Deutschland
 

Hacks bei Twitter, Reddit & Co.

Multifaktor-Authentifizierung hilft (nicht?)

Die Auffälligkeit der jüngsten Hacks: In vielen Fällen hatten Kriminelle Erfolg trotz 2FA oder MFA. Ist die Technologie noch sicher? Und welche Alternativen gibt es?
Von 
CSO | 30. März 2023 05:58 Uhr
Schaffen Cyberkriminelle es,die Multifaktor-Authentifizierung auszutricksen, können sie sich im Netzwerk fortbewegen und sensible Daten einsehen.
Schaffen Cyberkriminelle es,die Multifaktor-Authentifizierung auszutricksen, können sie sich im Netzwerk fortbewegen und sensible Daten einsehen.
Foto: Jirsak - shutterstock.com

Passwörter alleine reichen für eine effektive Cybersicherheitsstrategie nicht mehr aus - diese Erkenntnis hat sich in Unternehmen durchgesetzt. Zudem sind Passwortstrategien bei Nutzern unbeliebt: Sind Passwörter sicher, sind sie zu kompliziert zu merken und werden aufgeschrieben oder wiederverwendet. Sind sie zu kurz, weisen sie kein ausreichendes Sicherheitsniveau auf. Organisationen fügen deshalb eine Zwei- oder Multifaktor-Authentifizierung zu ihrer Cybersicherheitsstrategie hinzu. Und das zurecht, schließlich tragen weitere Faktoren entscheidend zur Sicherheit der bekannten Kombination aus Passwort und Nutzernamen bei.

Jetzt kostenlos für den CSO-Newsletter anmelden

"Hauptsache MFA" reicht nicht

Allerdings kommt es immer wieder zu Sicherheitsvorfällen in Unternehmen - obschon einer eingerichteten MFA. Der bekannte Social-News-Aggregator Reddit etwa wurde im Februar dieses Jahres Opfer einer Cyberattacke: Hacker konnten mit einer täuschend echt aussehenden Phishing-Website an Zugangsdaten von Reddit-Mitarbeitern gelangen - inklusive virtueller Tokens zur 2FA. Im Rahmen des Angriffs erbeuteten sie interne Dokumente sowie Programmcode.

Auch der Fahrdienstleister Uber fiel im vergangenen Jahr einer solchen Attacke zum Opfer: Hier konnten Cyberkriminelle die verwendete 2FA-Lösung ausnutzen, indem sie Login-Daten im Darknet erwarben. Danach überfluteten sie Uber-Mitarbeiter solange mit Zugriffsanfragen in ihrer Authenticator-App bis diese schließlich aus Versehen bestätigten. Auch hier konnten die Kriminellen an unternehmensinterne Informationen gelangen.

Die Beispiele zeigen: Auch wenn eine Zwei- oder Multifaktor-Authentifizierung eingerichtet ist, sind Nutzer nicht immer vor den Auswirkungen von Phishing und weiteren Angriffsarten geschützt. Für CISOs, die die Cybersicherheit ihrer Unternehmen verantworten, stellt sich also die Frage: Welche MFA ist für mein Unternehmen die richtige?

Lesetipp: So finden Sie die passende MFA-Lösung

MFA in allen Facetten

Es lohnt sich daher ein Blick auf die verschiedenen 2/MFA-Technologien, die sich in den vergangenen Jahren durchgesetzt haben. Generell lassen sich bei MFA die Faktoren Wissen, Besitz und Inhärenz charakterisieren:

  • Beim Wissensfaktor weisen Nutzer ihre Identität nach, indem sie Informationen angeben, die nur sie kennen. Hier identifizieren sich User beispielsweise mit einem Passwort. Auch die Abfrage eines PIN-Codes gehört hierzu.

  • Der Besitzfaktor schreibt Identitäten einen Faktor vor, der in ihrem Besitz ist. Bekannte Beispiele sind Smartphones mit entsprechenden Authenticator-Apps, Security Keys, die sich per physischer Schnittstelle mit Endgeräten verbinden lassen oder Hardware-Tokens, die Einmalpasswörter (OTPs) generieren

  • Der Inhärenzfaktor verknüpft den Registrierungsprozess mit biometrischen Merkmalen des User. Dazu gehören Verfahren wie Fingerabdruck- und Netzhaut-Scan sowie Stimm- und Gesichtserkennung.

Lesetipp: Die 10 häufigsten MFA-Ausreden

Phishing-sichere Same Device MFA

Darüber hinaus besteht die Möglichkeit, bei MFA-Diensten auf die Authentifizierungsschnittstelle des Endgerätes zu setzen. Dazu gehören etwa die biometrische Login-Funktion (Gesichts- und Fingerabdruckscan) und PINs. Der PIN soll jedoch nur auf dem lokalen Gerät funktionieren. Hierbei spricht man von "Same Device MFA": Diese MFA-Methode ist nicht nur in puncto Kosten und Arbeitsaufwand im Fall verlorener Geräte vorteilhaft, sie vereinfacht auch die Implementierung für IT-Abteilungen, indem sie das On- und Off-Boarding neuer Mitarbeiter erleichtert.

Ein weiteres entscheidendes Merkmal ist die Art und Weise, wie die Lösung Nutzerdaten und Private Keys speichert. Cloud-Lösungen, die die Keys zentral speichern, bieten hier keine ausreichende Sicherheit, da diese einen weiteren Angriffsvektor darstellen. Weitaus sicherer ist die Speicherung der Keys direkt auf dem Endgerät. Dieser dezentrale Ansatz hilft dabei, Angriffe deutlich besser einzudämmen.

Nicht zuletzt sollten Unternehmen für den gesamten Prozess der Authentifizierung, von der Kontoerstellung über das Hinzufügen neuer Geräte bis hin zum Offboarding, einen konsequenten Zero-Trust-Ansatz verfolgen. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.

Lesetipp: Microsoft plant MFA per Outlook-App

Al Lakhani ist CEO bei IDEE.
Folgen: