Die wichtigsten Fragen zu MFA
Gestohlene Passwörter sind für Hacker Gold wert. Mit einer Multifaktor-Authentifizierung (MFA) beugen Unternehmen dem Identitätsdiebstahl vor.
Gestohlene Passwörter sind für Hacker Gold wert. Mit einer Multifaktor-Authentifizierung (MFA) beugen Unternehmen dem Identitätsdiebstahl vor.
Benutzername eingeben, Passwort eingeben, „weiter“ klicken. „Bitte geben Sie den Code ein, der Ihnen per SMS an die Nummer XXX geschickt wurde“. Ob beruflich oder privat, diesen Vorgang kennen die meisten. Auch wenn es mancher als unnötig zeitraubend ansieht – sich über mehr als einen Faktor zu authentifizieren, ist sinnvoll. Denn z.B. durch Social Engineering lassen sich alle Passwörter irgendwann knacken. Durch die Multifaktor-Authentifizierung (MFA) werden neben Passwörtern noch andere Kriterien überprüft. Nutzer weisen sich beim Login dadurch zweifelsfrei aus. Wie die Multifaktor-Authentifizierung funktioniert, warum sie oft falsch verstanden wird und warum sie für Unternehmen so wichtig ist, erfahren Sie von Mittelstand Heute hier.
Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):
Wie der Name sagt, gibt es mehrere Faktoren, auf die ein Nutzer zurückgreifen kann, um sich im Netzwerk zu authentifizieren:
Für die meisten Unternehmen ist ein reiner Passwortschutz für Firmen-Logins nicht mehr ausreichend. Denn ein Datenleck kann weitreichende Folgen haben. Von Industriespionage über Ransomware bis zum Produktionsstillstand ist alles möglich. Laut Bitkom entsteht der deutschen Wirtschaft durch Cyberangriffe jährlich ein Schaden in Höhe von 223 Milliarden Euro. Identitätsdiebstahl ist dabei ein probates Mittel für Hacker. Denn, wenn sie Zugriff über einen Firmenaccount haben, sind sie nicht nur im Netzwerk, sondern verfügen möglicherweise noch über umfangreiche Berechtigungen.
Microsoft fand in einer Untersuchung heraus, dass MFA die Effektivität von Identitätsdiebstahl um 99 Prozent verringert. Warum nutzten dann bis Ende 2020 nur 52 Prozent der Unternehmen in Deutschland eine Multifaktor-Authentifizierung? Das Kosten-Nutzen-Verhältnis scheint hier für einige Unternehmen nicht eindeutig zu sein.
Im Zusammenhang mit MFA gibt es vor allem im B2B-Kontext noch einige Missverständnisse. Fünf davon sollen hier erklärt werden:
Der Besitzfaktor ist ein Kriterium, über das sich ein Nutzer authentifizieren kann. Es ist jedoch der Grundsatz der Multifaktor-Authentifizierung, dass es verschiedene Wege gibt, sich „auszuweisen“. Ein PIN oder Einmalpasswort lassen sich beispielsweise per Mail versenden. Physische Authentifizierungs-Token müssen nichts mit einem Mobiltelefon zu tun haben. Außerdem muss nicht sofort jeder Mitarbeiter bei einem MFA-Projekt einbezogen werden.
Privilegierte Zugänge sollten zuerst bedacht werden. Verschaffen sich Hacker Zugriff über diese Accounts, ist das Schadenspotenzial hoch. Denn privilegierte Anwender haben durch ihre weitreichenden Berechtigungen häufig Zugriff auf geschäftskritische Daten und Systeme. Dementsprechend kann ein Unternehmen bereits einen soliden Grundschutz gewährleisten, wenn es die privilegierten Entitäten über MFA sichert.
Es kommt darauf an, welchen Umfang ein Unternehmen bei einem MFA-Projekt anstrebt. Sollen direkt alle Zugänge über eine Multifaktor-Authentifizierung verfügen? Dann wird der Aufwand, je nach Firmengröße, dementsprechend hoch sein. Ist es jedoch das Ziel, zuerst die privilegierten Identitäten zu schützen, hält sich die Komplexität des Projekts in Grenzen. Basierend auf diesen Erfahrungen können die Verantwortlichen entscheiden, ob MFA auf weiteren Ebenen eingeführt werden soll oder nicht. Die IT-Sicherheit wird durch jeden einzelnen Zugang mit MFA-Schutz verbessert.
Manche denken: „Ein Passwort ist schnell geknackt – und ein zweiter Faktor doch bestimmt in nur unwesentlich längerer Zeit.“ Genau hier liegt jedoch der Vorteil von MFA: Denn erst die Kombination aus 2 Faktoren ist ungleich effektiver als die Summe der einzelnen Faktoren.
