Es war einmal eine Zeit, in der Benutzername und Passwort ausreichten, um auf Online-Konten zugreifen zu können. Das war praktisch für die Benutzer – aber auch praktisch für Hacker, die nur zwei statische Zeichenketten abgreifen mussten, um uneingeschränkten Zugriff auf ein System zu erhalten, bis ihr Opfer (oder die IT-Abteilung des Opfers) merkte, dass etwas nicht stimmte.
Aus diesem Grund hat sich die Multifaktor-Authentifizierung (MFA) schnell durchgesetzt. Durch den relativ geringen Preis eines zusätzlichen Schritts im Anmeldevorgang wurde es für Kriminelle viel schwieriger, Zugang zu gesicherten Systemen zu erhalten. Da immer mehr Organisationen in die Cloud wechseln, ist die Komplexität von Cyberangriffen gestiegen und Bedrohungsakteure haben Mittel und Wege gefunden, die MFA-Abwehr zu umgehen oder sogar die Art und Weise, wie sie implementiert wird, zu untergraben.
Sie sollten sich daher informieren, warum MFA nicht ausreicht und welche anderen Maßnahmen ergriffen werden sollten, um sich zu schützen.
Was ist eine Multifaktor-Authentifizierung?
Die Multifaktor-Authentifizierung ist eine Form der Kontosicherung, bei der Benutzer ihre Identität in mehreren Schritten nachweisen müssen. Organisationen verwenden MFA häufig in Kombination mit Single-Sign-On-Systemen (SSO), um ein einheitliches Sicherheitsniveau zu gewährleisten und gleichzeitig die Notwendigkeit einer Vielzahl von Anmeldeinformationen und Anmeldebildschirmen zu reduzieren.
Aber wie funktioniert die Multifaktor-Authentifizierung? Eine MFA-Anmeldung beginnt in der Regel mit der herkömmlichen Kombination aus Benutzername und Passwort. Sobald diese angegeben wurden, verlangt ein MFA-System vom Benutzer, nachzuweisen, dass er Zugriff auf etwas hat, das nur er besitzen kann. In den Anfängen der MFA bedeutete dies oft die Eingabe des Codes, der auf einem physischen Token, z. B. einem Schlüsselanhänger, angezeigt wurde. Mit der zunehmenden Verbreitung von Smartphones begannen MFA-Systeme auch, dedizierte Authentifizierungs-Apps sowie per E-Mail und SMS gesendete Codes zu unterstützen.
Da MFA-Codes in der Regel nur einige Minuten gültig sind und der zur Generierung verwendete Seed nur dem gesicherten System und dem dazugehörigen Authentifizierungsgerät bekannt ist, ist es für Dritte schwierig, Zugriff zu erhalten. Ist die Multifaktor-Authentifizierung also effektiv? Ja – aber nur bis zu einem gewissen Grad.
Warum Multifaktor-Authentifizierung nicht Ihre einzige Verteidigung sein sollte
Eine offensichtliche Schwachstelle eines MFA-Systems besteht darin, dass die zur Generierung seiner Codes verwendeten Seeds kompromittiert werden können. Das ist bereits vorgekommen, und es bedarf keines hochkarätigen Hacks, um MFA-gesicherte Konten zu gefährden.
Social Engineering
Ohne eine angemessene Schulung und automatisierte Überwachung sind Mitarbeiter wahrscheinlich die größte Schwachstelle der MFA-Sicherheit. Cyber-Angreifer könnten sie für Social-Engineering-Angriffe ins Visier nehmen, bei denen sie sich als Mitarbeiter ausgeben, um nach Anmeldedaten und Codes zu fragen.
Diese Art von Angriffen ist sehr raffiniert: Manche sind so banal wie eine Textnachricht von einer unbekannten Nummer, während andere so ausgeklügelt sind wie eine offiziell aussehende E-Mail, die auf eine gefälschte Anmeldeseite verlinkt.
MFA Fatigue Angriffe
Während bei herkömmlichen Social-Engineering-Angriffen falsche Identitäten und sozialer Druck eingesetzt werden, um legitime Benutzer ins Visier zu nehmen, werden diese bei MFA-Fatigue-Angriffen einfach überfordert. Da viele MFA-Systeme Push-Benachrichtigungen, E-Mails oder Textnachrichten senden, mit denen Benutzer ihre Identität mit einem einzigen Klick verifizieren können, können Angreifer das System möglicherweise dazu bringen, diese Nachrichten immer wieder zu senden.
Während ein Benutzer eine einzelne fehlerhafte Authentifizierungsmeldung wahrscheinlich ignorieren würde, ist es viel wahrscheinlicher, dass er einen kontinuierlichen Strom von Warnmeldungen für das Ergebnis einer Störung hält – und der einfachste Weg, all diese lästigen Benachrichtigungen zu stoppen, ist, einfach auf „OK“ zu klicken. Ein Moment der Unachtsamkeit des Benutzers kann für einen Cyber-Angreifer ausreichen, um in ein Netzwerk einzudringen, das ausschließlich durch MFA geschützt ist.
