IT-Sicherheit

Multi-Faktor-Authentifizierung – Vorteile & Schwachstellen

Tipps zur Optimierung der MFA-Sicherheit

von 18.07.2022
Ein Mann entsperrt seinen Laptop via Gesichtserkennung. Thema ist die Multi-Faktor-Authentifizierung. Bild: Microsoft
Die MFA über biometrische Informationen ist sicherer als über SMS: Bild: Microsoft

Die Multi-Faktor-Authentifizierung (kurz: MFA) gilt als wichtiges Werkzeug zur Optimierung der IT-Sicherheit. Allerdings nutzen Hacker auch hier die Schwachstellen aus.

Welche Gefahren die MFA birgt und wie Sie Ihr Unternehmen vor entsprechenden Cyberattacken schützen können, erfahren Sie bei uns.

Inhaltsverzeichnisexpand_more
  1. Multi-Faktor-Authentifizierung: Schwachstellen-Basis für Cyberattacken
  2. Worst Case: Keine MFA
  3. Multi-Faktor-Authentifizierung via SMS – bequem, aber …
  4. Safety first: MFA über biometrische oder adaptive Informationen
  5. Sicherheit für Unternehmensdaten und Mitarbeiter-Identitäten

Multi-Faktor-Authentifizierung: Schwachstellen-Basis für Cyberattacken

Die Multi-Faktor-Authentifizierung dient vornehmlich dazu, die Sicherheit bei Online-Aktivitäten zu verbessern. Bevor der Nutzer beispielsweise eine Zahlung anweisen oder sich in seinem Banking-Account überhaupt einloggen kann, wird seine Identität über einen alternativen Kanal bestätigt. Die gängigste Methode ist dabei die MFA über die SMS, die beispielsweise der Online-Bezahldienst PayPal anbietet. Sobald der Nutzer im Netz etwas über PayPal bezahlen möchte, erhält er eine SMS an seine vorher hinterlegte Mobilnummer, die eine TAN enthält. Erst nach Eingabe selbiger wird der Zahlungsprozess gestartet. Kurzum: Eine MFA ergänzt den Prozess um zusätzliche Authentifizierungsschritte bzw. den Nachweis der Identität.

Damit lässt sich erfolgreich verhindern, dass allein der Diebstahl von E-Mail-Adresse und Passwort genutzt werden kann, um Zahlungen zu tätigen. An sich ist die MFA also eine sehr gute Sache und enorm nützlich – im Privat- wie auch im Geschäftsleben. Dennoch existieren auch hier Schwachstellen, die sich Hacker zu Nutze machen.

Eine Frau schließt einen Kauf- oder Anmeldevorgang über Ihren Laptop und Ihr Smartphone ab. Thema ist die Multi-Faktor-Authentifizierung. Bild: Unsplash/Firmbee

Die Multi-Faktor-Authentifizierung via SMS ist schnell, aber verhältnismäßig unsicher. Bild: Unsplash/Firmbee

Worst Case: Keine MFA

Bevor wir dazu kommen, an welchen Stellen das System der Multi-Faktor-Authentifizierung lückenhaft ist, sei aber noch einmal eine Lanze für ihren Einsatz gebrochen. Denn laut einer Microsoft-Studie setzen über 99,9 Prozent aller kompromittierten Microsoft-Kunden überhaupt keine MFA ein. Wenn dann auch noch die Passwort-Sicherheit mangelhaft ist – beispielsweise, weil keine Passwort-Manager zum Einsatz kommen – ist eine erfolgreiche Cyberattacke nur eine Frage der Zeit.

Gerade Unternehmen, die mit sensiblen Daten umgehen, Mitarbeiter im Home Office beschäftigen und/oder Liebhaber vieler praktischer Tools für die schnelle Abwicklung von Prozessen sind, sollten unter keinen Umständen auf eine MFA verzichten. Dabei gilt es, den Spagat zwischen Sicherheit und Komfort zu meistern. Denn ausgerechnet die bequemste und schnellste MFA-Methode ruft immer mehr Hacker auf den Plan.

