Mit einem starken Authentifizierungsmechanismus lassen sich mehr als 9 von 10 Angriffen abwehren. Das ist mittlerweile weitestgehend bekannt und unumstritten. Wir greifen jeden Tag auf Systeme zu, die einen Benutzernamen und ein Passwort erfordern. Die öffentlichkeitswirksamen Hacks und Datenschutzverletzungen der letzten Jahre haben vielen die Augen dafür geöffnet, wie anfällig solche Logins sein können.

“Advanced Authentication” oder Multi-Faktor-Authentifizierung ist heute geradezu Pflicht. Es gibt aber ein paar Dinge zu beachten – unabhängig von der jeweiligen Lösung.

Wie gut funktioniert Multi-Faktor-Authentifizierung (MFA)?

MFA ist im Grunde einfach ein Anmeldeverfahren, bei dem Benutzer nicht bloß ihre Credentials eingeben, sondern zwei oder mehr Nachweise vorlegen müssen, bevor sie sich bei einem Konto anmelden können.

Der offensichtliche Vorteil der Multi-Faktor-Authentifizierung ist die erhöhte Sicherheit durch das Hinzufügen zusätzlicher Schutzebenen, was bedeutet, dass es für einen potenziellen Eindringling schwieriger wird, Zugang zu Konten und Daten zu erhalten.

Das hat nachweislich einen riesigen Effekt auf die Sicherheit. Aber MFA ist kein Zaubermittel. Neben den unbestreitbaren Vorteilen gibt es einige Herausforderungen, die bei der Implementierung einer Multi-Faktor-Authentifizierung zu beachten sind.

Problem 1: Die Akzeptanz ist im Allgemeinen gering

Multi-Faktor-Authentifizierung kann eine Hürde sein. Für einige Benutzer möglicherweise sogar eine zu viel. Auch wenn viele Arbeitnehmer mit MFA vertraut sind, können technisch weniger versierte Mitarbeiter die Anmeldung als Herausforderung empfinden.

Ein wichtiger Grund dafür ist, dass für die meisten Anmeldungen immer noch Passwörter erforderlich sind. Die Benutzer müssen dann nicht nur das Passwort verwalten, sondern auch noch die zusätzlichen Sicherheitsebenen:

Apps

SMS-Nachrichten

Code-Karten

USB-Sticks

PIN-Geräte

Sicherheitsfragen

und vieles mehr.

Das führt dazu, dass sich die Menschen Strategien zurechtlegen, um sich das Leben zu vereinfachen. Eine Studie zeigt, dass schätzungsweise 55 % der Internetnutzer das gleiche Passwort für all ihre Konten verwenden, was die Notwendigkeit von MFA nur zusätzlich unterstreicht. Da die Cybersicherheit für Unternehmen in Zukunft sehr wichtig bleiben wird, werden Aufklärung der Mitarbeiter über die Bedeutung der Sicherheit und eine angemessene Schulung zum Umgang mit MFA einen wichtigen Platz einnehmen müssen.

Problem 2: Zugangscodes können gestohlen werden

Währenddessen sind Angreifer damit beschäftigt, neue Wege zu finden, um diese neuen Schutzebenen zu durchbrechen. Ein kürzlich veröffentlichtes Penetrationstest-Tool kann laut ZDNet ziemlich einfach Phishing-Angriffe automatisieren und durch gestohlene Zugangscodes selbst MFA-gesicherte Logins hacken – sofern diese nur mittels einfacheren Methoden doppelt geschützt sind wie z.B. mit Sicherheitsfragen oder SMS-Codes. Es ist also auch wichtig, sich für starke sekundäre (und tertiäre) Sicherheitsebenen zu entscheiden, wo keine Zugangscodes gestohlen werden können wie z.B. biometrische Faktoren.

Problem 3: Springen von einem Konto zum nächsten

Ein weiteres Problem ist, dass ein gehacktes Konto eine Goldgrube sein kann, um weitere Konten zu kompromittieren. Das Kundenkonto beim kleinen, unbekannten Tee-Shop ist nicht wichtig? Vorsicht. Ist ein Angreifer in ein noch so unwichtiges Konto eingedrungen, ist er oft in der Lage, den “Seed” oder den geheimen Schlüssel eines TOTP (zeitbasiertes Einmalpasswort) zu extrapolieren und darüber Zugang zu höherwertigen Zielen wie Bankkonten zu erhalten.

