Was ist Multifaktor-Authentifizierung (MFA)?
Multifaktor-Authentifizierung (MFA) ist ein mehrstufiges Sicherheitssystem, das Benutzern erst Zugriff auf ein Netzwerk gewährt, wenn sie ihre Identität mit mehr als einem Anmeldedatensatz oder einem Authentifizierungsfaktor bestätigt haben. Dies erfolgt in der Regel durch eine Kombination aus Benutzername und Kennwort sowie einem weiteren Faktor, zum Beispiel ein Verifizierungscode oder ein Einmalkennwort (One-Time Password, OTP) per SMS oder E-Mail, ein Sicherheitstoken aus einer Authentifizierungs-App oder ein biometrisches Identifikationsmerkmal.
Unternehmen können ihre Sicherheit durch die Abfrage mehrerer Authentifizierungsfaktoren erheblich verbessern, denn selbst wenn der erste Authentifizierungsfaktor kompromittiert oder deaktiviert ist, wird der Zugriff erst dann gewährt, wenn der Benutzer auch im Besitz des zweiten Authentifizierungsfaktors ist.
Multifaktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) im Vergleich
Der Begriff Zwei-Faktor-Authentifizierung (2FA) wird häufig synonym mit MFA verwendet. Genau genommen ist 2FA eine Art von Multifaktor-Authentifizierung, die Benutzer auf zwei Authentifizierungsfaktoren beschränkt, während MFA mindestens zwei Formen der Authentifizierung verlangt.
Standardmäßig verfahren die meisten MFA-Systeme nach dem 2FA-Modell. Doch einige Unternehmen verlangen weitere Authentifizierungsmethoden, besonders wenn Benutzer von ungewöhnlichen oder verdächtigen Standorten aus auf das Netzwerk oder auf Ressourcen zugreifen wollen.
Die Bedeutung der Multifaktor-Authentifizierung
Analysen des CrowdStrike OverWatch™-Teams belegen, dass 80 % aller Kompromittierungen auf Identitätsmissbrauch zurückgehen. Identitätsbasierte Angriffe lassen sich nur extrem schwer mit herkömmlichen Sicherheitsmaßnahmen und Tools erkennen, da diese Lösungen meist nicht darauf ausgelegt sind, die Aktivitäten genehmigter Benutzer zu überwachen. Zudem erkennen sie nicht, ob die Anmeldedaten eines autorisierten Benutzers kompromittiert wurden.
MFA gilt als Kernkomponente eines robusten IAM-Frameworks (Identity and Access Management, Identitäts- und Zugriffsverwaltung). Deshalb ist MFA hauptsächlich ein Tool für die Zugriffskontrolle und keine Sicherheitslösung.
Anders ausgedrückt: MFA kann Benutzern, die ihre Identität nicht verifizieren können, den Zugriff verweigern, doch sie kann nicht unterscheiden, ob eine Anfrage von einem legitimen Benutzer oder von einem Angreifer stammt, der sich als solcher ausgibt. Wurde dem Benutzer einmal Zugriff auf ein Netzwerk, eine Anwendung, ein Endgerät oder ein System gewährt, hat die MFA-Lösung zudem keine Möglichkeit, identitätsbasierten Angriffe in Echtzeit zu erkennen oder abzuwehren.
Daher sollte MFA als eine Komponente eines weiter gefassten IAM-Frameworks und lediglich als ein Bindeglied innerhalb einer umfassenden Cybersicherheitsstrategie und -architektur betrachtet werden.
So funktioniert Multifaktor-Authentifizierung
Bei der MFA wird zusätzlich zu Benutzer-ID und Kennwort mindestens ein weiterer Authentifizierungsfaktor abgefragt. Die meisten Authentifizierungsfaktoren lassen sich in eine der folgenden Kategorien einteilen:
1. Etwas, das man weiß
Damit sind Anmeldedaten gemeint, die auf dem Wissen des Benutzers basieren. Sie sind die einfachste und häufigste Form der Verifizierung. Dazu gehören vom Benutzer angelegte PINs und Kennwörter sowie Antworten auf Sicherheitsfragen.