Stimmt, das ist schließlich der Hintergedanke der MFA. Das führt erst einmal zu Mehraufwand. Der verlorene Faktor muss ersetzt werden. Ein stichhaltiges Argument gegen MFA ist das trotzdem nicht. Der Mehraufwand, den ein abhandengekommener Faktor auslöst, ist – verglichen mit einer kompromittierten Firmen-IT – ein verkraftbarer Preis. Zudem kann das Unternehmen den Mehraufwand für eine Wiederbeschaffung minimieren, wenn es den Verlust eines Faktors vorab beim Roll-Out von MFA mit einkalkuliert – zum Beispiel, indem es User Self Services etabliert.
Ja, je mehr Faktoren überprüft werden, desto länger dauert der Login-Vorgang. Für digital weniger versierte Mitarbeiter kann das eine Herausforderung sein. Hier müssen Kosten und Nutzen abgewogen werden. Bei den Kosten stehen möglicherweise ein zusätzlicher Schulungsaufwand für einige Mitarbeiter und unter Umständen überschaubare Produktivitätseinbußen. Unternehmen können diese jedoch durch Maßnahmen wie Conditional Access und Single Sign-on (SSO) abmildern.
Mit Conditional Access ist das Regelwerk beschrieben, welches anhand verschiedener Vorgaben (Client, Service, Anmeldeverfahren, Standort, Compliance-Status etc.) entscheidet, ob der Zugriff des Anwenders erlaubt ist.
Bei einer Zero-Trust-Infrastruktur „misstraut“ das System allen Entitäten im oder außerhalb des Netzwerks. Es geht so vor, als hätte bereits ein Angriff stattgefunden. Eine Authentifizierung muss für jede Netzwerkebene und Handlung erfolgen. Auch oder eher gerade privilegierte Nutzer müssen sich so immer authentifizieren. Multifaktor-Authentifizierung ist ein Weg, wie sich Zero Trust umsetzen lässt. Für weiterführende Informationen zu Zero Trust empfehlen wir folgenden Beitrag...
Es bietet sich an, MFA und Conditional Access zu kombinieren: Dabei wird eine zusätzliche Authentifizierung bei gewissen Voraussetzungen grundsätzlich erzwungen, beispielsweise bei Auffälligkeiten wie der "impossible travel" (zu deutsch: "unmögliche Reise"): Meldet sich ein Mitarbeiter normalerweise immer um 9:00 MEZ aus Berlin an, plötzlich jedoch kommt der Log-in-Versuch um 19:00 EDT aus New York, wird der Zugang erst einmal verwehrt und eine weitere Authentifizierung abgefragt.
Eine Kombination von Conditional Access und MFA könnte so aussehen: Um auf vertrauliche Unternehmensdaten zuzugreifen, müssen sich Nutzer aus dem Unternehmensnetzwerk und mit einem sicherheitsüberprüften Firmengerät anmelden. Für den eigentlichen Login müssen Nutzer dann Nutzername und Passwort sowie einen per SMS versandten PIN eingeben.
Mit SSO können sich Nutzer einmal einloggen und sind dann für alle Systeme und Anfragen, für die sie berechtigt sind, authentifiziert. Der Zweck von Single Sign-on ist es, dass sich der Benutzer nur einmal über ein Authentifizierungsverfahrens – zum Beispiel durch Passworteingabe – authentifizieren muss. Bei darauf folgenden Authentifizierungen übernimmt dann der SSO-Mechanismus diese Aufgabe, indem die Authentifizierung automatisiert abläuft.
Das ist ein Prozess, bei dem sich ein Nutzer für den Login in ein System über mehrere Faktoren authentifiziert.
Es gibt drei bis fünf Faktoren-Gruppen: Der Besitzfaktor umfasst physische Authentifizierungs-Token wie USB-Sticks oder per SMS verschickte PINs. Der Wissensfaktor beinhaltet Passwörter oder Sicherheitsfragen, die der Nutzer in seinem Gedächtnis abgespeichert hat. Der Inhärenzfaktor beschreibt eindeutig zuzuordnende Merkmale der Benutzer, wie den biometrischen Fingerabdruck. Zusätzlich gibt es noch die Faktoren Ort und Zeit. Dabei geht es darum, den Anwender anhand des Orts, von dem ein Login-Versuch kommt, und des Zeitpunkts, zu dem er stattfindet, zu authentifizieren.
MFA-Token sind Gegenstände, die zur Authentifizierung von Nutzern dienen. Das können USB-Sticks oder Chipkarten sein, die ein System zweifelsfrei erkennt. PINs oder Einmalpasswörter, die per Mail oder SMS versandet werden, fallen ebenfalls in diese Gruppe.
Die Zwei-Faktor-Authentifizierung ist eine Form der Multifaktor-Authentifizierung. Bei der 2FA kommen zwei Faktoren zum Einsatz, bei der MFA zwei oder mehr Faktoren.
Die passwortlose Authentifizierung bietet Benutzern die Möglichkeit, sich selbst zu verifizieren, ohne dass sie sich dabei Passwörter merken oder diese manuell eingeben müssen.
Quelle Aufmacherbild: bestforbest/stock.adobe.com