Verhindern, dass MFA zum nutzlosen zweiten Passwort wird + Angesichts der immer häufigeren und raffinierteren Cyberangriffe haben viele Unternehmen Multi-Faktor-Authentifizierung (MFA) implementiert, um diesen Bedrohungen auf einfache Weise zu begegnen. MFA ist zu einer gängigen IT-Sicherheitspraxis geworden, weil sie dazu beiträgt, das Least-Privilege-Prinzip durchzusetzen. Hacker verschaffen sich oft Zugang über kompromittierte Benutzerdaten. Sobald sie sich im angegriffenen Netzwerk befinden, können sie sich „seitlich“ bewegen, bis sie ihr Ziel erreichen. MFA verhindert dies, indem Benutzer aufgefordert werden, ihre Identität durch einen zweiten Authentifizierungsfaktor, z. B. eine Push-Benachrichtigung oder ein Token, zu verifizieren.
Es scheint jedoch, dass Hacker Wege gefunden haben, MFA zu umgehen. Jüngste Untersuchungen von Microsoft zeigen, dass immer raffiniertere Angriffe auf MFA entwickelt werden. Der Bericht geht beispielsweise davon aus, dass Cyberkriminelle in der Lage sind, „Pass-the-Cookie“-Angriffe durchzuführen. Bei diesem Vektor kompromittieren die Angreifer das Gerät eines Benutzers mit Malware, um Browser-Cookies zu stehlen. Indem sie die Cookies in ihren eigenen Webbrowser auf einem anderen System übertragen, können sie Authentifizierungsschritte wie MFA umgehen. Microsoft weist darauf hin, dass Benutzer, die mit privaten Geräten auf Unternehmensressourcen zugreifen, besonders gefährdet sind, da die Sicherheitsstandards für private Geräte niedriger sind als für direkt von Unternehmen verwaltete Geräte.
Das Beispiel zeigt: MFA ist in der Schusslinie von Cyberkriminellen. Da es viele verschiedene MFA-Methoden gibt, haben Hacker hart an Wegen gearbeitet, wie sie MFA-Daten abfangen können. Ein weiterer wichtiger Angriffsvektor ist MFA-Phishing. Phishing ist ein Konzept, das sich für Cyberkriminelle bereits bewährt hat, wenn es um Passwörter geht. Benutzer werden dazu gebracht, ihre Anmeldedaten und zusätzliche Authentifizierungsfaktoren preiszugeben. Die Angreifer erstellen in der Regel eine überzeugende Phishing-Website oder versenden Phishing-E-Mails, die legitime Anmeldeseiten oder Authentifizierungsanfragen imitieren. Indem sie die Anmeldedaten des Benutzers und den zweiten Authentifizierungsfaktor wie Einmalpasswörter (OTPs) abfangen, können die Angreifer unbefugten Zugriff auf die Konten der Opfer erlangen.
Angreifer nutzen auch „MFA-Fatigue“ aus – ein Szenario, das Microsoft zufolge auf dem Vormarsch ist. Bei „MFA-Fatigue“ werden Benutzer in kurzer Zeit mit vielen MFA-Anfragen bombardiert. Das Ziel ist es, dass der angegriffene Benutzer eine MFA-Anfrage bestätigt. Dies kann aus Versehen geschehen durch einen Klick auf die falsche Schaltfläche. Oder aber ein Benutzer bestätigt eine MFA-Anfrage in einem spontanen Akt der Frustration, nur um die lästigen mehrfachen MFA-Anfragen loszuwerden. Haben sich Angreifer zusätzlich Zugang zu den Anmeldedaten des Nutzers verschafft, z. B. durch Phishing, können sie dann die Kontrolle über das Konto übernehmen.
Sowohl MFA-Phishing als auch „MFA-Fatigue“-Angriffe sind Beispiele dafür, wie schnell sich die Bedrohungslandschaft weiterentwickelt und warum sich Unternehmen anpassen müssen. Aus diesem Grund stellen mittlerweile viele Cybersicherheitsexperten das Versprechen in Frage, wonach MFA beinahe 100 Prozent der Angriffe verhindern könne. Das scheint aufgrund der jüngsten Entwicklungen bei MFA-Angriffen zu optimistisch.
Angesichts Hunderter anderer, nicht in Zusammenhang mit MFA stehender Angriffsvektoren, bleibt jedoch festzuhalten: Eine Abkehr von MFA ist keine Lösung, um Hacker zu stoppen. MFA ist eine wichtige Komponente einer modernen Cybersecurity-Architektur. Aber wie bei anderen Lösungen auch, reicht sie allein nicht aus, um die IT von Unternehmen zu schützen. Um sicherzustellen, dass ihre digitale Infrastruktur von allen Seiten geschützt und gesichert ist, müssen Unternehmen eine integrierte und dynamische Sicht auf Cybersecurity einnehmen.
