\n\n

USB-Token<\/strong><\/p>\n\n\n\n

USB\/FIDO2-Token erfreuen sich im Zuge passwortloser Initiativen zunehmender Beliebtheit. Einige kritisieren USB-Token als teuer sowie m\u00fchsam in der Bereitstellung und Verwaltung. Ebenso wird bem\u00e4ngelt, dass diese als weiterer Ballast stets mit sich herumgetragen werden m\u00fcssen. Trotzdem markieren sie einen Fortschritt in Sachen Nutzerfreundlichkeit, da sie Passw\u00f6rter ersetzen. Genau hier liegt jedoch die Crux: Von Multifaktor-Authentifizierung kann keine Rede sein. Da diese einfach nur anstelle von Passw\u00f6rtern genutzt werden, bleibt es bei einem Faktor zur Authentifizierung \u2013 was das Risiko nur bedingt schm\u00e4lert. Jeder, der den Token besitzt, kann sich Zugang zum zugeordneten Computer beziehungsweise der Anwendung verschaffen. Insofern sollte der Einsatz von USB-Token von zus\u00e4tzlichen Vorkehrungen begleitet werden \u2013 beispielsweise der Abfrage einer PIN oder dem Einbeziehen biometrischer Merkmale.<\/p>\n\n\n\n

Mobile Push-Benachrichtigung<\/strong><\/p>\n\n\n\n

Bei \u201eMobile Push\u201c handelt es sich um eine Weiterentwicklung der SMS-Authentifizierung, die nicht von Carrier-Daten abh\u00e4ngig ist und auch per WLAN funktioniert. Im Vergleich mit den vorangegangenen Varianten markiert diese Option wohl immer noch den verl\u00e4sslichsten Weg, da eine direkte Verbindung vorliegt. Auch im Hinblick auf die Anwenderfreundlichkeit gibt es Vorteile, da der Benutzer den Zugriff einfach genehmigen oder verweigern kann, wenn er dazu aufgefordert wird. Trotzdem besteht weiterhin das Risiko, dass ein Angreifer Social-Engineering-Taktiken einsetzt, um Benutzer davon zu \u00fcberzeugen, einen unaufgeforderten Push zu autorisieren. Wer dies verhindern m\u00f6chte, sollten sicherstellen, dass die eingesetzte \u201eMobile Push\u201c-L\u00f6sung in der Lage ist, sowohl den Ursprungsort der Anfrage anzuzeigen als auch Auskunft dar\u00fcber zu geben, f\u00fcr welches Ger\u00e4t oder welche Anwendung die Zugriffsgenehmigung angefragt wird. Dies hilft dem Benutzer bei der Verifizierung der von ihm selbst initiierten Anfragen. B\u00f6swillige Versuche, sich unbefugten Zugriff zu verschaffen, k\u00f6nnen leichter erkannt und blockiert werden.<\/p>\n\n\n\n\n\n\n\n

Korrekte Implementierung als A und O<\/strong><\/p>\n\n\n\n

Ganz unabh\u00e4ngig davon, welche Authentifizierungstechnologie zum Einsatz kommt: Implementierungsfehler und Fehlkonfigurationen ebnen Missbrauchsversuchen den Weg. Daher macht es durchaus Sinn, das Augenmerk auch auf komplexere Szenarien zu lenken:<\/p>\n\n\n\n

Der sogenannte „Pass-the-Cookie“-Angriff, der im oben erw\u00e4hnten CISA-Bericht<\/a> beschrieben wird, ist hierf\u00fcr ein gutes Beispiel. Zum spezifischen Ablauf ist Folgendes festzuhalten: Sobald sich ein Benutzer authentifiziert hat, erstellt sein Browser ein Cookie, um die Notwendigkeit einer st\u00e4ndigen Neuauthentifizierung zu vermeiden. Das Cookie bleibt normalerweise nur f\u00fcr diese Sitzung oder einen sehr kurzen Zeitraum g\u00fcltig. Je nach Implementierung k\u00f6nnte ein Angreifer ein solches Cookie stehlen, und ist damit in der Lage, auf die jeweilige Web-Anwendung zuzugreifen \u2013 ohne sich erneut authentifizieren zu m\u00fcssen.<\/p>\n\n\n\n

Noch fataler ist, dass einige Desktop-Anwendungen nach der ersten Authentifizierung ein langlebiges \u201eToken\u201c erstellen (nicht zu verwechseln mit dem Authentifizierungs-Token), mit dem Benutzer zum Teil monatelang auf die Anwendung zugreifen k\u00f6nnen, bevor sie sich erneut authentifizieren m\u00fcssen. Um das Risiko eines solchen \u201ePass-the-Cookie\u201c-Angriffs zu vermeiden, gilt es daher unbedingt, die Lebensdauer entsprechender Cookies oder Token zu begrenzen. Nat\u00fcrlich sollte dies aber auch nicht dazu f\u00fchren, dass Benutzer gezwungen sind, sich mehrmals am Tag neu zu authentifizieren.<\/p>\n\n\n\n