Multi-Faktor-Authentifizierung via SMS – bequem, aber …

Mit der SMS gelingt die MFA am schnellsten. Und da heutzutage sowieso ein jeder dauerhaft sein Smartphone zu Hand hat, erfreut sich die Methode der größten Beliebtheit. Ihr Nachteil: Sie ist verhältnismäßig unsicher.

Denn: Bei der SMS existiert das Risiko, dass die hinterlegte Mobilfunknummer dem SIM-Swapping (auch SIM-Hijacking genannt) zum Opfer fehlt. Dabei kapern Hacker die gesamte Nummer. Im ersten Schritt verschaffen sich die Hacker zunächst einmal die Information darüber, wie die Handynummer lautet. Dazu werden wahlweise Social Media Profile gehackt oder Chat-Konversation unter falschem Namen mit dem potenziellen Opfer begonnen. Einmal im Besitz der Nummer, kontaktieren die Cyberkriminellen den Provider und geben sich als Nutzer aus, der seine SIM-Karte verloren hat oder ein zweites Exemplar benötigt. Oder: Sie kündigen den Vertrag und beantragen eine Rufnummernmitnahme. Klingt aufwändig, ist es aber gängige Praxis und für Kriminelle ein Leichtes.

Eine Alternative dazu ist ein Pass-the-Cookie-Angriff – hier werden Benutzer- und Anmeldeinformationen, die über die Cookies im Browser gespeichert wurden, gekapert.

Ein Mann gibt auf seinem Handy ein Passwort ein. Er nutzt unsichere Passwörter. Bild: Pexels/Mikhail Nilov

Die SMS auf das Handy ist die unsicherste Methode der Multi-Faktor-Authentifizierung. Bild: Pexels/Mikhail Nilov

Safety first: MFA über biometrische oder adaptive Informationen

Die Multi-Faktor-Authentifizierung über biometrische, adaptive bzw. kontextbezogene Informationen erweist sich als wesentlich sicherer. Professionelle Passwort-Manager wenden derartige Methoden bereits automatisch an. Grundsätzlich fußt eine professionelle MFA auf drei Faktoren:

  1. Wissen (Pin-Nummer, Passwort, Sicherheitsabfragen)
  2. Besitz (Smartphone, Laptop)
  3. Inhärenz (biometrische Faktoren, Gesichtserkennung, Stimmerkennung, aber z. B. auch charakteristische Merkmale wie die Tipp-Geschwindigkeit)

Bei der adaptiven bzw. kontextbezogene MFA kommt dann noch eine Künstliche Intelligenz zum Einsatz. Das System bewertet, ob das Gesamtbild rund um den Anmeldeversuch stimmig ist. Hingegen schlägt es beispielsweise dann Alarm, wenn der Nutzer binnen zwei Stunden plötzlich den Kontinent gewechselt zu haben scheint. Jeder einzelne Anmelde- oder Log-in-Versuch unterliegt einer Plausibilitätsprüfung.

Zusätzlich sollten Unternehmen daran denken, möglichst alle Authentifizierungsprozesse abzudecken. Also beispielsweise nicht nur den Anmeldevorgang, sondern auch den der Kontowiederherstellung bei augenscheinlichem Passwort-Verlust o. Ä.

Sicherheit für Unternehmensdaten und Mitarbeiter-Identitäten

Unsere Experten aus dem IT-SERVICE.NETWORK stehen Ihnen gern zur Verfügung, wenn Sie Ihre wertvollen Unternehmensdaten und die Mitarbeiter-Identitäten mittels einer professionellen Multi-Faktor-Authentifizierung schützen möchten. Unsere IT-Dienstleister beraten Sie zu den verschiedenen Möglichkeiten, stellen Ihnen die passenden Produktlösungen vor und übernehmen bei Bedarf natürlich auch die Implementierung und die Mitarbeiter-Einweisung.

Vom professionellen Passwort-Manager über moderne Tools, Hardware und KI-gestützte Software – die passenden Instrumente für Ihre Datensicherheit sind garantiert dabei. Nehmen Sie gern direkt Kontakt zu uns auf und lassen Sie sich unverbindlich beraten.

Weiterführende Links:
Security Insider, Computer Woche, OneSpan

 

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen