Die wichtigsten Fragen zu MFA
Gestohlene Passwörter sind für Hacker Gold wert. Mit einer Multifaktor-Authentifizierung (MFA) beugen Unternehmen dem Identitätsdiebstahl vor.
Benutzername eingeben, Passwort eingeben, „weiter“ klicken. „Bitte geben Sie den Code ein, der Ihnen per SMS an die Nummer XXX geschickt wurde“. Ob beruflich oder privat, diesen Vorgang kennen die meisten. Auch wenn es mancher als unnötig zeitraubend ansieht – sich über mehr als einen Faktor zu authentifizieren, ist sinnvoll. Denn z.B. durch Social Engineering lassen sich alle Passwörter irgendwann knacken. Durch die Multifaktor-Authentifizierung (MFA) werden neben Passwörtern noch andere Kriterien überprüft. Nutzer weisen sich beim Login dadurch zweifelsfrei aus. Wie die Multifaktor-Authentifizierung funktioniert, warum sie oft falsch verstanden wird und warum sie für Unternehmen so wichtig ist, erfahren Sie von Mittelstand Heute hier.
Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):
- Diese Faktoren gibt es für die MFA
- MFA verringert Effektivität von Identitätsdiebstahl um 99 Prozent
- 5 Missverständnisse um die Multifaktor-Authentifizierung
- Die Multifaktor-Authentifizierung als idealer Einstieg in Zero Trust
- FAQ: Multifaktor-Authentifizierung (MFA)
Diese Faktoren gibt es für die MFA
Wie der Name sagt, gibt es mehrere Faktoren, auf die ein Nutzer zurückgreifen kann, um sich im Netzwerk zu authentifizieren:
- Besitzfaktor: Dieser Faktor bezieht sich auf Dinge, die der Nutzer hat. Das können Hardware-Token wie USB-Sticks, Smart Cards, Einmalpasswörter oder SMS-PINs sein. Über den physischen Besitz weist sich der Nutzer aus.
- Wissensfaktor: Dieser Faktor beinhaltet Informationen aus dem Gedächtnis der Anwender. Darunter fallen Passwörter und Sicherheitsfragen, die individuell festgelegt wurden. Der Trend geht jedoch mehr und mehr zur passwortlosen Authentifizierung.
- Inhärenzfaktor: Hierunter fallen Kriterien, die den Benutzer ausmachen. Das kann der biometrische Fingerabdruck, das Gesicht oder die Retina sein. Es sind physische Merkmale, die eine Person eindeutig identifizieren.
- Ort-, Zeit-Faktor: Dabei geht es darum, den Anwender anhand des Orts, von dem ein Login-Versuch kommt, und des Zeitpunkts, zu dem er stattfindet, zu authentifizieren.
MFA verringert Effektivität von Identitätsdiebstahl um 99 Prozent
Für die meisten Unternehmen ist ein reiner Passwortschutz für Firmen-Logins nicht mehr ausreichend. Denn ein Datenleck kann weitreichende Folgen haben. Von Industriespionage über Ransomware bis zum Produktionsstillstand ist alles möglich. Laut Bitkom entsteht der deutschen Wirtschaft durch Cyberangriffe jährlich ein Schaden in Höhe von 223 Milliarden Euro. Identitätsdiebstahl ist dabei ein probates Mittel für Hacker. Denn, wenn sie Zugriff über einen Firmenaccount haben, sind sie nicht nur im Netzwerk, sondern verfügen möglicherweise noch über umfangreiche Berechtigungen.
Microsoft fand in einer Untersuchung heraus, dass MFA die Effektivität von Identitätsdiebstahl um 99 Prozent verringert. Warum nutzten dann bis Ende 2020 nur 52 Prozent der Unternehmen in Deutschland eine Multifaktor-Authentifizierung? Das Kosten-Nutzen-Verhältnis scheint hier für einige Unternehmen nicht eindeutig zu sein.
5 Missverständnisse um die Multifaktor-Authentifizierung
Im Zusammenhang mit MFA gibt es vor allem im B2B-Kontext noch einige Missverständnisse. Fünf davon sollen hier erklärt werden:
1. „MFA lohnt sich nicht, wenn der Großteil der Belegschaft keine Firmenhandys hat...“
Der Besitzfaktor ist ein Kriterium, über das sich ein Nutzer authentifizieren kann. Es ist jedoch der Grundsatz der Multifaktor-Authentifizierung, dass es verschiedene Wege gibt, sich „auszuweisen“. Ein PIN oder Einmalpasswort lassen sich beispielsweise per Mail versenden. Physische Authentifizierungs-Token müssen nichts mit einem Mobiltelefon zu tun haben. Außerdem muss nicht sofort jeder Mitarbeiter bei einem MFA-Projekt einbezogen werden.
Privilegierte Zugänge sollten zuerst bedacht werden. Verschaffen sich Hacker Zugriff über diese Accounts, ist das Schadenspotenzial hoch. Denn privilegierte Anwender haben durch ihre weitreichenden Berechtigungen häufig Zugriff auf geschäftskritische Daten und Systeme. Dementsprechend kann ein Unternehmen bereits einen soliden Grundschutz gewährleisten, wenn es die privilegierten Entitäten über MFA sichert.
2. „MFA ist komplex und schwierig einzuführen...“
Es kommt darauf an, welchen Umfang ein Unternehmen bei einem MFA-Projekt anstrebt. Sollen direkt alle Zugänge über eine Multifaktor-Authentifizierung verfügen? Dann wird der Aufwand, je nach Firmengröße, dementsprechend hoch sein. Ist es jedoch das Ziel, zuerst die privilegierten Identitäten zu schützen, hält sich die Komplexität des Projekts in Grenzen. Basierend auf diesen Erfahrungen können die Verantwortlichen entscheiden, ob MFA auf weiteren Ebenen eingeführt werden soll oder nicht. Die IT-Sicherheit wird durch jeden einzelnen Zugang mit MFA-Schutz verbessert.
3. „MFA bringt doch kaum Mehrwert...“
Manche denken: „Ein Passwort ist schnell geknackt – und ein zweiter Faktor doch bestimmt in nur unwesentlich längerer Zeit.“ Genau hier liegt jedoch der Vorteil von MFA: Denn erst die Kombination aus 2 Faktoren ist ungleich effektiver als die Summe der einzelnen Faktoren.
4. „Kommt ein Faktor abhanden, ist es schwierig ihn wiederzubeschaffen...“
Stimmt, das ist schließlich der Hintergedanke der MFA. Das führt erst einmal zu Mehraufwand. Der verlorene Faktor muss ersetzt werden. Ein stichhaltiges Argument gegen MFA ist das trotzdem nicht. Der Mehraufwand, den ein abhandengekommener Faktor auslöst, ist – verglichen mit einer kompromittierten Firmen-IT – ein verkraftbarer Preis. Zudem kann das Unternehmen den Mehraufwand für eine Wiederbeschaffung minimieren, wenn es den Verlust eines Faktors vorab beim Roll-Out von MFA mit einkalkuliert – zum Beispiel, indem es User Self Services etabliert.
5. „Die Usability wird eingeschränkt – je mehr Faktoren, desto komplexer wird der Login...“
Ja, je mehr Faktoren überprüft werden, desto länger dauert der Login-Vorgang. Für digital weniger versierte Mitarbeiter kann das eine Herausforderung sein. Hier müssen Kosten und Nutzen abgewogen werden. Bei den Kosten stehen möglicherweise ein zusätzlicher Schulungsaufwand für einige Mitarbeiter und unter Umständen überschaubare Produktivitätseinbußen. Unternehmen können diese jedoch durch Maßnahmen wie Conditional Access und Single Sign-on (SSO) abmildern.
Die Multifaktor-Authentifizierung als idealer Einstieg in Zero Trust
Bei einer Zero-Trust-Infrastruktur „misstraut“ das System allen Entitäten im oder außerhalb des Netzwerks. Es geht so vor, als hätte bereits ein Angriff stattgefunden. Eine Authentifizierung muss für jede Netzwerkebene und Handlung erfolgen. Auch oder eher gerade privilegierte Nutzer müssen sich so immer authentifizieren. Multifaktor-Authentifizierung ist ein Weg, wie sich Zero Trust umsetzen lässt. Für weiterführende Informationen zu Zero Trust empfehlen wir folgenden Beitrag...
Zum Thema
Es gilt: Vertraue niemandem!
Was ist Zero Trust und wie gelingt Ihnen der Einstieg?
2 Tipps zur Umsetzung von MFA in einer Zero-Trust-Infrastruktur:
1. Conditional Access
Es bietet sich an, MFA und Conditional Access zu kombinieren: Dabei wird eine zusätzliche Authentifizierung bei gewissen Voraussetzungen grundsätzlich erzwungen, beispielsweise bei Auffälligkeiten wie der "impossible travel" (zu deutsch: "unmögliche Reise"): Meldet sich ein Mitarbeiter normalerweise immer um 9:00 MEZ aus Berlin an, plötzlich jedoch kommt der Log-in-Versuch um 19:00 EDT aus New York, wird der Zugang erst einmal verwehrt und eine weitere Authentifizierung abgefragt.
Eine Kombination von Conditional Access und MFA könnte so aussehen: Um auf vertrauliche Unternehmensdaten zuzugreifen, müssen sich Nutzer aus dem Unternehmensnetzwerk und mit einem sicherheitsüberprüften Firmengerät anmelden. Für den eigentlichen Login müssen Nutzer dann Nutzername und Passwort sowie einen per SMS versandten PIN eingeben.
2. Single Sign-on (SSO)
Mit SSO können sich Nutzer einmal einloggen und sind dann für alle Systeme und Anfragen, für die sie berechtigt sind, authentifiziert. Der Zweck von Single Sign-on ist es, dass sich der Benutzer nur einmal über ein Authentifizierungsverfahrens – zum Beispiel durch Passworteingabe – authentifizieren muss. Bei darauf folgenden Authentifizierungen übernimmt dann der SSO-Mechanismus diese Aufgabe, indem die Authentifizierung automatisiert abläuft.
FAQ: Multifaktor-Authentifizierung (MFA)
Was ist eine Multifaktor-Authentifizierung?
Das ist ein Prozess, bei dem sich ein Nutzer für den Login in ein System über mehrere Faktoren authentifiziert.
Wie viele Faktoren-Gruppen gibt es bei der Multifaktor-Authentifizierung?
Es gibt drei bis fünf Faktoren-Gruppen: Der Besitzfaktor umfasst physische Authentifizierungs-Token wie USB-Sticks oder per SMS verschickte PINs. Der Wissensfaktor beinhaltet Passwörter oder Sicherheitsfragen, die der Nutzer in seinem Gedächtnis abgespeichert hat. Der Inhärenzfaktor beschreibt eindeutig zuzuordnende Merkmale der Benutzer, wie den biometrischen Fingerabdruck. Zusätzlich gibt es noch die Faktoren Ort und Zeit. Dabei geht es darum, den Anwender anhand des Orts, von dem ein Login-Versuch kommt, und des Zeitpunkts, zu dem er stattfindet, zu authentifizieren.
Was ist ein MFA-Token?
MFA-Token sind Gegenstände, die zur Authentifizierung von Nutzern dienen. Das können USB-Sticks oder Chipkarten sein, die ein System zweifelsfrei erkennt. PINs oder Einmalpasswörter, die per Mail oder SMS versandet werden, fallen ebenfalls in diese Gruppe.
Was ist der Unterschied zwischen 2FA und MFA?
Die Zwei-Faktor-Authentifizierung ist eine Form der Multifaktor-Authentifizierung. Bei der 2FA kommen zwei Faktoren zum Einsatz, bei der MFA zwei oder mehr Faktoren.
Was bedeutet passwortlose Authentifizierung?
Die passwortlose Authentifizierung bietet Benutzern die Möglichkeit, sich selbst zu verifizieren, ohne dass sie sich dabei Passwörter merken oder diese manuell eingeben müssen.
Quelle Aufmacherbild: bestforbest/stock.adobe.com
Auch Interessant