Deshalb möchten wir drei Empfehlungen geben, wie Unternehmen sicherstellen, dass ihre MFA-Lösung Bedrohungen tatsächlich fernhält, anstatt nur trügerische Sicherheit vorzuspiegeln.
- MFA muss in eine gut durchdachte Strategie für das Identity- and Access Management (IAM) integriert werden
In Kombination mit dem Diebstahl von Zugangsdaten zielen MFA-Angriffe darauf ab, Zugriff auf ein Mitarbeiterkonto zu erlangen und dann die Kontrolle über das Netzwerk zu übernehmen. Sobald sich Angreifer innerhalb des Perimeters befinden, versuchen sie, sich seitlich zu bewegen, bis sie ihr gewünschtes Ziel im Netzwerk erreichen.
In Anbetracht der erwähnten Möglichkeiten, MFA anzugreifen, sollten sich Unternehmen nicht länger auf einen Perimeter-basierten Ansatz der Cybersecurity verlassen. Die große Mehrheit (91 Prozent) der IT- und Sicherheitsverantwortlichen in Unternehmen hat dies laut einer Umfrage von Imprivata bereits erkannt.
Unternehmen sollten ihre Cybersecurity-Strategie entsprechend anpassen und eine gut durchdachte IAM-Strategie implementieren. Eine solche konzentriert sich auf die Sicherung der digitalen Identität der Benutzer, während diese sich im Netzwerk bewegen, und nicht auf die Sicherung des Perimeters. MFA ist für diesen an der Benutzeridentität orientierten Ansatz von entscheidender Bedeutung, da die Nutzer ihre Identität beim Zugriff auf verschiedene Systeme und Anwendungen wiederholt bestätigen müssen. Da Hacker jedoch auch MFA knacken oder umgehen können, ist es besonders wichtig, dass MFA nicht als letzter Schutzwall eingesetzt wird.
Wenn Mitarbeiter beispielsweise beim Onboarding manuell erstellte Benutzerkonten erhalten, bekommen sie oft umfassende Zugriffsrechte, die sie gar nicht benötigen. Hier kommt eine IAM-Strategie ins Spiel. Sie kann die Zuweisung von Rechten an Mitarbeiter durch verständliche Rollen und ein klares Stufenmodell vereinfachen. Das spart nicht nur Zeit, sondern vermeidet auch, dass bei der Vergabe von Rechten zu viele Zugriffsrechte gewährt werden. Manchmal wechseln Benutzer ihre Rolle, und ihre Zugriffsbedürfnisse passen sich an. Neu benötigte Rechte müssen schnell, aber sicher vergeben werden. Automatisierte IAM-Lösungen helfen hier mit klar strukturierten Genehmigungsprozessen und einer lückenlosen Überwachung aller Zugriffe.
Der Hintergrund: In einigen Unternehmen wird bei der Vergabe von Rechten immer noch die typische E-Mail geschrieben in der Art „Kann ich bitte schnell mal Zugang auf … haben“. Das ist unzuverlässig und anfällig für Fehler. Die gute Nachricht ist, dass diese Probleme leicht gelöst werden können, wie einer unserer Anwenderberichte zeigt: Durch die Identifizierung und Automatisierung kritischer Workflows bei der Verwaltung von Zugriffsrechten werden die IT-Abteilungen entlastet und können sich auf Kernaufgaben wie die Wartung der IT-Infrastruktur und den Mitarbeiter-Support konzentrieren.
Zusammenfassend lässt sich sagen, dass mit einer holistischen IAM-Strategie zusätzliche Sicherheitsebenen der IT-Sicherheit eines Unternehmens hinzugefügt werden, indem die Zugriffsrechte der Benutzer auf ein vernünftiges Maß beschränkt werden. Selbst wenn ein Angreifer MFA umgeht und ins Netzwerk gelangt, kann er mit begrenzten Zugriffsrechten nur begrenzten Schaden anrichten und wird sein Ziel voraussichtlich nicht erreichen.
- MFA ist nicht gleich MFA – Authentifizierungs-Apps sicherer als Einmal-Passwörter
Obwohl Unternehmen mit einer IAM-Strategie bereits Angriffsvektoren minimieren können, ist es wichtig, auch die Schwachstellen und Vorteile der verschiedenen MFA-Lösungen zu berücksichtigen.
Der Angriffsvektor „MFA-Fatigue“ kann mit gut durchdachten MFA-Lösungen verhindert werden, die die Anzahl der MFA-Anfragen in einem bestimmten Zeitraum begrenzen. Dadurch wird verhindert, dass Mitarbeiter mit MFA-Anfragen bombardiert werden und aus Frust oder aus Versehen auf „Bestätigen“ klicken.
MFA basiert jedoch häufig auf OTPs. Dies birgt Risiken, da MFA-Phishing darauf abzielt, dass Nutzer OTPs auf manipulierten Websites der Angreifer preisgeben. Es ist daher viel sicherer, von Anfang an auf App-basierte MFA zu setzen. Es ist ein Irrtum, dass diese Apps komplizierter zu bedienen seien als das klassische OTP, das per SMS oder E-Mail verschickt wird. Moderne MFA-Lösungen basieren auf einem vertrauenswürdigen Gerät, z. B. dem Smartphone des Nutzers. Das ermöglicht eine sichere Bestätigung durch einen zweiten Faktor direkt per Push-Bestätigung vom Startbildschirm aus – ohne ein zusätzliches App-Passwort eingeben zu müssen.
Auch der Einsatz von Smartcards ist eine Überlegung wert. Vor allem an Workstations, z. B. bei medizinischen Geräten in Krankenhäusern oder Produktionsanlagen in der Fertigungsindustrie, bieten Smartcards eine Möglichkeit, sich mit geringem Aufwand zu authentifizieren. Hardware-gebundene Authentifizierungsoptionen wie Smartcards können die mit der digitalen Identität eines Benutzers verbundenen Anmeldedaten speichern. Wenn sie in sichere Authentifizierungsumgebungen eingebettet sind, erhöht das die Sicherheit, da es eine klare Barriere zwischen der „physischen“ und der digitalen Welt gibt.
- Der Faktor Mensch ist entscheidend – Benutzerfreundlichkeit verhindert Phishing
Menschen machen Fehler. Deshalb ist es so wichtig, regelmäßige Schulungen zur IT-Sicherheit durchzuführen. Unternehmen müssen ihre Mitarbeiter jedoch nicht nur in der sicheren Verwendung von Passwörtern schulen, sondern auch zu den Risiken der neueren MFA-Angriffe aufklären.
Leider ist es so, dass auch Mitarbeiter, die bereits geschult wurden, auf Phishing hereinfallen können. Aus diesem Grund müssen die Schulungen in regelmäßigen Abständen wiederholt werden, um das Wissen der Mitarbeiter zu festigen und sie über neue Angriffsmethoden auf dem Laufenden zu halten. Auch darf eine Schulung nicht die einzige Komponente zum Schutz vor MFA-Angriffen sein. Sie ergänzt lediglich den Schutz, den IAM und sichere MFA-Methoden bieten.
Je benutzerfreundlicher und einfacher MFA von vornherein strukturiert ist, desto einfacher ist es für die Mitarbeiter, verdächtige MFA-Anfragen zu erkennen.
Schlussfolgerung: Unternehmen haben ihre IT-Sicherheit in der Hand
Die verschärften KRITIS-Kriterien (NIS2) fordern zu Recht, dass mehr Unternehmen den Schutz ihrer IT verstärken. Cyberkriminelle werden ihre Angriffe weiter perfektionieren und dabei auch auf MFA abzielen. MFA, die als zusätzliche Sicherheitsebene gedacht war, läuft ohne zusätzliche Maßnahmen Gefahr, zu einem nutzlosen „zweiten Passwort“ zu werden.
Microsoft empfiehlt deshalb in seiner oben erwähnten Studie zur MFA-Sicherheit einen ganzheitlicheren Blick auf die „Trust Chain“, der alle Systeme einschließt, die Zugangstoken ausstellen. Um dies zu erreichen, sollten Unternehmen auf eine ganzheitliche IAM-Strategie setzen.
Eine IAM-Strategie kann das Risiko vieler Angriffsvektoren, einschließlich der zunehmend verbreiteten MFA-Angriffe, erheblich verringern. Obwohl MFA eine wichtige Sicherheitsebene darstellt, kann sie allein Hacker nicht davon abhalten, immer raffiniertere Angriffsmethoden zu entwickeln. Um die Verteidigung von allen Seiten zu stärken, sollten Unternehmen daher eine IAM-Strategie implementieren, die MFA stärkt und vereinfacht, und gleichzeitig die Mitarbeiter über die Risiken von MFA-Angriffen aufklären.
von Ingo Buck, Geschäftsführer der Imprivata OGiTiX GmbH