{"id":21386,"date":"2022-07-07T11:40:00","date_gmt":"2022-07-07T09:40:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21386"},"modified":"2022-06-22T09:51:29","modified_gmt":"2022-06-22T07:51:29","slug":"multi-faktor-authentifizierung-diese-5-funktionen-sollte-sie-erfuellen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21386","title":{"rendered":"Multi-Faktor-Authentifizierung: Diese 5 Funktionen sollte sie erf\u00fcllen"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.beyondidentity.com\/\">Patrick McBride, Chief Marketing Officer bei Beyond Identity<\/a>\/gg<\/p>\n\n\n\n<p>Die Multi-Faktor-Authentifizierung (MFA) gilt gemeinhin als sichere Authentifizierungsma\u00dfnahme, doch auch sie ist f\u00fcr Cyberkriminelle nicht un\u00fcberwindbar, vor allem, wenn sie weiterhin auf Passw\u00f6rtern basiert. Zwar gehen viele MFA-L\u00f6sungen \u00fcber traditionelle Passw\u00f6rter hinaus, doch auch MFA-Faktoren wie SMS, Links und Push-Benachrichtigungen sind grunds\u00e4tzlich phishbar.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002.jpg\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002-1024x576.jpg\" alt=\"\" class=\"wp-image-21387\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002-1024x576.jpg 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002-300x169.jpg 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002-768x432.jpg 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/Patrick-McBride-002.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Bild: Beyond Identity<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Auf der Grundlage dieser Risiken ist es an der Zeit, MFA sowohl f\u00fcr Benutzer als auch f\u00fcr sensible Daten und Systeme nachhaltig sicherer zu machen. Daf\u00fcr sollte eine Multi-Faktor-Authentifizierung folgende f\u00fcnf Funktionen erf\u00fcllen:<\/p>\n\n\n\n<p><strong>1. MFA sollte nur \u201eunphishbare\u201c Authentifizierungsfaktoren nutzen<\/strong><strong><\/strong><\/p>\n\n\n\n<p>MFA-L\u00f6sungen, die mit Passw\u00f6rtern, Einmal-Passw\u00f6rtern (OTPs), Push-Benachrichtigungen und SMS-Nachrichten arbeiten, bieten zwar mehr Sicherheit als ein einzelnes Passwort, doch Hacker k\u00f6nnen diese Authentifizierungsmethoden mit kostenlosen Kits f\u00fcr Man-in-the-Middle-Angriffe leicht abfangen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>So sind Push-Benachrichtigungen ein Sicherheitsrisiko, wenn der Passcode in der Benachrichtigung enthalten ist. Werden solche Benachrichtigungen verwendet, sollte dies nur in Verbindung mit einem nicht f\u00e4lschbarem Faktor geschehen, etwa einer Best\u00e4tigung mit biometrischen Daten und so weiter.<\/li><li>Auch SMS-Textnachrichten sind eine beliebte Methode zur \u00dcbermittlung von Passw\u00f6rtern an Benutzer, aber Angreifer k\u00f6nnen diese Codes abfangen, etwa mit Methoden wie SIM-Swapping.<\/li><li>Magische Links sind hingegen weniger sicher, da der Link dem Nutzer per E-Mail zugeschickt wird. Jeder, der diesen magischen Link hat, kann sich anmelden \u2013 so auch unautorisierte Nutzer.<\/li><li>Einmalkennw\u00f6rter (OTPs) bieten nicht nur ein schlechtes Benutzererlebnis, sondern sind auch m\u00fchsam in der Anwendung. Daher entscheiden sich viele Nutzer daf\u00fcr, diese Codes per SMS oder E-Mail zu erhalten, anstatt einen Hardware-Token zu verwenden und gehen damit Risiken der Kompromittierung ein.<\/li><\/ul>\n\n\n\n<p>Zu den sicheren Authentifizierungsfaktoren, die nicht gef\u00e4lscht, kopiert oder ver\u00e4ndert werden k\u00f6nnen, z\u00e4hlen hingegen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Kryptografische Schl\u00fcssel: Diese werden generiert und an das Ger\u00e4t und den Benutzer gebunden. So kann die IT-Sicherheit jederzeit genau feststellen, wer und was auf Netzwerkressourcen zugreift.<\/li><li>Lokale Biometrie: Dieser Faktor ist bestens f\u00fcr eine eindeutige Identifizierung der Benutzeridentit\u00e4t geeignet und eine Umgehung so gut wie unm\u00f6glich. Moderne MFA-L\u00f6sungen nutzen ger\u00e4teeigene Merkmale wie Gesichtserkennung oder Fingerabdr\u00fccke, um die Identit\u00e4t des Nutzers sicher zu stellen.<\/li><li>Sicherheitspr\u00fcfungen auf Ger\u00e4teebene: Hier wird das Ger\u00e4t auf potenzielle Schwachstellen und Probleme gepr\u00fcft, und der Zugriff dementsprechend entweder gew\u00e4hrt, eingeschr\u00e4nkt oder gesperrt. Gepr\u00fcft wird beispielsweise, ob alle Sicherheitsupdates installiert sind oder ob das Ger\u00e4t in irgendeiner Weise ver\u00e4ndert wurde<strong>.<\/strong><\/li><\/ul>\n\n\n\n<p><strong>2. MFA sollte passwortlos sein<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Ein Passwort sagt letztlich nichts \u00fcber den Benutzer aus, der auf ein Netzwerk zugreift, au\u00dfer dass er \u00fcber die richtigen Anmeldedaten verf\u00fcgt. Wird das Passwort aber durch eine Art von Berechtigungsnachweis ersetzt, der an den Benutzer und das Ger\u00e4t gebunden ist, l\u00e4sst sich dieser Unsicherheitsfaktor beseitigen und die Sicherheit drastisch erh\u00f6hen.<\/p>\n\n\n\n<p>Der Nutzen f\u00fcr Unternehmen ist immens, denn jetzt wissen sie, wer mit welchem Ger\u00e4t auf ihr Netzwerk zugreift. In Zeiten der vermehrten Remote-Arbeit ist dies umso wichtiger. Passwortbasierte MFA versucht hingegen in der Regel nur zu beantworten, wer auf ein Netzwerk zugreift, und geht davon aus, dass diese Identit\u00e4t best\u00e4tigt ist. Dieser Ansatz wird der heutigen Bedrohungslandschaft allerdings nicht mehr gerecht.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>3. MFA sollte eine kontinuierliche Risikobewertung erm\u00f6glichen<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Die passwortlose MFA eliminiert zwar das Risiko passwortbasierter Angriffe, kann Insider-Bedrohungen jedoch nicht g\u00e4nzlich verhindern. Unternehmen wie Microsoft, Cisco und Tesla mussten dies schmerzlich erfahren. Aus diesem Grund sollte eine moderne MFA sowohl bei der Anmeldung als auch w\u00e4hrend der gesamten Sitzung eine Risikobewertung durchf\u00fchren. Diese sollte folgende Punkte im Auge behalten: Welches Ger\u00e4t meldet sich an? Ist es mit einem autorisierten Benutzer verbunden? Sind auf dem Ger\u00e4t alle erforderlichen Sicherheitsupdates installiert? Ist das Ger\u00e4t gerootet oder jailbroken? Wo auf der Welt befindet sich das Ger\u00e4t? Hat sich w\u00e4hrend der Sitzung etwas ge\u00e4ndert?<\/p>\n\n\n\n<p>Um die Sicherheit der Unternehmensressourcen in der Cloud zu gew\u00e4hrleisten, sollten die Security-Verantwortlichen die Antworten auf diese Fragen kennen. Moderne MFA-Plattformen bieten eine kontinuierliche Risikobewertung und begrenzen das Risiko von Insider-Bedrohungen und passwortbasierten Angriffen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA.png\"><img loading=\"lazy\" decoding=\"async\" width=\"900\" height=\"471\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA.png\" alt=\"\" class=\"wp-image-21388\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA.png 900w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA-300x157.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA-768x402.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/06\/MFA-390x205.png 390w\" sizes=\"auto, (max-width: 900px) 100vw, 900px\" \/><\/a><figcaption>Bild: Beyond Identity<\/figcaption><\/figure>\n\n\n\n<p><strong>4. MFA sollte im Hintergrund agieren<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Je h\u00f6her der Aufwand f\u00fcr eine sichere Authentifizierung ist und je benutzerunfreundlicher der Vorgang, desto gr\u00f6\u00dfer ist die Gefahr, dass die genervten Nutzer die sicheren L\u00f6sungen zu umgehen versuchen. Vor allem MFAs, die die mit Passw\u00f6rtern, OTP, Push-Benachrichtigungen und SMS arbeiten, sind hierf\u00fcr pr\u00e4destiniert.<\/p>\n\n\n\n<p>Moderne passwortlose MFA-L\u00f6sungen arbeiten hingegen fast die ganze Zeit im Hintergrund und werden nur dann sichtbar, wenn es notwendig ist, das hei\u00dft wenn sichergestellt werden muss, dass der Benutzer derjenige ist, der er vorgibt zu sein, und andere Sicherheitspr\u00fcfungen fehlschlagen. Je anwenderfreundlicher MFA ist, desto h\u00f6her ist auch die Akzeptanz bei den Mitarbeitenden.<\/p>\n\n\n\n<p><strong>5. MFA sollte die Umsetzung einer Zero-Trust-Strategie unterst\u00fctzen<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Die Einf\u00fchrung einer modernen MFA-Plattform ist ein wichtiger Bestandteil bei der Entwicklung einer umfassenden Zero-Trust-Strategie. Diese spielt f\u00fcr die Cybersecurity von Unternehmen eine immer wichtigere Rolle, da ihre Grundlage \u201eVertraue nie, pr\u00fcfe stets\u201c die Sicherheit nachhaltig erh\u00f6ht.<\/p>\n\n\n\n<p>Im Kern besteht Zero Trust aus drei S\u00e4ulen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Die Beseitigung des Konzepts des impliziten Vertrauens in ein Netzwerk.<\/li><li>Der Einsatz von wichtigen pr\u00e4ventiven Sicherheitsma\u00dfnahmen.<\/li><li>Die Umsetzung von reaktionsschnellen Echtzeit-\u00dcberwachungstechniken, um auf Verst\u00f6\u00dfe zeitnah zu reagieren.<\/li><\/ul>\n\n\n\n<p>Moderne MFA behandelt jede Verbindung als potenzielle Bedrohung und bewertet kontinuierlich Benutzer- und Ger\u00e4terisiken, weshalb die Umsetzung einer passwortlosen MFA-L\u00f6sung ein wichtiger Schritt auf dem Weg zu Zero Trust ist. W\u00e4hrend sich Nutzer bei den meisten passwortbasierten MFAs nur einmal authentifizieren, verifizieren sie sich bei modernen, passwortlosen MFAs kontinuierlich. Au\u00dferdem passt moderne MFA den Zugriff oft auf der Grundlage von Risikostufen und Signalen an. Dar\u00fcber hinaus ist diese MFA-L\u00f6sung die Einzige, die eine Sicherheit der Identit\u00e4t bietet. Passwortbasierte L\u00f6sungen k\u00f6nnen das hingegen nicht, da immer noch ein gewisses Risiko besteht, dass das Passwort oder ein anderer phishbarer Faktor an einen unberechtigten Benutzer gelangt ist.<\/p>\n\n\n\n<p>Wie bereits erw\u00e4hnt, ist bei passwortbasierter MFA die Gefahr gro\u00df, dass Benutzer nach L\u00f6sungen suchen, Sicherheitsbarrieren zu umgehen. Die Implementierung von Zero-Trust-Ma\u00dfnahmen bringt jedoch nichts, wenn die Nutzer sie nicht annehmen. Passwortlose MFA beseitigt diese Reibung und beschleunigt so den f\u00fcr die Sicherheit so wichtigen Akzeptanzprozess.<\/p>\n\n\n\n<p><strong>Fazit<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Die Zukunft der Multi-Faktor-Authentifizierung liegt in einer m\u00fchelosen und dennoch sicheren Authentifizierung, mit denen Unternehmen ein Schutzniveau aufbauen k\u00f6nnen, das dem der passwortbasierten MFA weit \u00fcberlegen ist. Hierzu sollten Benutzer bei der Registrierung einen unver\u00e4nderlichen kryptografischen Berechtigungsnachweis erhalten, der an das Ger\u00e4t und den Benutzer gebunden ist. Das Risiko passwortbasierter Angriffe wird so eliminiert, und das Risiko und der Umfang von Insider-Angriffen drastisch reduziert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Multi-Faktor-Authentifizierung (MFA) gilt gemeinhin als sichere Authentifizierungsma\u00dfnahme, doch auch sie ist f\u00fcr Cyberkriminelle nicht un\u00fcberwindbar, vor allem, wenn sie weiterhin auf Passw\u00f6rtern basiert. Zwar gehen viele MFA-L\u00f6sungen \u00fcber traditionelle Passw\u00f6rter hinaus, doch auch MFA-Faktoren wie SMS, Links und Push-Benachrichtigungen sind grunds\u00e4tzlich phishbar.<\/p>\n","protected":false},"author":3,"featured_media":21387,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[15235,8878,4711,1035,3392,4256,4873],"class_list":["post-21386","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-beyond-identity","tag-link","tag-mfa","tag-otp","tag-phishing","tag-sms","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21386"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21386\/revisions"}],"predecessor-version":[{"id":21389,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21386\/revisions\/21389"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21387"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}