Hacks bei Twitter, Reddit & Co.: Multifaktor-Authentifizierung hilft (nicht?)

Foto: Jirsak – shutterstock.com

Passwörter alleine reichen für eine effektive Cybersicherheitsstrategie nicht mehr aus – diese Erkenntnis hat sich in Unternehmen durchgesetzt. Zudem sind Passwortstrategien bei Nutzern unbeliebt: Sind Passwörter sicher, sind sie zu kompliziert zu merken und werden aufgeschrieben oder wiederverwendet. Sind sie zu kurz, weisen sie kein ausreichendes Sicherheitsniveau auf. Organisationen fügen deshalb eine Zwei- oder Multifaktor-Authentifizierung zu ihrer Cybersicherheitsstrategie hinzu. Und das zurecht, schließlich tragen weitere Faktoren entscheidend zur Sicherheit der bekannten Kombination aus Passwort und Nutzernamen bei.

Jetzt kostenlos für den CSO-Newsletter anmelden

“Hauptsache MFA” reicht nicht

Allerdings kommt es immer wieder zu Sicherheitsvorfällen in Unternehmen – obschon einer eingerichteten MFA. Der bekannte Social-News-Aggregator Reddit etwa wurde im Februar dieses Jahres Opfer einer Cyberattacke: Hacker konnten mit einer täuschend echt aussehenden Phishing-Website an Zugangsdaten von Reddit-Mitarbeitern gelangen – inklusive virtueller Tokens zur 2FA. Im Rahmen des Angriffs erbeuteten sie interne Dokumente sowie Programmcode.

Auch der Fahrdienstleister Uber fiel im vergangenen Jahr einer solchen Attacke zum Opfer: Hier konnten Cyberkriminelle die verwendete 2FA-Lösung ausnutzen, indem sie Login-Daten im Darknet erwarben. Danach überfluteten sie Uber-Mitarbeiter solange mit Zugriffsanfragen in ihrer Authenticator-App bis diese schließlich aus Versehen bestätigten. Auch hier konnten die Kriminellen an unternehmensinterne Informationen gelangen.

Die Beispiele zeigen: Auch wenn eine Zwei- oder Multifaktor-Authentifizierung eingerichtet ist, sind Nutzer nicht immer vor den Auswirkungen von Phishing und weiteren Angriffsarten geschützt. Für CISOs, die die Cybersicherheit ihrer Unternehmen verantworten, stellt sich also die Frage: Welche MFA ist für mein Unternehmen die richtige?

Lesetipp: So finden Sie die passende MFA-Lösung

MFA in allen Facetten

Es lohnt sich daher ein Blick auf die verschiedenen 2/MFA-Technologien, die sich in den vergangenen Jahren durchgesetzt haben. Generell lassen sich bei MFA die Faktoren Wissen, Besitz und Inhärenz charakterisieren:

• Beim Wissensfaktor weisen Nutzer ihre Identität nach, indem sie Informationen angeben, die nur sie kennen. Hier identifizieren sich User beispielsweise mit einem Passwort. Auch die Abfrage eines PIN-Codes gehört hierzu.

• Der Besitzfaktor schreibt Identitäten einen Faktor vor, der in ihrem Besitz ist. Bekannte Beispiele sind Smartphones mit entsprechenden Authenticator-Apps, Security Keys, die sich per physischer Schnittstelle mit Endgeräten verbinden lassen oder Hardware-Tokens, die Einmalpasswörter (OTPs) generieren

• Der Inhärenzfaktor verknüpft den Registrierungsprozess mit biometrischen Merkmalen des User. Dazu gehören Verfahren wie Fingerabdruck- und Netzhaut-Scan sowie Stimm- und Gesichtserkennung.

Lesetipp: Die 10 häufigsten MFA-Ausreden

Phishing-sichere Same Device MFA

Darüber hinaus besteht die Möglichkeit, bei MFA-Diensten auf die Authentifizierungsschnittstelle des Endgerätes zu setzen. Dazu gehören etwa die biometrische Login-Funktion (Gesichts- und Fingerabdruckscan) und PINs. Der PIN soll jedoch nur auf dem lokalen Gerät funktionieren. Hierbei spricht man von “Same Device MFA”: Diese MFA-Methode ist nicht nur in puncto Kosten und Arbeitsaufwand im Fall verlorener Geräte vorteilhaft, sie vereinfacht auch die Implementierung für IT-Abteilungen, indem sie das On- und Off-Boarding neuer Mitarbeiter erleichtert.

Ein weiteres entscheidendes Merkmal ist die Art und Weise, wie die Lösung Nutzerdaten und Private Keys speichert. Cloud-Lösungen, die die Keys zentral speichern, bieten hier keine ausreichende Sicherheit, da diese einen weiteren Angriffsvektor darstellen. Weitaus sicherer ist die Speicherung der Keys direkt auf dem Endgerät. Dieser dezentrale Ansatz hilft dabei, Angriffe deutlich besser einzudämmen.

Nicht zuletzt sollten Unternehmen für den gesamten Prozess der Authentifizierung, von der Kontoerstellung über das Hinzufügen neuer Geräte bis hin zum Offboarding, einen konsequenten Zero-Trust-Ansatz verfolgen. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.

Lesetipp: Microsoft plant MFA per Outlook-App

Privatgeräte im Unternehmensnetzwerk

Die Gretchenfrage für CISOs: Wie hältst Du es mit den Privatgeräten im Unternehmensnetzwerk? Jedes Unternehmen muss für sich selbst entscheiden, ob Bring-your-own-Device-Modelle (BYOD) für sie funktionieren. Es ist eine risiko- und kostenbasierte Entscheidung und es gibt keine allgemeingültige Antwort.

Bei BYOD, besteht das größte Risiko in Malware. Sie kann Tastatureingaben abfangen und so Passwörter und OTPs stehlen. In diesem Szenario ist eine passwort- und clientlose MFA-Lösung ein absolutes Muss. Diese Lösung sollte Industriestandards wie WebAuthn verwenden, damit sie auf jedem modernen Gerät funktionieren kann. Die Verwendung einer MFA, die alle Phishing-Angriffe auf Anmeldeinformationen verhindern kann, ist bei BYOD von entscheidender Bedeutung. Nur so lässt sich sicherstellen, dass selbst wenn Mitarbeiter auf Phishing-E-Mail-Links klicken, ihre Anmeldedaten nicht gestohlen werden können.

Lesetipp: Was ist MFA-Fatigue?

Worauf sollten CISOs bei der MFA-Wahl achten?

Bei der Suche nach einer MFA-Lösung sollten folgende Punkte im Vordergrund stehen: Sicherheit der Lösung, Einfachheit der Implementierung und bestmögliche User Experience.

• Sicherheit: Da Phishing laut BSI die Hauptursache für Datenleaks in Unternehmen ist, sollten CISOs besonders darauf achten, dass ihre MFA-Lösung Phishing-sicher ist.

Eine Phishing-sichere MFA, die den WebAuthn-Standard unterstützt, verwendet die Authentifizierungsschnittstellen der Endgeräte, wie beispielsweise biometrische Login-Funktionen oder lokale PIN-Codes, um Zugang zu einer Anwendung oder einem Cloud-Service zu ermöglichen. Diese Art von MFA sollte auf einem einzigen Gerät eingerichtet und ausgeführt werden (Same Device MFA). So lässt sich das Ersetzen verlorener Zweitgeräte wie Security-Tokens vermeiden und das On- und Off-Boarding von neuen Nutzern erleichtern.

Wichtig ist, dass die Benutzerdaten oder der damit verbundene private kryptografische Schlüssel dezentral auf dem jeweiligen Endgerät gespeichert werden. Das Hinzufügen neuer Geräte oder die Wiederherstellung von Konten sollte auf den Grundsätzen des Null-Vertrauens und des transitiven Vertrauens basieren, um zu verhindern, dass ein privilegierter Insider die Anmeldedaten der Benutzer kompromittiert.

• Implementierung: IT-Verantwortliche müssen sich bei 2/MFA-Lösungen wie Security Tokens und physischen TAN-Generatoren auf lange Implementierungszeiten einstellen: Vom Kauf der Geräte bis zur letztendlichen Nutzung vergehen oftmals Wochen. Zudem steigt der Arbeitsaufwand für IT-Administratoren, wenn sie weitere Geräte verwalten müssen. Die anvisierte Lösung sollte deshalb innerhalb kürzester Zeit implementiert werden können und eine hohe Nutzerfreundlichkeit aufweisen.

• User-Akzeptanz: Viele MFA-Methoden sind umständlich in der Anwendung: User müssen einen USB-Token oder ihr Mobiltelefon hervorholen, um sich zu authentifizieren. Die Benutzeroberfläche und Bedienung der Authentifizierungslösung sollten so einfach und verständlich wie möglich sein. Bei einer Same Device MFA müssen User nur ihre Geräte entsperren. Keine Push-Nachricht, keine QR-Codes, keine Passwörter oder Einmalpasswörter sind notwendig. Mit einer solchen User Experience ist es ein Leichtes, MFA für alle User im Unternehmen vorzuschreiben – und gleichzeitig eine hohe Akzeptanz zu garantieren.

Grundsätzlich gilt: Jeder Mitarbeiter und jede Anwendung, sei sie On-Premises oder in der Cloud, sollte geschützt sein. Andernfalls ist es fast sicher, dass eine Credential-Phishing-Attacke irgendwann erfolgreich sein wird.

Bei der Implementierung einer MFA sollten IT-Verantwortliche folgende Lösungen priorisieren:

• Cloud-Produktivitätsanwendungen wie beispielsweise Microsoft 365

• VPN, Zero Trust Network Access und Technologien für den Firewall-Fernzugriff zum Beispiel Remote Desktop Protocol oder Terminal Server

• On-Premises-Anwendungen zur Fernbetreuung zum Beispiel TeamViewer