2. Etwas, das man besitzt
Bei dieser Art von Anmeldedaten müssen Benutzer zuvor Assets wie Sicherheitstoken oder Zertifikate generieren oder erhalten. In der Regel erfolgt dies durch Authentifizierungs-Apps wie Google Authenticator und Microsoft Authenticator oder über Einmalkennwörter mit zeitlich begrenzter Gültigkeit, die per SMS, E-Mail oder mit einem sicheren Link verschickt werden.
3. Etwas, das man selbst ist
Dieser Verifizierungsfaktor lässt sich am schwersten nachahmen. Dazu zählen biometrische Identifikatoren, die auf körperlichen Merkmalen wie Fingerabdrücken, Gesichtszügen und Iris oder Verhaltensmerkmalen wie Tastenanschlägen beruhen.
Gängige Methoden der Multifaktor-Authentifizierung
Viele Benutzer kennen vor allem MFA-Methoden, bei denen Einmalkennwörter oder biometrische Merkmale eingesetzt werden. Es gibt jedoch viele andere Arten der Multifaktor-Authentifizierung, die jeweils unterschiedliche Verifizierungsmethoden verwenden. Nachfolgend gehen wir auf die gängigsten Authentifizierungsmethoden ein und erklären ihre Funktionsweise.
Einmalkennwörter (One-Time Password, OTP)
Einmalkennwörter werden am häufigsten als MFA-Faktor verwendet. Sie bestehen aus Zahlencodes, die per E-Mail, SMS oder über eine Mobilgeräte-App wie Google Authenticator, Microsoft Authenticator oder Salesforce Authenticator verschickt werden. Einmalkennwörter werden entweder nach Ablauf einer bestimmten Zeitspanne oder jedes Mal neu generiert, wenn eine Authentifizierungsanfrage erfolgt. Der Code basiert auf einem Grundwert, der Benutzern bei ihrer ersten Registrierung zugewiesen wird, sowie einem weiteren zeitabhängigen Faktor.
Biometrische Merkmale und Verhaltensanalysen
Eine weitere gängige MFA-Technik ist die Messung angeborener biometrischer Merkmale (z. B. Fingerabdrücke, Gesichtszüge, Iris bzw. Netzhaut oder die Stimme) zur Bestätigung von Benutzeridentitäten. Anfangs galt diese Technik zwar als ein äußerst zuverlässiger Authentifizierungsfaktor, allerdings schwand die Begeisterung schnell, als klar wurde, dass sie mittels 3D-Druck und KI-generierten Fingerabdrücken umgangen werden kann.
In geringem Maße verwenden einige Unternehmen auch Verhaltensmerkmale, um die Benutzeridentität zu bestätigen. Diese Methode arbeitet mit individuellen und messbaren Mustern im Verhalten einer Person. Ein Beispiel dafür sind Tastaturanschläge, deren Geschwindigkeit, Rhythmus und Druck während des Tippens analysiert wird.
Soft-Token-SDKs (Software Development Kits)
Bei dieser Verifizierungsmethode dienen kryptographische Funktionen wie digitale Signaturen, die in Mobilgeräte-Apps eingebettet sind, der Authentifizierung von Benutzern und Geräten. Soft-Token-SDKs bieten ein reibungsloses Benutzererlebnis, da die Benutzer nicht zwischen einzelnen Anwendungen wechseln und kein Hardware-Gerät verwenden müssen.
OTP-Hardware-Token
OTP-Hardware-Token werden häufig im Bankwesen eingesetzt. Es handelt sich dabei um Geräte, die mithilfe eines kryptographischen Schlüssels die Codes für den einmaligen Gebrauch generieren. Der Schlüssel ist dabei auf dem Gerät und dem Server gespeichert ist. Während der Anmeldung gleicht das System den Geräteschlüssel mit dem Serverschlüssel ab und authentifiziert so den Benutzer.
Smartcards und kryptographische Hardware-Token
Smartcards und kryptographische Hardware-Token sind Geräte, die kryptographische Funktionen wie Entschlüsselung und Signierung durchführen können. Die internen Schlüssel befinden sich dabei in einer vollständig isolierten Umgebung und sind somit vor physischem Zugriff geschützt. Sie werden zur Anmeldung an Rechnern (z. B. mit der Windows-Smartcardanmeldung) und zur Autorisierung von Transaktionen mittels digitaler signaturbasierter Verifizierung genutzt. Smartcards funktionieren entweder kontaktlos oder erfordern ein spezielles Lesegerät, während kryptographische Hardware-Token über USB verbunden werden müssen.
