Multi-Faktor-Authentifizierung etablieren

Die 10 häufigsten MFA-Ausreden

Wenn es um die Multi-Faktor-Authentifizierung geht, stoßen CSOs auf viel Widerstand. Lesen Sie, wie gegen MFA argumentiert wird - und wie Sie dem entgegentreten.
Von 
CSO | 05. Mai 2022 05:59 Uhr
Mitarbeiter wie auch Endverbraucher haben oftmals keine Lust, Multi-Faktor-Authentifizierung zu nutzen. Das kann Cyberangriffe begünstigen.
Mitarbeiter wie auch Endverbraucher haben oftmals keine Lust, Multi-Faktor-Authentifizierung zu nutzen. Das kann Cyberangriffe begünstigen.
Foto: Mix and Match Studio - shutterstock.com

Mithilfe einer Multi-Faktor-Authentifizierung (MFA) oder einer Zwei-Faktor-Authentifizierung (ZFA) lassen sich die Gefahren, die mit schwachen oder mehrfach wiederverwendeten Passwörtern einhergehen, deutlich reduzieren. Dennoch kämpfen CSOs um die Akzeptanz der Technologie im Unternehmen. Nicht nur Mitarbeiter und Führungskräfte, sondern manchmal auch IT-Kollegen finden regelmäßig Ausreden, um die zusätzlichen Schritte für die Authentifizierung zu vermeiden.

Wir haben mit Sicherheitsexperten gesprochen und die zehn häufigsten Ausreden identifiziert, die Sicherheitsentscheider in Zusammenhang mit der Multi-Faktor-Authentifizierung zu hören bekommen. Natürlich sagen wir Ihnen auch, wie sie den vermeintlichen Argumenten den Wind aus den Segeln nehmen.

1. "Mein Passwort ist stark genug"

Ein starkes Passwort ist ein entscheidender und lobenswerter erster Schritt, aber da Cyberangriffe immer ausgefeilter werden, reicht das allein nicht aus. Dies ist ein Punkt, den CSOs Benutzern und Managern vor Augen führen müssen, indem sie Beispiele für Sicherheitsverletzungen anführen, bei denen starke Passwörter nicht ausreichten.

"Der Vorteil von ZFA und MFA besteht darin, dass die Nutzer weniger besorgt sein müssen, dass ihre Daten durch Brute-Force-Angriffe, überzeugende Phishing-Betrügereien oder andere Angriffe gestohlen werden", sagt Aaron Goldsmid, Vice President und General Manager of Account Security bei Twilio. "Selbst wenn ein Passwort bereits kompromittiert wurde, können Verbraucher mit ZFA oder MFA darauf vertrauen, dass ihr Konto nicht durch Credential Stuffing oder andere gängige Methoden, die mit gestohlenen Passwörtern verbunden sind, übernommen wird."

2. "Meine persönliche Telefonnummer gebe ich dafür nicht heraus"

Niemand muss seine Telefonnummer oder seine E-Mail-Adresse angeben. Es gibt viele andere Möglichkeiten, eine Multi-Faktor-Authentifizierung bereitzustellen, für die diese Angaben nicht erforderlich sind. Beispielsweise sind Authentifikator-Apps bequemer als herkömmliche SMS- oder E-Mail-Ansätze. Der Benutzer muss möglicherweise einen QR-Code scannen oder bei der Ersteinrichtung manuell einen Code eingeben. Aber nachfolgende Anmeldungen können so konfiguriert werden, dass nur eine Push-Benachrichtigung erforderlich ist, bei der der Benutzer aufgefordert wird, auf eine Schaltfläche zu klicken, um seinen Anmeldeversuch zu überprüfen.

3. "Meine persönlichen Daten sollen nicht verkauft werden"

Um in diesem Punkt Sicherheit zu geben, muss Ihr Unternehmen über eine eiserne Richtlinie gegen die Verwendung und den Verkauf von Mitarbeiterdaten für nicht sicherheitsrelevante Zwecke verfügen oder einen externen MFA-Anbieter verwenden, der die gleichen Regeln befolgt. Die meisten Anbieter befolgen lokale und nationale Datenschutzrichtlinien und legen offen, wie sie Kundendaten verwenden.

4. "MFA ist neu und muss sich erst beweisen"

"Die Zwei-Faktor-Authentifizierung ist nicht neu", sagt Tony Anscombe, Chief Security Evangelist bei Eset. "Banken haben schon vor Jahren Debitkarten mit PIN-Nummern eingeführt. Auch das ist eine Zwei-Faktor-Authentifizierung: Etwas, das Sie haben und etwas, das Sie kennen. Die Zusammenhänge auf diese Art und Weise zu erklären, kann Widerstände gegen das Konzept beseitigen."

