IT-Sicherheit

Multi-Faktor-Authentifizierung – Vorteile & Schwachstellen

Tipps zur Optimierung der MFA-Sicherheit

von 18.07.2022
Ein Mann entsperrt seinen Laptop via Gesichtserkennung. Thema ist die Multi-Faktor-Authentifizierung. Bild: Microsoft

Die Multi-Faktor-Authentifizierung (kurz: MFA) gilt als wichtiges Werkzeug zur Optimierung der IT-Sicherheit. Allerdings nutzen Hacker auch hier die Schwachstellen aus.

Welche Gefahren die MFA birgt und wie Sie Ihr Unternehmen vor entsprechenden Cyberattacken schützen können, erfahren Sie bei uns.

Multi-Faktor-Authentifizierung: Schwachstellen-Basis für Cyberattacken

Die Multi-Faktor-Authentifizierung dient vornehmlich dazu, die Sicherheit bei Online-Aktivitäten zu verbessern. Bevor der Nutzer beispielsweise eine Zahlung anweisen oder sich in seinem Banking-Account überhaupt einloggen kann, wird seine Identität über einen alternativen Kanal bestätigt. Die gängigste Methode ist dabei die MFA über die SMS, die beispielsweise der Online-Bezahldienst PayPal anbietet. Sobald der Nutzer im Netz etwas über PayPal bezahlen möchte, erhält er eine SMS an seine vorher hinterlegte Mobilnummer, die eine TAN enthält. Erst nach Eingabe selbiger wird der Zahlungsprozess gestartet. Kurzum: Eine MFA ergänzt den Prozess um zusätzliche Authentifizierungsschritte bzw. den Nachweis der Identität.

Damit lässt sich erfolgreich verhindern, dass allein der Diebstahl von E-Mail-Adresse und Passwort genutzt werden kann, um Zahlungen zu tätigen. An sich ist die MFA also eine sehr gute Sache und enorm nützlich – im Privat- wie auch im Geschäftsleben. Dennoch existieren auch hier Schwachstellen, die sich Hacker zu Nutze machen.

Eine Frau schließt einen Kauf- oder Anmeldevorgang über Ihren Laptop und Ihr Smartphone ab. Thema ist die Multi-Faktor-Authentifizierung. Bild: Unsplash/Firmbee

Die Multi-Faktor-Authentifizierung via SMS ist schnell, aber verhältnismäßig unsicher. Bild: Unsplash/Firmbee

Worst Case: Keine MFA

Bevor wir dazu kommen, an welchen Stellen das System der Multi-Faktor-Authentifizierung lückenhaft ist, sei aber noch einmal eine Lanze für ihren Einsatz gebrochen. Denn laut einer Microsoft-Studie setzen über 99,9 Prozent aller kompromittierten Microsoft-Kunden überhaupt keine MFA ein. Wenn dann auch noch die Passwort-Sicherheit mangelhaft ist – beispielsweise, weil keine Passwort-Manager zum Einsatz kommen – ist eine erfolgreiche Cyberattacke nur eine Frage der Zeit.

Gerade Unternehmen, die mit sensiblen Daten umgehen, Mitarbeiter im Home Office beschäftigen und/oder Liebhaber vieler praktischer Tools für die schnelle Abwicklung von Prozessen sind, sollten unter keinen Umständen auf eine MFA verzichten. Dabei gilt es, den Spagat zwischen Sicherheit und Komfort zu meistern. Denn ausgerechnet die bequemste und schnellste MFA-Methode ruft immer mehr Hacker auf den Plan.

Multi-Faktor-Authentifizierung via SMS – bequem, aber …

Mit der SMS gelingt die MFA am schnellsten. Und da heutzutage sowieso ein jeder dauerhaft sein Smartphone zu Hand hat, erfreut sich die Methode der größten Beliebtheit. Ihr Nachteil: Sie ist verhältnismäßig unsicher.

Denn: Bei der SMS existiert das Risiko, dass die hinterlegte Mobilfunknummer dem SIM-Swapping (auch SIM-Hijacking genannt) zum Opfer fehlt. Dabei kapern Hacker die gesamte Nummer. Im ersten Schritt verschaffen sich die Hacker zunächst einmal die Information darüber, wie die Handynummer lautet. Dazu werden wahlweise Social Media Profile gehackt oder Chat-Konversation unter falschem Namen mit dem potenziellen Opfer begonnen. Einmal im Besitz der Nummer, kontaktieren die Cyberkriminellen den Provider und geben sich als Nutzer aus, der seine SIM-Karte verloren hat oder ein zweites Exemplar benötigt. Oder: Sie kündigen den Vertrag und beantragen eine Rufnummernmitnahme. Klingt aufwändig, ist es aber gängige Praxis und für Kriminelle ein Leichtes.

