So finden Sie die passende MFA-Lösung

Passwörter reichen heutzutage nicht mehr aus, um Netzwerke zu schützen. Sicherheitsexperten sehen deshalb in der Multi-Faktor-Authentifizierung (MFA) einen wichtigen Schritt, um Angreifer fernzuhalten. Die Auswahl von Multi-Faktor-Tokens und -Tools hängt dabei vom jeweiligen Unternehmen, dessen Anforderungen und den Angriffsmöglichkeiten ab. Durch eine vorausschauende Planung lassen sich Probleme bei der Bereitstellung und Migration minimieren.

Dies sind die wichtigsten Überlegungen bei der Auswahl einer MFA-Lösung:

Wissen, was die MFA-Lösung schützen wird und was nicht

Sie müssen mehrere Entscheidungen treffen, wenn Sie sich für ein MFA-Tool entscheiden. Zunächst sollten Sie prüfen, wie das Tool Ihr Netzwerk schützt. Wenn MFA zu bestehenden lokalen Anwendungen hinzugefügt wird, schützt es Ihr Unternehmen möglicherweise nicht vollständig. Ein Beispiel hierfür ist der Zero-Day-Angriff auf Exchange Server. In diesem Fall sicherte MFA die Server nicht vollständig. So verwendete mindestens ein Opfer Exchange Server lokal mit einer MFA-Anwendung eines Drittanbieters. Diese schirmte zwar Teile des Authentifizierungsprozesses vor Angriffen ab, nicht aber Outlook Web Access (OWA), das die Basisauthentifizierung verwendet. Als Resultat konnten die Angreifer die MFA umgehen und die Server angreifen . Überlegen Sie daher genau, was die von Ihnen gewählte MFA-Lösung schützt, und prüfen Sie dann, welche Authentifizierungsprozesse noch offen sind.

MFA-Bereitstellung, -Migration und -Upgrade-Fähigkeit

Bereitstellung, Migration und Aufrüstbarkeit von Multifaktor-Tokens sind entscheidend. Je nach Größe Ihres Unternehmens können Sie Multi-Faktor-Tokens einsetzen oder sich dafür entscheiden, Authentifizierungs-Apps auf Smartphones zu aktivieren. Zudem kommt es auf die Richtlinien Ihres Unternehmens an. Entweder können Sie Authentifizierungsanwendungen auf den vom Unternehmen bereitgestellten Geräten einsetzen oder den Mitarbeitern, die persönliche Geräte verwenden, Informationen zum Einsatz zur Verfügung stellen. Wenn private Geräte verwendet werden, müssen Sie je nach Rechtslage eventuell die Kosten für die geschäftliche Nutzung erstatten.

Die Bereitstellung auf diesen Geräten und die Verwaltung des Austauschs von Smartphones kann eine gewaltige Aufgabe sein. Je nach Authentifizierungsanwendung lassen sie sich entweder problemlos migrieren oder müssen an nicht fest kontrollierten Backup-Standorten gesichert werden.

Ein Beispiel dafür ist die Neuverteilung von Authentifizierungslösungen. Einige lassen sich leicht exportieren und auf ein neues Mobilfunkgerät importieren. Andere sind eher ein Prozess und müssen möglicherweise neu eingerichtet werden. Stellen Sie sicher, dass Ihr Helpdesk umfassend informiert ist und den Migrationsprozess auf geschäftlichen und privaten Handys getestet hat. Wenn neue Smartphone-Modelle auf den Markt kommen, sollten Ihre Mitarbeiter wissen, welche Unterstützung für die Migration bereitgestellt wird. Vielleicht möchten Sie auch die Anzahl der unterstützten Modelle einschränken , um sicherzustellen, dass Ihre Benutzer den Helpdesk nicht überfordern. Smartphones zu supporten, erfordert oft mehr Zeit und spezielle Remote-Tools, die es dem Helpdesk ermöglichen, den Smartphone-Bildschirm zu überprüfen, aber nicht die Geräte fernzusteuern.

Erstellen Sie eine Dokumentation für die ordnungsgemäße Bereitstellung und Migration von Authentifizierungsanwendungen für verschiedene Plattformen. Während Sie im Internet leicht Anleitungen für die Migration finden können, sollten Sie sich vergewissern, dass Ihr Helpdesk über Anweisungen für Ihre Authentifizierungsanforderungen verfügt.

Löschen Sie ein Smartphone nicht, ohne sicherzustellen, dass die benötigten Informationen auf das Ersatzgerät migriert wurden. Bei der Migration auf ein neues Smartphone müssen Sie möglicherweise die MFA-Anwendung neu einrichten. Wenn Sie zum Beispiel Push-Benachrichtigungen auf den Geräten verwenden, müssen die Anmeldeinformationen neu erstellt werden, da sie an die Gerätehardware gebunden sind und nicht migriert oder exportiert werden können. Push-MFA oder passwortlose Anwendungen müssen neu bereitgestellt werden, da sie an das Telefongerät gebunden sind.

Bei der Microsoft-Authentifizierungsanwendung zum Beispiel war die erfolgreiche Wiederherstellung auf einem Ersatz-iPhone nur bedingt möglich. In einem Fall konnte die Anwendung problemlos wiederhergestellt werden, in einem anderen Fall mussten die Konten neu validiert werden, je nachdem, ob die für Push-Benachrichtigungen eingestellten Devices mit dem Gerät verbunden sind. Andere Anbieter wie Google Authenticator verfügen über eine Import-/Exportfunktion.

Kompromisse bei der Verwendung von Hardware-Tokens

Darüber hinaus können Sie sich auch für den Einsatz von Token oder Schlüsselanhängern entscheiden. Diese Lösungen sind zwar weniger budgetfreundlich, aber die Notwendigkeit einer Umstellung ist geringer. Token sind mit zusätzlichem Aufwand verbunden, da sie nicht immer beim Benutzer sind, während Mobiltelefone in der Regel immer dabei sind. Token und Schlüsselanhänger sind unter Umständen gewöhnungsbedürftig, und Sie müssen den Austausch von Batterien und andere Bereitstellungsanforderungen berücksichtigen.

Microsoft-spezifische Optionen

Für Microsoft-Multifaktoranforderungen gibt es mehrere Optionen, angefangen mit Microsoft Authenticator. Wenn die meisten Ihrer Mitarbeiter Android- oder Apple-Telefone besitzen, ist Microsoft Authenticator eine kostengünstige Lösung, die Sie schnell einsetzen können. Selbst wenn Sie nicht auf eine Azure P1-Lizenz upgraden (oder eine Microsoft-Lizenz haben, die dies beinhaltet), sollten Sie in der Lage sein, die Authenticator-App als zweiten Faktor für Azure AD Global Administrator-Konten zu verwenden.

Um zu überprüfen , welche Methode der MFA-Anwendung Sie verwenden, melden Sie sich im Microsoft Azure-Administrationsportal an und navigieren zu Sicherheit > Authentifizierungsmethoden. Passwortlose Optionen reichen von der Verwendung von Windows Hello for Business, Microsoft Authenticator und FIDO2-Sicherheitsschlüsseln. Sie können auch FIDO2-Sicherheitsschlüssel von anderen Anbietern und mit anderen Anwendungen verwenden, die MFA vorschreiben. Auf diese Weise können Sie sowohl Microsoft-Anwendungen schützen, als auch einen zweiten Authentifizierungsfaktor für Kennwortverwaltungs-Tools, Fernzugriff und andere Anforderungen zur Verfügung stellen.

Anforderungen an die Cloud-Authentifizierung

Bei einer Authentifizierungsanwendung für Cloud-Dienste sollten Sie sich nicht nur auf eine Lösung festlegen. Cloud-Dienste können sich jedoch an einer Authentifizierungsanwendung orientieren. Administratoren stellen in der Regel fest, dass sie eine Vielzahl von MFA-Tools benötigen. Dazu zählen Authentifizierungs-Apps wie Microsoft, Authy, Google Authenticator und Duo.com sowie Hardware-Tokens. Planen Sie im Voraus, um sicherzustellen, dass die Authentifizierungsmethode Ihre gesetzlichen Anforderungen und Spezifikationen wie NIST-Mandate erfüllt und über Ihren Helpdesk verwaltet werden kann. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.