{"id":24445,"date":"2023-06-19T11:20:00","date_gmt":"2023-06-19T09:20:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=24445"},"modified":"2023-06-12T09:40:50","modified_gmt":"2023-06-12T07:40:50","slug":"mit-multifaktor-authentifizierung-wirklich-auf-der-sicheren-seite","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=24445","title":{"rendered":"Mit Multifaktor-Authentifizierung wirklich auf der sicheren Seite?"},"content":{"rendered":"\n

Autor\/Redakteur: Al Lakhani, CEO der IDEE GmbH<\/a>\/gg<\/p>\n\n\n\n

Phishing-Angriffe z\u00e4hlen zu den beliebtesten Methoden von Cyberkriminellen und richten alleine in Deutschland jedes Jahr Sch\u00e4den in Milliardenh\u00f6he an. Multi-Faktor-Authentifizierung soll dem Schrecken ein Ende machen, doch wer glaubt, dass man damit stets auf der sicheren Seite ist, der irrt. Nicht jede MFA-L\u00f6sung sch\u00fctzt zuverl\u00e4ssig und es gibt mitunter signifikante Unterschiede. Bei der Wahl der richtigen L\u00f6sung gilt es einige Dinge zu bedenken.<\/p>\n\n\n\n

\"\"<\/a>
Bild: IDEE GmbH<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

\u201eIhr Account wurde gesperrt. Bitte loggen Sie sich hier ein, um den Account zu entsperren. \u2013 Ihr IT-Team.\u201d So oder so \u00e4hnlich klang bestimmt schon mal eine E-Mail in Ihrem Postfach. Die klassische Spam-Mail wird als solche identifiziert und landet im digitalen Papierkorb. Doch die Cyberkriminellen \u2013 zumindest diejenigen, die etwas auf sich halten \u2013 werden immer geschickter darin, ahnungslose Nutzer:innen dazu zu bewegen, den Link doch anzuklicken oder ihre Zugangsdaten anderweitig unwissentlich preiszugeben. Vor allem im B2B-Umfeld ist der Anstieg der Angriffszahlen signifikant und Social Engineering machte dem Bitkom zufolge 2022 fast jedem zweiten Unternehmen (48 Prozent) zu schaffen.<\/p>\n\n\n\n

Ein aktuelles Beispiel aus Deutschland betrifft den Hosting-Provider Ionos und zeigt die zunehmende Professionalit\u00e4t. Potenziellen Opfern wird in einer seri\u00f6s aussehenden E-Mail suggeriert, dass sie ihre Verbindungseinstellungen des Mailclients umstellen m\u00fcssen, damit weiterhin ein Zugriff auf das Postfach erm\u00f6glicht werden kann. Nachdem der Anbieter selbst zu diesem Zeitpunkt tats\u00e4chlich gerade dabei war, den unverschl\u00fcsselten Mailverkehr abzuschalten und entsprechend veraltete Protokolle zu ersetzen, fand sich ein vermeintlicher Beweis f\u00fcr die Legitimit\u00e4t der Nachricht im Internet. Wer nun aber die html.-Datei aus dem Anhang \u00f6ffnete, wurde damit gephisht und die Zugangsdaten waren kompromittiert.<\/p>\n\n\n\n

Damit ein solcher Vorfall nicht sofort dazu f\u00fchrt, dass mit den gestohlenen Credentials Zugriff auf sensible Unternehmensbereiche erhalten wird, setzen einige Unternehmen heute bereits auf Multifaktor-Authentifizierung. Gro\u00dfe Software-Anbieter wie Salesforce oder Microsoft haben die Lage ebenfalls erkannt, und verpflichten ihre Nutzer:innen zum Einsatz von MFA im Umfeld ihrer L\u00f6sungen. Die zus\u00e4tzlichen Sicherheitsstufen beziehungsweise Sicherheitsfaktoren bremsen Angreifer zwar oft aus, halten ambitionierte Cyberkriminelle jedoch nicht auf \u2013 gerade solche nicht, die auf Credential-Phishing-Methoden setzen.<\/p>\n\n\n\n

Sicherheitsfaktoren im Hacker-Check<\/strong><\/p>\n\n\n\n

Denn es kommt ma\u00dfgeblich darauf an, welche Faktoren zur Verifikation von Nutzer:innen genutzt werden. Allgemein unterscheidet man zwischen Wissensfaktoren (Passw\u00f6rter oder auch Sicherheitsfragen), Besitzfaktoren (etwa ein Hardware-Token, der bei der Abfrage lokalisiert wird) und Inh\u00e4renzfaktoren (zum Beispiel ein Fingerabdruck oder die Iris einer Person). Diese drei Faktoren bieten in keinster Weise gleichwertigen Schutz. Gerade der Wissensfaktor ist oft leichte Beute, und da muss man noch nicht einmal an Brut-Force-Attacken denken. Die reine Bequemlichkeit vieler Menschen sorgt daf\u00fcr, dass Passw\u00f6rter sehr einfach zu erraten sind. Hardware-Token sind umst\u00e4ndlich, und obwohl sie sicherer sind als ein Passwort, werden sie\u00a0 gestohlen oder gehen schlichtweg verloren. Und Inh\u00e4renzfaktoren? Nun, diese lassen sich deutlich schwerer stehlen und sind in Kombination mit Hardware-Tokens zudem weniger anf\u00e4llig f\u00fcr Kompromittierungsversuche.<\/p>\n\n\n\n\n\n\n\n

Das oben bereits erw\u00e4hnte Social Engineering wird nicht nur genutzt, um Passw\u00f6rter direkt abzugreifen, etwa durch Phishing oder die SMS-Variante \u201cSmishing\u201d, sondern es kommt auch im Multi-Faktor-Authentifizierungsprozess selbst zum Einsatz. Hier machen sich die Angreifer unter anderem ein Ph\u00e4nomen zunutze, das als \u201cKlick-Fatigue\u201d bekannt ist. Menschen wollen sich nicht lange mit etwas so vermeintlich trivialen wie der Authentifizierung besch\u00e4ftigen, sondern ihren eigentlichen Aufgaben nachgehen. Die Folge: Man wird nachl\u00e4ssig. Im Prompt-Bombing setzt man genau darauf: Das vermeintliche Opfer erh\u00e4lt auf seinem zur Authentifizierung notwendigen Ger\u00e4t innerhalb k\u00fcrzester Zeit multiple Push-Nachrichten des Login-Dienstes. Die Angreifer:innen setzen darauf, dass Nutzer:innen sie \u201centnervt\u201d akzeptieren, um nicht mehr bel\u00e4stigt zu werden.<\/p>\n\n\n\n

 Authentifizierungs-Lebenszyklus im Blick behalten<\/strong><\/p>\n\n\n\n

Zudem lassen sich manche MFA-L\u00f6sungen auch abseits des reinen Authentifizierungsprozesses angreifen. Es ist also wichtig, den gesamten Authentifizierungs-Lebenszyklus im Blick zu behalten. Werden etwa neue Mitarbeitende eingebunden, so f\u00e4llt es in der Regel dem Administrator zu, ein neues Konto aufzusetzen und ein entsprechendes Ger\u00e4t in das System hinzuzuf\u00fcgen. Der Admin als Gatekeeper wird somit zum Sicherheitsrisiko. Werden hier keine Sicherheitsmechanismen etabliert \u2013 etwa indem das Hinzuf\u00fcgen eines zus\u00e4tzlichen Ger\u00e4ts den Nachweis eines vorhandenen Ger\u00e4ts erfordert, oder indem man mit Identity Proofing oder Transitive Trust arbeitet \u2013 entsteht ein Single-Point-of-Failure in der Sicherheitsinfrastruktur. Gleiches gilt, wenn der Administrator alleinige Kontrolle \u00fcber die Endger\u00e4te hat.<\/p>\n\n\n\n