Eine Alternative dazu ist ein Pass-the-Cookie-Angriff – hier werden Benutzer- und Anmeldeinformationen, die über die Cookies im Browser gespeichert wurden, gekapert.

Ein Mann gibt auf seinem Handy ein Passwort ein. Er nutzt unsichere Passwörter. Bild: Pexels/Mikhail Nilov

Die SMS auf das Handy ist die unsicherste Methode der Multi-Faktor-Authentifizierung. Bild: Pexels/Mikhail Nilov

Safety first: MFA über biometrische oder adaptive Informationen

Die Multi-Faktor-Authentifizierung über biometrische, adaptive bzw. kontextbezogene Informationen erweist sich als wesentlich sicherer. Professionelle Passwort-Manager wenden derartige Methoden bereits automatisch an. Grundsätzlich fußt eine professionelle MFA auf drei Faktoren:

  1. Wissen (Pin-Nummer, Passwort, Sicherheitsabfragen)
  2. Besitz (Smartphone, Laptop)
  3. Inhärenz (biometrische Faktoren, Gesichtserkennung, Stimmerkennung, aber z. B. auch charakteristische Merkmale wie die Tipp-Geschwindigkeit)

Bei der adaptiven bzw. kontextbezogene MFA kommt dann noch eine Künstliche Intelligenz zum Einsatz. Das System bewertet, ob das Gesamtbild rund um den Anmeldeversuch stimmig ist. Hingegen schlägt es beispielsweise dann Alarm, wenn der Nutzer binnen zwei Stunden plötzlich den Kontinent gewechselt zu haben scheint. Jeder einzelne Anmelde- oder Log-in-Versuch unterliegt einer Plausibilitätsprüfung.

Zusätzlich sollten Unternehmen daran denken, möglichst alle Authentifizierungsprozesse abzudecken. Also beispielsweise nicht nur den Anmeldevorgang, sondern auch den der Kontowiederherstellung bei augenscheinlichem Passwort-Verlust o. Ä.

Sicherheit für Unternehmensdaten und Mitarbeiter-Identitäten

Unsere Experten aus dem IT-SERVICE.NETWORK stehen Ihnen gern zur Verfügung, wenn Sie Ihre wertvollen Unternehmensdaten und die Mitarbeiter-Identitäten mittels einer professionellen Multi-Faktor-Authentifizierung schützen möchten. Unsere IT-Dienstleister beraten Sie zu den verschiedenen Möglichkeiten, stellen Ihnen die passenden Produktlösungen vor und übernehmen bei Bedarf natürlich auch die Implementierung und die Mitarbeiter-Einweisung.

Vom professionellen Passwort-Manager über moderne Tools, Hardware und KI-gestützte Software – die passenden Instrumente für Ihre Datensicherheit sind garantiert dabei. Nehmen Sie gern direkt Kontakt zu uns auf und lassen Sie sich unverbindlich beraten.


Weiterführende Links:
Security Insider, Computer Woche, OneSpan

 

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Account Takeover

Diebstahl von Zugangsdaten hat schlimme Folgen

von • 10.08.2022

Ein Account Takeover lohnt sich für Hacker und Cyberkriminelle immer mehr und kann extreme Folgen für die Opfer haben. Schlimmstenfalls droht sogar ein kompletter Identitätsdiebstahl. Warum ein ...

Weiterlesen
IT-Sicherheit

Cybersicherheitsagenda vorgestellt

Staatliche Cyberabwehr geplant

von • 25.07.2022

Mit der Cybersicherheitsagenda möchte Bundesinnenministerin Nancy Faeser den Bund, Sicherheitsbehörden und das BKA stärker in den Kampf gegen Cybercrime  einbinden und ihnen mehr Macht verleihen. ...

Weiterlesen
IT-Sicherheit

Volksbank-E-Mail ist gefälscht

Phishing-Attacke mit Fake-Mails

von • 20.07.2022

Eine augenscheinliche Volksbank-E-Mail findet derzeit immer mehr Betrugsopfer. Hinter der – das muss man zugeben – gut gemachten Fake-Mail steckt nichts anderes als ein Phishing-Angriff. Wir ha...

Weiterlesen