Ein weiteres Beispiel f\u00fcr eine komplexe MFA-Umgehungstaktik ist der \u201eGolden SAML\u201c-Angriff, der im Zuge des SolarWinds-Hacks traurige Ber\u00fchmtheit erlangte. Durch SAML (Security Assertion Markup Language) wird es m\u00f6glich, dass Mitarbeiter Single-Sign-On (SSO) f\u00fcr mehrere Anwendungen zu nutzen. Hierzu wird eine Vertrauensbeziehung zwischen ihnen und dem Identity Provider hergestellt. Dies kann durchaus praktisch und sinnvoll sein, insbesondere wenn die Multifaktor-Authentifizierung innerhalb des zentralen Zugangssystems f\u00fcr Service-Provider-Dienste zum Tragen kommt. Schluss mit lustig ist jedoch, wenn ein Angreifer Administratorzugriff auf den Identity-Provider-Server erh\u00e4lt. Sobald er in den Besitz der privaten Schl\u00fcssel gelangt, kann er die SAML-Antwort signieren und den Identity Provider dazu zu zwingen, die Authentifizierung zuzulassen \u2013 selbst wenn die Anmeldeinformationen falsch sind. Unternehmen, die mit SAML arbeiten, sollten also sicherstellen, dass die Server zur Schl\u00fcsselverwaltung bestm\u00f6glich gesch\u00fctzt sind.<\/p>\n\n\n\n

F\u00fcr zeitgem\u00e4\u00dfe Sicherheitsstrategien ist MFA entscheidend<\/strong><\/p>\n\n\n\n

Gerade im Zuge der Pandemie sind Zero-Trust-Konzepte und die Absicherung von Remote-Arbeitspl\u00e4tzen auf der Priorit\u00e4tenliste vieler Unternehmen weit nach oben ger\u00fcckt. Es kommt mehr denn je darauf an, dass sich Personen, die auf wertvolle Unternehmensdaten und -ressourcen zugreifen, zun\u00e4chst verl\u00e4sslich authentifizieren. Einem aktuellen Bericht von Gartner<\/a> zufolge ist das Risiko, Opfer eines unberechtigten Kontenzugriffs zu werden, f\u00fcr Organisationen ohne MFA-Schutz bis zu f\u00fcnfmal h\u00f6her.<\/p>\n\n\n\n

Vorbei sind also die Zeiten, in denen Unternehmen es sich leisten konnten, MFA eher als K\u00fcr denn als Pflicht zu betrachten. In dem Zusammenhang d\u00fcrfen allerdings auch die Schw\u00e4chen bestehender MFA-Technologien nicht aus den Augen verloren werden. Unternehmen, die gerade \u00fcber die Einf\u00fchrung einer MFA-L\u00f6sung nachdenken, sollten verf\u00fcgbare Optionen sorgf\u00e4ltig gegen\u00fcber ihrem individuellen Einsatz- und Risikoprofil abw\u00e4gen. Zudem gilt es zu beachten, dass das gew\u00e4hlte Werkzeug nur dann seine volle Wirkung entfalten kann, wenn es zum Einsatzzweck passt und richtig verwendet wird. Die korrekte Implementierung ist von entscheidender Bedeutung. Dar\u00fcber hinaus sollte MFA im Rahmen eines mehrschichtigen Sicherheitskonzepts verankert werden. Zus\u00e4tzliche Schutzma\u00dfnahmen sowie die Schulung und das Training der Anwender gelten in dem Zusammenhang als wichtige Faktoren im Sinne nachhaltiger IT-Security-Strategien.<\/p>\n","protected":false},"excerpt":{"rendered":"

F\u00fcr viele IT-Security-Profis z\u00e4hlt die Multifaktor-Authentifizierung (MFA) zu den wichtigsten Sicherheitsma\u00dfnahmen \u00fcberhaupt \u2013 f\u00fcr einige ist sie sogar die essenziellste. Das Grundkonzept erschlie\u00dft sich schon aus dem Namen: Es geht darum, im Rahmen der Authentifizierung verschiedene Elemente zu kombinieren, die beispielsweise auf Wissen (Kennwort), Besitz (Hardware) oder auch Biometrie basieren. Wenn ein Hacker in den Besitz eines Anwenderpassworts gelangt (was heutzutage meist eine der leichtesten \u00dcbungen ist), kann durch Einbindung weiterer Faktoren sichergestellt werden, dass zwischen ihm und seinem Ziel \u2013 zum Beispiel wichtigen Unternehmensdaten \u2013 zus\u00e4tzliche H\u00fcrden liegen, die es ebenfalls erst noch zu \u00fcberwinden gilt.<\/p>\n","protected":false},"author":1,"featured_media":19419,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[4711,15095,1035,4256,2958,164,12139],"class_list":["post-19417","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-mfa","tag-mobile-push","tag-otp","tag-sms","tag-token","tag-usb","tag-watchguard"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19417","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19417"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19417\/revisions"}],"predecessor-version":[{"id":19420,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19417\/revisions\/19420"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19419"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19417"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19417"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19417"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}