5. "Unser IT-Team ist schon überbelastet"

"Wenn ein Ransomware-Angriff dafür sorgt, dass niemand mehr auf die Systeme zugreifen kann, wird die IT-Abteilung allerdings noch weit mehr belastet. Ohne MFA ist das auch viel wahrscheinlicher, weil eine passwortbasierte Authentifizierung allein nicht ausreicht", meint Paul Kincaid, CISO bei SecureAuth. "Passwörter zu manipulieren ist viel zu einfach, um die Sicherheit des Unternehmens in die Hände der User zu legen, die die größte Risikoquelle sind."

6. "MFA einzurichten ist zu anstrengend"

Diese Ausrede kann von Benutzern, Managern oder der IT kommen. In der Vergangenheit war an diesem Statement eventuell auch etwas dran - das hat sich allerdings geändert, wie Goldsmid weiß: "ZFA und MFA haben sich von einer versteckten, komplexen Funktion zu einem essenziellen Bestandteil des Onboarding-Prozesses entwickelt. Dieser wird heute oft mit einem einzigen Klick auf eine Schaltfläche aktiviert. Was in der Vergangenheit ein komplizierter Prozess war, regeln die meisten Applikationen und Webseiten inzwischen über APIs."

7. "Unsere Legacy-Anwendungen werden nicht unterstützt"

Auch das mag in der Vergangenheit ein valider Punkt gewesen sein. Heute sind die meisten MFA-Lösungen kompatibel mit Legacy-Systemen. "Die Technologielandschaft hat sich verändert - es gibt jetzt mehrere Lösungen für MFA, von denen einige möglicherweise nicht einmal Änderungen an Legacy-Anwendungen erfordern", weiß Kincaid. "Identitätsorchestrierung und mehrschichtige Out-of-Band-MFA-Faktoren bieten Optionen für Unternehmen, die Risiken von Legacy-Anwendungen zu minden, indem sie stärkere Authentifizierungsmethoden durchsetzen."

Lesetipp: So arbeiten Ransomware-Erpresser

8. "Unser Risiko ist für MFA nicht hoch genug"

Diese Ausrede (die in erster Linie angeführt wird, um Investitionen zu verhindern) setzt voraus, dass sich die Cybersecurity-Realität im Laufe der Zeit nicht verändert hat. Was nicht der Fall ist, wie Kincaid verdeutlicht: "Die Verlagerung auf Cloud-Workloads und der Remote-Work-Trend hat dazu geführt, dass sich der Netzwerkperimeter verändert. Eine starke Authentifizierung per MFA bereitzustellen ist der Kern einer mehrschichtigen Sicherheitsstrategie. Geschieht das nicht, läuft das Unternehmen Gefahr, zum Opfer von internen oder externen Angriffen zu werden."

9. "Ich weiß nicht genug, um MFA sicher zu nutzen"

Auf diese Aussagen sollten Sicherheitsentscheider reagieren, indem sie anbieten, die Multi-Faktor-Authentifizierung in einfachen, unkomplizierten Worten zu erklären. "Die Nutzer über die Bedeutung neuer, effektiver Sicherheitsmethoden aufzuklären, ist von entscheidender Bedeutung", sagt Goldsmid. "Das liegt in der Verantwortung aller Organisationen, da das Vertrauen der Mitarbeiter und Kunden sowie Datenschutz allgemein immer wichtiger werden."

10. "Ich habe keine Daten, die es wert sind, gestohlen zu werden"

Auf diese Ausrede könnten CSOs reagieren, indem sie nach Kreditkartennummern und PINs fragen. Spätestens dann dürfte klar werden: Hierbei handelt es sich um eine lahme Ausrede, die einen ebenso lahmen Versuch, die Multi-Faktor-Authentifizierung zu vermeiden, maskieren soll.

Die professionelle Antwort auf diese verbalen Ausweichungen hat Security-Experte Goldsmid parat: "Jeder Verbraucher ist ein potenzielles Angriffsziel, da jede Form von persönlichen Daten für böswillige Akteure wertvoll ist. Selbst wenn Sie denken, dass Sie nichts haben, was es wert ist, gestohlen zu werden - auch Smart-Home-Geräte oder einzelne Bankkonten sind unter Umständen interessante Ziele für Cyberkriminelle. Letztendlich kann jedes Konto, das persönliche Informationen enthält, für betrügerische Aktivitäten ausgenutzt werden."

Um Beweise für die aktuelle Bedrohungslage zu finden, in der jeder ein potenzielles Ziel ist, müsse man nicht kange suchen, ergänzt der Twilio-Manager: "Die Fälle von Equifax, Marriott und Facebook sind nur einige Beispiele für Angriffe - nicht nur auf Mitarbeiter, sondern auch auf Verbraucher. Glücklicherweise gibt es mit MFA (oder ZFA) eine einfache Möglichkeit, diese Angriffe zu bekämpfen."

Grundsätzlich sollten Unternehmen, die daran zweifeln, ob sich eine MFA-Lösung für sie rentiert, bedenken: Die dazu nötigen Investitionen werfen in jedem Fall geringere Kosten auf als ein Ransomware-Lösegeld. (ms)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.

James schreibt für unsere US-Schwesterpublikation CSO Online.