Multi-Faktor-Authentifizierung: Jede Barriere zählt, damit Identitätsdiebstahl nicht zum Alptraum wird!

Das illegale Geschäft mit Identitätsdaten boomt!

Ob Zoom, Facebook oder Microsoft: Seit Jahren reißen die Meldungen über erfolgreiche Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jedes Jahr einen immensen wirtschaftlichen Schaden.

Erst kürzlich veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit rund 3,2 Milliarden Zugangsdaten, die laut den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge älterer Angriffe und Datenlecks bei namenhafte Unternehmen wie Netflix und LinkedIn erbeutet wurden.

Das derartige Datensammlungen im Darknet angeboten werden ist nichts Neues.

Doch in diesem Fall gibt es eine besorgniserregende Besonderheit: Die Zugangsdaten liegen unverschlüsselt und prinzipiell für jeden frei zugänglich vor, sodass sie von Internetkriminellen mit Leichtigkeit für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken genutzt werden können.

Angesichts dieser Bedrohungslage ist es allerhöchste Zeit, dass Unternehmen robuste Authentifizierungsprozesse implementieren.

Die Kombination macht den Schutz aus!

In Zeiten zunehmender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetangriffe zu.

Um sich vor derartigen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Authentifizierung essenziell. Sie bieten Unternehmen einen zweifelsfreien Identitätsschutz und gewährleisten eine sichere Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, nutzt die Multi-Faktor-Authentifizierung die Kombination mehrerer unterschiedlicher und insbesondere unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Anwendung, ein Benutzerkonto oder eine VPN zu prüfen.

Grundsätzlich lassen sich die Identitätsnachweise in drei verschiedene Kategorien unterteilen: 

• Wissen: Dinge, die nur der Anwender „weiß“ oder „kennt“.

Hierzu gehören Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.

• Besitz: Dinge, die nur der Anwender besitzt.

Hierzu zählen digitale Zertifikate, digitale Software Token wie beispielsweise Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.

• Inhärenz: Dinge, die einen Anwender eindeutig auszeichnen und nicht änderbar sind.

Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung mittlerweile auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind zudem standortbasierte, adaptive oder risikobasierte Identitätsnachweise möglich.

• Standortbasierte Identitätsnachweise:
  • Bei einer Authentifizierung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Anwenders geprüft. Falls sich der Anwender nicht an einem per Whitelist autorisierten Standort aufhält, wird der Zugriff verweigert.
• Adaptive/ risikobasierte Identitätsnachweise:
  • Bei einer Authentifizierung mit adaptiven/ risikobasierten Identitätsnachweisen werden zusätzlich die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch verbundene Risiko einzustufen.

Dazu zählen:

• Von wo aus versucht der Anwender, auf die Anwendung oder Daten zuzugreifen?
• Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Feierabend?
• Welches Gerät wird für den Zugriffsversuch verwendet? Dasselbe Gerät wie am Vortag?
• Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko hoch, wird der Anwender zur Übermittlung weiterer Identitätsnachweise aufgefordert.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung handelt es sich um einen Spezialfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Authentifizierung, die für die Authentifizierung die Kombination von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung lediglich zwei Faktoren erforderlich. Demnach ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fehler, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Login via Benutzerkennung und Passwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder persönlichen Sicherheitsfragen geschaltet.

Das Problem hierbei ist, dass Angreifer mithilfe eines Phishing-Angriff sowohl an die Login-Daten als auch das Gruppenpasswort und die persönlichen Sicherheitsfragen gelangen können. Aus diesem Grund ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Authentifizierung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die erste Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings herrscht in vielen Unternehmen ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon80 Prozent aller Sicherheitsverletzungen durch schwache, mehrmals verwendete oder gestohlene Passwörter verursacht werden.

Da Passwörter verschiedene Sicherheitsrisiken in sich bergen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – mindestens – einen weiteren zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

• Multi-Faktor-Authentifikator:
• sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) benötigen, bevor sie zur Authentifizierung verwendet werden können.

Möchte ein Anwender, zum Beispiel sein Smartphone als Authentifikator für den Zugriff auf eine Website verwendet, MUSS das Smartphone zuerst mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website verwendet werden.

• Single Factor (SF)-Authentifikatoren,
• sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis benötigen, um verwendet zu werden.

Möchte ein Anwender ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, erfordert das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

Zusammenfassend lässt sich sagen, dass für die Umsetzung einer modernen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster wichtiger Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Unternehmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Außerdem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz basieren, mehr Sicherheit, Benutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.