Vorteile der Multifaktor-Authentifizierung
MFA bietet Unternehmen viele wichtige Vorteile:
1. Bessere Sicherheit
Obwohl MFA genau genommen kein Sicherheitstool ist, ist sie eine wichtige Schutzmaßnahme für Unternehmen, da damit nur vollständig authentifizierten Benutzern Zugriff auf Systeme und Netzwerke gewährt wird.
Wenn die Benutzer gezwungen werden, sich mit einem oder mehreren MFA-Faktoren (z. B. OTP, biometrische Merkmale oder physische Hardware-Schlüssel) zu verifizieren, haben es Hacker und andere Cyberkriminelle deutlich schwerer, sich als legitime Benutzer auszugeben und Zugriff zum System zu erlangen. Das bedeutet nicht nur, dass sich Cyberkriminelle auf anderen Wegen Zugriff verschaffen müssen, sondern dass solche Aktivitäten auch sehr viel häufiger von herkömmlichen Sicherheitsmaßnahmen erkannt und gestoppt werden können.
2. Reibungsloser Zugang für Remote-Arbeit
Der flächendeckende Wechsel zur Hybrid- und Remote-Arbeit hat Unternehmen deutlich anfälliger für Cyberangriffe und Kompromittierungen gemacht, da die Mitarbeiter über private Netzwerke und Geräte auf die Anwendungen, Dokumente und Daten der Unternehmen zugreifen. Gleichzeitig sind die Mitarbeiter gestresst, wenn sie sich in einer einzigen Arbeitssitzung bei einer Reihe von Konten anmelden müssen.
MFA sorgt in Kombination mit hochentwickelten Anmeldetechniken wie Single Sign-On (SSO) für eine zusätzliche Sicherheitsebene und vereinfacht den Anmeldeprozess für legitime Benutzer. Sobald die Benutzer per SSO verifiziert wurden, meldet das System sie automatisch an und gewährt ihnen Zugriff auf Anwendungen und Dokumente, ohne dass sie sich für die jeweiligen Anwendungen nochmals anmelden müssten.
3. Bessere Einhaltung gesetzlicher Vorgaben
Daten- und Identitätssicherheit ist vor allem für Unternehmen in Branchen wichtig, in denen es vermehrt zu Angriffen kommt, z. B. Gesundheitsdienstleister, Bildungseinrichtungen, Medizintechnikunternehmen, Finanzdienstleister und Militäreinrichtungen. Obwohl viele Untersuchungen das Gegenteil zeigen, sind die meisten IT-Teams in Unternehmen davon überzeugt, dass sie führende Cybersicherheitsstandards einhalten.
Häufig ist Multifaktor-Authentifizierung eine Voraussetzung für die Einhaltung von Branchenbestimmungen. Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Beispiel für eine gesetzliche Vorgabe für Unternehmen, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln. Er schreibt die Implementierung von MFA vor, um nicht autorisierten Systemzugriff zu verhindern. Sollte ein System durch Anwendungs-Updates instabil werden, sorgt MFA dafür, dass es mit 99 %iger Sicherheit vor Angriffen geschützt ist.
Herausforderungen bei der Multifaktor-Authentifizierung
Wie bei jeder technischen Lösung kann es auch bei der Implementierung und Umsetzung von MFA zu Herausforderungen kommen. Nachfolgend einige Beispiele:
- Wenn Mitarbeiter Telefone oder andere private Geräte verlieren, die Teil des mehrschichtigen Schutzsystems sind, kann dies kurzfristig ihren Zugriff auf das System und dadurch ihre Produktivität beeinträchtigen.
- Biometrische Daten, die für MFA-Algorithmen genutzt werden, müssen sorgfältig und präzise eingegeben werden. Wenn es bei der Eingabe der Ausgangsdaten zu Fehlern kommt, kann das System False Positives oder False Negatives produzieren.
- Unter Umständen kann die MFA-Authentifizierung vorübergehend nicht verfügbar sein, wenn es im Unternehmen zu einem Netzwerkausfall kommt.
FRICTIONLESS ZERO TRUST. ''NEVER TRUST, ALWAYS VERIFY''
Die herkömmliche Verifizierungsmethode nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“, bei der vertrauenswürdigen Benutzern und Endgeräten automatisch Zugriff zum Netzwerk gewährt wurde, macht Unternehmen für eine Vielzahl an Sicherheitsbedrohungen anfällig. Erfahren Sie, warum dieser Ansatz überholt ist und welche fünf Best Practices für die Implementierung eines reibungslosen Zero-Trust-Modells wir empfehlen.
Infografik herunterladenDie Zukunft der Multifaktor-Authentifizierung
MFA bietet keineswegs hundertprozentigen Schutz. Cyberkriminelle arbeiten unermüdlich an der Entwicklung neuer Kompromittierungstechniken und versuchen dabei natürlich auch, MFA-Sicherheitsmaßnahmen zu umgehen, Token abzufangen oder sekundäre Anmeldedaten zu fälschen. Diese potenziellen Schwachstellen müssen durch die kontinuierliche Verbesserung von MFA-Techniken beseitigt und durch andere Sicherheitstools und -lösungen abgesichert werden, damit sich Unternehmen vor diesen neuen Bedrohungen schützen können.
Neben der Implementierung der MFA sollten Unternehmen auch ihre Sicherheit durch die folgenden Best Practices der Identitätssicherheit verbessern. Im Falle einer Kompromittierung sollen damit Netzwerkzugriffe sowie Kontoberechtigungen eingeschränkt und die Bewegungen der Hacker eingedämmt werden.
- Least-Privilege-Prinzip: Das Least-Privilege-Prinzip (Principle of Least Privilege, POLP) ist ein Konzept und Verfahren zur Gewährleistung der Computersicherheit, bei dem Benutzern lediglich die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen. Mit diesem Ansatz wird sichergestellt, dass nur autorisierte Benutzer, deren Identität verifiziert wurde, über die Berechtigungen zum Ausführen verschiedener Tätigkeiten innerhalb bestimmter Systeme, Anwendungen, Daten und anderen Ressourcen verfügen. POLP gilt weithin als eines der effektivsten Verfahren zur Stärkung der Cybersicherheit von Unternehmen, da es ihnen die Kontrolle und Überwachung des Netzwerk- und Datenzugriffs ermöglicht.
- Zero Trust: Zero Trust ist ein Sicherheits-Framework, bei dem alle Benutzer innerhalb und außerhalb des Unternehmensnetzwerks authentifiziert, autorisiert und permanent validiert werden müssen, bevor sie Zugriff auf Anwendungen und Daten erhalten. Dabei kommt eine Kombination aus hochentwickelten Technologien wie risikobasierte Multifaktor-Authentifizierung (MFA), Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Darüber hinaus müssen bei Zero Trust auch Überlegungen hinsichtlich der Verschlüsselung von Daten, der Sicherung von E-Mails sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt werden, bevor eine Verbindung mit Anwendungen zugelassen wird.
- Zugriffsrechteverwaltung (PAM): Zugriffsrechteverwaltung (Privileged Access Management, PAM) ist eine Cybersicherheitsstrategie, bei der es vor allem um den Schutz der Anmeldedaten für Administratorkonten geht.
- Identitätssegmentierung: Identitätssegmentierung ist eine Methode, um Benutzerzugriff auf Anwendungen bzw. Ressourcen anhand von Identitäten zu beschränken.
- IT-Hygiene: Ein IT-Hygiene-Tool bietet einen Überblick über die Nutzung von Anmeldedaten im Unternehmen, um potenziell schädliche Administratoraktivitäten zu erkennen. Mithilfe der Kontenüberwachungsfunktion kann das Sicherheitsteam nach Konten suchen, die die Angreifer angelegt haben, um langfristigen Zugang zu erhalten. Die Funktion trägt zudem dazu bei, dass Kennwörter regelmäßig geändert werden, damit gestohlene Anmeldedaten nur zeitlich begrenzt einen Nutzen haben.