Hier helfen nur eine gute Passwort-Hygiene (was bedeutet, überall ein anderes, sicheres Passwort zu benutzen) und eine starke MFA, am besten mittels KI-unterstützter dynamischer Faktoren, die kontext-, zeit-, standort- oder prozessgebunden sind. Ein Beispiel: Wenn Sie sich mit Ihrem Smartphone gerade in Zürich befinden, dann ist es unwahrscheinlich, dass Sie sich gleichzeitig in Singapur in Ihr E-Banking einloggen.

Problem 4: Multi-Faktor-Authentifizierung – einfach rasch einführen und gut?

Aus Sicht der IT mögen die meisten Authentifizierungsmechanismen ähnlich sein. Ob SMS, eine Extra-App oder ein Hardware-Token am Schlüsselbund. Aber die Benutzer sehen das meist anders. Unabhängig von der Branche müssen IT-Führungskräfte für einen nahtlosen Übergang zu MFA sicherstellen, dass die betroffenen Benutzer zuerst angehört und danach auch vorgewarnt und auf die Umstellung vorbereitet werden. Die meisten Probleme im Zusammenhang mit MFA sind auf mangelndes Bewusstsein und fehlende Akzeptanz der Benutzer zurückzuführen!

Wir haben oben schon die Wichtigkeit von Information und Aufklärung angesprochen. Security braucht einen kulturellen Steckplatz im Unternehmen und der ist nicht einfach da, sondern er muss vorbereitet werden. Das ist mühsam und aufwändig und hat mit IT nichts zu tun. Daher machen es die meisten Verantwortlichen auch nicht oder nur missmutig. Es kann jedoch nicht genug betont werden, wie gefährlich das ist. Es ist ein Fakt, dass genau dadurch ein erhebliches Sicherheitsrisiko entsteht.

Right authentication experience - balance
CyberRes “Go Password-Less or Use MFA With Your Existing Authentication”

MFA ist nicht das Ziel, nur der Weg

Von der Authentifizierung wird erwartet, dass sie die Sicherheit erhöht ohne zu stören. Sie ist nicht das Ziel, nicht der Gewinn, sondern vielmehr eine Hypothek. Eine schlechte Umsetzung bedeutet häufige Fehler, viele IT-Tickets und Anfragen zur Passwortrücksetzung, lange Wartezeiten und die mögliche Preisgabe sensibler Informationen.

Als besonders wichtig hat sich herausgestellt, dass der Workflow der Nutzer berücksichtigt wird. MFA muss sich nahtlos in den Workflow integrieren. Zentrales Element dabei ist Single Sign-On: Der Benutzer authentifiziert sich einmal zentral und im Hintergrund werden seine Credentials in alle wichtigen Zielsysteme föderiert, so dass er mit allen Systemen arbeiten kann, ohne sich einzeln anmelden zu müssen. Ist das sichergestellt, so steigt die Akzeptanz für die einmalige zentrale Anmeldung enorm, selbst wenn diese relativ mühsam ist, weil sie aus mehreren Faktoren besteht.

Wenn es zudem gelingt, das Passwort zu eliminieren, so ist Ihnen nicht nur die Akzeptanz sicher, sondern mit hoher Wahrscheinlichkeit sogar der Dank der Mitarbeiter. Und ja, mit einer flexiblen Lösung ist das möglich! Und es macht das Ganze noch sicherer.

Die Herausforderungen sind real, aber eine fortschrittliche Authentifizierung umzusetzen ist machbar. Mit dem richtigen Vorgehen ist der Erfolg so gut wie sicher. Sie ermöglichen damit Ihren Mitarbeitern ein besseres Verständnis für ihre Verantwortung, wenn es um die Sicherheit und den Schutz Ihrer Daten und Assets geht.

 💡 Quellen:

ITProPortal “The challenges of multi-factor authentication in your security program”