Angriff auf Backup-Authentifizierungsmethoden
Nehmen wir an, die primäre Authentifizierungsmethode eines MFA-Systems sind die biometrischen Informationen auf dem Smartphone eines Benutzers. Das ist ziemlich sicher! Aber Smartphones können verloren gehen oder der Akku kann leer werden. Es müssen auch Backup-Methoden verfügbar sein, damit Benutzer ihre Arbeit ohne Unterbrechung erledigen können. Diese Backup-Methoden, wie z. B. Codes, die an ungesicherte externe E-Mail-Adressen gesendet werden, können möglicherweise leichter gehackt werden.
Erfahrene Bedrohungsakteure wissen, dass sie nicht den stärksten Punkt in Ihrem Sicherheitsbereich überwinden müssen, um Zugang zu erhalten; sie müssen nur die Schwachstelle finden. Deshalb muss die Multifaktor-Authentifizierung durch andere Sicherheitsmethoden ergänzt werden.
Was Sie zusätzlich zu MFA verwenden sollten
Glücklicherweise gibt es viele Lösungen, um Ihre Sicherheitslage zu verbessern, die in Verbindung mit MFA eingesetzt werden können, um dessen Schwächen zu beheben und gleichzeitig die Stärken zu erweitern. Hier sind ein paar Beispiele:
Zero Trust-Architektur
Die zunehmende Nutzung von Cloud-basierten Arbeits- und Datenspeicherlösungen führt zu einer zusätzlichen Komplexität, wenn es darum geht, festzulegen, wer wann auf welche Daten zugreifen darf. Eine Zero Trust-Architektur ist eine effektive Grundlage für dieses Arbeitsmodell, da davon ausgegangen wird, dass jede Anmeldung kompromittiert werden kann.
Durch die Suche nach bekannten Faktoren, wie z. B. etablierten IP-Adressen und vertrauten Anmeldestellen (oft als adaptive Authentifizierung bezeichnet), und die Anforderung, dass sich Benutzer nach jeder Sitzung neu anmelden müssen, reduziert Zero Trust die potenzielle Gefährdung durch einen kompromittierten Anmeldeversuch erheblich.
EDR
Selbst bei einer Zero-Trust-Architektur kann ein Angreifer möglicherweise für eine kurze Zeitspanne auf Ihre Systeme zugreifen, bevor er sich erneut authentifizieren muss – und diese Zeitspanne kann ausreichen, um Ransomware zu installieren oder sensible Daten zu exfiltrieren. Mit Endpoint Detection and Response (EDR)-Sicherheit wird jeder Benutzer in Ihrer Cloud kontinuierlich auf Anzeichen verdächtiger Aktivitäten überwacht, um solche Aktionen sofort zu verhindern.
Nehmen wir zum Beispiel einen Benutzer, der sich normalerweise von zu Hause aus anmeldet, um auf eine Produktivitätssuite zuzugreifen. Wenn er sich von einer anderen Region aus anmeldet und versucht, den Inhalt einer Datenbank herunterzuladen, könnte die EDR-Lösung diese Aktivität automatisch als verdächtig kennzeichnen und den Zugriff des Benutzers einschränken.
Mobile Endpoint Security
Wenn Ihre Organisation zu den vielen gehört, die auf hybride Arbeitsweisen oder Bring-your-own-Device-Richtlinien (BYOD) setzen, dürfen Sie sich nicht auf die Sicherung von Laptops und Servern beschränken. Die Nutzung mobiler Geräte durch Mitarbeiter ermöglicht zwar effizienteres und proaktiveres Arbeiten, setzt Ihre Organisation aber auch einer Vielzahl potenzieller neuer Bedrohungen aus.
Eine Möglichkeit, diese Bedrohungen zu minimieren, ist Lookout Mobile Endpoint Security. Die Lösung nutzt den weltweit größten KI-gesteuerten mobilen Sicherheitsdatensatz, um Ihrem Unternehmen einen beispiellosen Einblick in und Schutz vor mobilen Bedrohungen zu bieten. Mit mehr als 350 Millionen Apps, die auf riskantes Verhalten und andere potenzielle Probleme untersucht wurden, beweist Lookout, dass eine umfassende Mobile Endpoint Security ein wesentlicher Faktor für den Schutz moderner Arbeitsabläufe ist.
Wenn Sie mehr darüber erfahren möchten, wie Unternehmen beim Schutz wichtiger Daten über MFA hinausgehen, sehen Sie sich unser Webinar Understanding the Modern Kill Chain To Keep Data Secure in 2024 an.