Hier sollte stets auf die Dezentralit\u00e4t geachtet werden: Administratoren k\u00f6nnen die Ger\u00e4te zwar sperren, sollten aber nicht in der Lage sein, diese zentral l\u00f6schen zu k\u00f6nnen. Dieser Vorgang sollte lediglich dem Inhaber des Endger\u00e4ts vorbehalten sein.<\/p>\n\n\n\n

Insgesamt sollte man bei der Wahl seiner MFA-L\u00f6sung darauf achten, dass diese auf die Authentifizierungsschnittstelle des Endger\u00e4ts baut. Nur so l\u00e4sst sich gew\u00e4hrleisten, dass die MFA-L\u00f6sung nicht nur weniger anf\u00e4llig f\u00fcr Phishing ist, sondern wirklich Phishing-sicher. Moderne Endger\u00e4te verf\u00fcgen \u00fcber ausgereifte biometrische Login-Funktionen und erm\u00f6glichen \u201cSame Device MFA\u201d (die MFA-L\u00f6sung wird dabei auf einem einzelnen Ger\u00e4t installiert und l\u00e4sst sich dort verwenden). Dadurch reduziert sich der IT-Aufwand im Fall des Verlusts oder beim Offboarding und gleichzeitig entsteht mehr Sicherheit durch Dezentralit\u00e4t. Zudem sollte auch die Speicherung der Zugangsdaten beziehungsweise des privaten kryptographischen Schl\u00fcssels auf dem jeweiligen Sicherheitschip des Ger\u00e4ts erfolgen. Das verringert den Schaden eines Datenlecks enorm im Vergleich zur zentralen Speicherung der Schl\u00fcssel.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Multi-Faktor-Authentifizierung mitigiert das Risiko, Opfer eines passwortbasierten Angriffs oder einer Brute-Force-Attacke zu werden, und jede MFA-L\u00f6sung ist besser als gar keine L\u00f6sung. Doch Unternehmen sollten nicht dem Irrglauben erliegen, sie seien durch MFA automatisch gesch\u00fctzt. Hacker-Methoden und Sicherheitsl\u00f6sungen entwickeln sich weiter und gerade Unternehmen, die entweder bestehende L\u00f6sung erneuern oder eine neue MFA-L\u00f6sung implementieren wollen, sollten sich mit den einzelnen Spezifika genauestens besch\u00e4ftigen. Dabei gilt der vermeintlich antizipierte Aufwand \u00fcbrigens nicht mehr als Totschlagargument f\u00fcr die Einf\u00fchrung einer neuen L\u00f6sung. Heute gibt es bereits L\u00f6sungen, die sich innerhalb von 15 Minuten einf\u00fchren lassen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Phishing-Angriffe z\u00e4hlen zu den beliebtesten Methoden von Cyberkriminellen und richten alleine in Deutschland jedes Jahr Sch\u00e4den in Milliardenh\u00f6he an. Multi-Faktor-Authentifizierung soll dem Schrecken ein Ende machen, doch wer glaubt, dass man damit stets auf der sicheren Seite ist, der irrt. Nicht jede MFA-L\u00f6sung sch\u00fctzt zuverl\u00e4ssig und es gibt mitunter signifikante Unterschiede. Bei der Wahl der richtigen L\u00f6sung gilt es einige Dinge zu bedenken.<\/p>\n","protected":false},"author":81,"featured_media":24447,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[14478,17338,4711,3392,17339],"class_list":["post-24445","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-brute-force-2","tag-idee","tag-mfa","tag-phishing","tag-smishing"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24445","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=24445"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24445\/revisions"}],"predecessor-version":[{"id":24448,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24445\/revisions\/24448"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/24447"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=24445"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=24445"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=24445"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}