a good thing!
Was ist Multifaktor-Authentifizierung (MFA)?
Die Multifaktor-Authentifizierung (MFA) wird eingesetzt, um sicherzustellen, dass digitale Benutzer die sind, für die sie sich ausgeben, indem sie mindestens zwei Nachweisfaktoren angeben müssen, um ihre Identität zu verifizieren. Jeder einzelne Nachweis muss von einer anderen Kategorie stammen. Etwas, das sie kennen, etwas, das sie haben oder etwas, das sie sind.
Wenn einer der Faktoren durch einen Hacker oder nicht autorisierten Benutzer kompromittiert wurde, ist die Wahrscheinlichkeit dennoch gering, dass dies auch bei einem weiteren Faktor der Fall ist. Daher verifiziert das Einfordern mehrerer Authentifizierungsfaktoren die Identität mit einem höheren Maß an Sicherheit.
Passwörter sind zwar nach wie vor die vorherrschende Methode bei der Authentifizierung Ihrer Online-Identität, aber die hier gebotene Sicherheit wird immer geringer. Wenn die Hacker ein Passwort gestohlen haben, können sie sich mit den Anmeldedaten Zugriff auf Anwendungen und Geschäftssysteme verschaffen, weitere Zugangskontrollen umgehen und schweren Schaden anrichten. Laut dem Data Breach Investigations Report 2020 von Verizon sind Anmeldeinformationen die bevorzugte Strategie der Hacker bei Datenschutzverletzungen.
Zudem gibt es erschreckend viele Angriffsvektoren, die Hacker nutzen können, um Passwörter zu stehlen oder um Zugang zu erlangen. Dazu gehören unter anderem Phishing-Angriffe, Brute-Force-Angriffe, Angriffe auf Webanwendungen, das Eindringen in Vertriebsfilialen und sogar gestohlene Hardware.
Unglücklicherweise machen es Nutzer den Hackern zusätzlich leicht, indem sie schwache Passwörter auswählen, die gleichen Passwörter für mehrere Anwendungen nutzen, sie an unsicheren Orten aufbewahren und über lange Zeiträume hinweg verwenden. Diese Praktiken sind zwar einerseits bestimmt hilfreich, um sich die Anmeldedaten besser zu merken, aber sie öffnen gleichzeitig den Hackern auch Tür und Tor.
Multi-factor authentication errichtet einen Schutzwall für Mitarbeiter und Kunden gleichermaßen und eliminiert alle diese Schwachpunkte. Sie schwächt den Welleneffekt kompromittierter Anmeldedaten ab: Ein Cyberkrimineller kann vielleicht Ihren Benutzernamen und Ihr Passwort stehlen, wenn er aber zur Angabe eines weiteren Faktors aufgefordert wird, bevor er auf kritische Daten zugreifen, eine Transaktion durchführen oder sich in Ihren Laptop einloggen kann, hat er verloren.
Eine kürzlich von Ping Identity durchgeführte Studie hat ergeben, dass IT- und Sicherheitsfachkräfte in der Multifaktor-Authentifizierung die wirkungsvollste Sicherheitskontrolle sehen, die man einrichten kann, um Daten sowohl am Standort als auch in der öffentlichen Cloud zu schützen. Die meisten marktgängigen MFA-Lösungen sind zudem schnell und leicht implementierbar, so dass ein Unternehmen diese hochgradig wirksame Sicherheitsmaßnahme ohne großen Zeit- und Arbeitsaufwand einführen kann.
Die Multifaktor-Authentifizierung ist auch eine hervorragende Möglichkeit, um die geschäftliche Mobilität zu verbessern und stellt damit eine Initiative dar, die bei Unternehmen, die sich gerade die digitale Transformation durchlaufen, immer hoch im Kurs steht. Die Produktivität steigt, wenn Mitarbeiter ihre bevorzugten Geräte verwenden und leicht und sicher auf alle benötigten Ressourcen zugreifen können, ohne dabei ans Büro gebunden zu sein. Durch den Einsatz einer MFA zum Anmelden bei Geschäftsanwendungen oder beim Fernzugriff auf das Netzwerk über VPN erhalten sie die Flexibilität und den bedarfsgerechten Zugang, den sie schätzen, während sich die Unternehmen sicher sein können, dass ihr Netzwerk und ihre Daten geschützt bleiben.
Die MFA könnte im Zusammenhang mit speziellen Branchen- oder Standortvorschriften auch zu den grundlegenden Anforderungen gehören. Der PCI-DSS (Payment Card Industry Data Security Standard) schreibt beispielsweise vor, dass in bestimmten Situationen eine MFA implementiert werden muss, um zu verhindern, dass unautorisierte Benutzer auf Systeme zugreifen, die Zahlungstransaktionen verarbeiten. Die MFA kann außerdem Gesundheitsdienstleistern bei der Einhaltung der Vorschriften des HIPAA-Konformitätsprogramms unterstützen. Sie gehört auch zu den wichtigsten Voraussetzungen für die Erfüllung der Anforderungen an eine starke Kundenauthentifizierung, wie sie von der PSD2 vorgegeben wird, eine Verordnung für Finanzinstitute in der EU.
Die Anmeldedaten eines Benutzers müssen aus mindestens zwei von drei verschiedenen Kategorien oder Faktoren stammen. Die Zwei-Faktor-Authentifizierung (oder 2FA) ist eine Untergruppe der MFA, bei der nur zwei Nachweisfaktoren angegeben werden müssen, wohingegen bei der MFA beliebig viele Faktoren zum Einsatz kommen können.
Das gängigste Beispiel dieses Faktors ist natürlich das Passwort, das auch in Form einer PIN oder sogar einer Passphrase vorliegen kann – etwas, das nur Ihnen bekannt sein kann.
Manche Unternehmen richten möglicherweise eine wissenbasierte Authentifizierung ein, wie beispielsweise Sicherheitsfragen (z.B. „Was ist der Mädchenname Ihrer Mutter?“), aber auch grundlegende personenbezogene Informationen können häufig mittels Recherche, Phishing und Social Engineering offengelegt oder gestohlen werden, somit stellt dies allein als Authentifizierungsmethode eine weniger ideale Lösung dar.
Noch weniger wahrscheinlich ist es, dass ein Hacker nicht nur Ihr Passwort gestohlen, sondern auch etwas Physisches entwendet hat, so dass dieser Faktor Ihren Besitz eines spezifischen Gegenstands bestätigt. Zu dieser Kategorie gehören Mobiltelefone, physische Token, Schlüsselanhänger. und Smartcards.
Für diese Authentifizierung gibt es verschiedene Funktionsweisen, die jeweils von dem Gegenstand abhängen, aber gängige Methoden sind unter anderem die Bestätigung über eine mobile App oder Pop-up-Benachrichtigungen von Ihrem Mobiltelefon, indem Sie einen eindeutigen Code eingeben, der von einem physischen Token erzeugt wurde, oder eine Karte einstecken (z.B. an einem Geldautomaten).
Die Verifizierung dieses Faktors ist üblicherweise der Scan eines Fingerabdrucks auf einem Mobiltelefon, kann aber auch über ein beliebiges anderes eindeutiges Identifizierungsmerkmal Ihrer physischen Person erfolgen. Darunter fallen Netzhaut-Scans, Stimm- oder Gesichtserkennung und jede andere Art von Biometrie.
Es gibt eine Vielzahl von Möglichkeiten, die sich auf diese drei Kategorien verteilen, und unterschiedliche Authentifizierungsmechanismen können für verschiedene Unternehmen je nach ihren einzigartigen Bedürfnissen und Anwendungsfällen besser geeignet sein. Durch die Bewertung der relativen Stärke, der Kosten und des Nutzens sowohl für die IT als auch für die Benutzer kann eine Organisation die Kombination finden, die sich für ihre Zwecke und die ihrer Benutzer am besten eignet.
Manche Unternehmen möchten vielleicht eine Multifaktor-Authentifizierung für alle Benutzer, Mitarbeiter und Kunden gleichermaßen einrichten. Dies ist besonders dann wirkungsvoll, wenn die MFA mit einer Single Sign-On (SSO)-Lösung kombiniert wird, die viele Passwörter aus der Gleichung nimmt und damit die Sicherheit ebenso wie die Benutzererfahrung noch weiter verbessert.
Andere Unternehmen wiederum sehen in keinem Fall die Notwendigkeit, eine MFA zu verlangen. Um den Komfort für Mitarbeiter und Kunden zu optimieren, entscheiden sie sich möglicherweise dafür, die MFA in Situationen mit geringem Risiko auszulassen, und stattdessen in risikoreichen Szenarien eine stärkere Sicherheit zu verlangen, insbesondere für sensible Daten oder hochwertige Transaktionen. Zum Beispiel:
In dem Fall handelt es sich um eine kontextbezogene, adaptive oder risikobasierte MFA. Das Schöne an der Verwendung einer kontextbezogenen MFA ist, dass sie die Sicherheit dann verstärken kann, wenn dies geboten ist, und sich diese Anforderungen oder Anwendungsfälle leicht ändern oder mit der Zeit entwickeln lassen.
Schauen Sie sich das Video an, um zu erfahren, wie eine moderne MFA-Lösung für mehrere Authentifizierungsmethoden und kontextrelevante Richtlinien Ihr Unternehmen wirkungsvoller wappnen, aber auch für eine bessere Online-Erfahrung Ihrer Mitarbeiter, Kunden und Partner sorgen kann.
Es ist normalerweise kein großer Umstand für Mitarbeiter, eine App herunterzuladen oder ein Token mitzuführen, das für die regelmäßige Multifaktor-Authentifizierung bei der Arbeit eingesetzt wird. Bei einer MFA für Kunden wird es dann schon ein bisschen schwieriger, da die Erwartungen an eine optimale Online-Erfahrung hoch sind und Kunden sich bei schwerfälligen Anmeldeverfahren schnell zurückziehen. Wenn sie die Wahl haben, sind sind Kunden nicht besonders erpicht darauf den MFA-Schutz für ihre Konten zu aktivieren – selbst dann nicht, wenn er ihnen umsonst vom Anbieter zur Verfügung gestellt wird.
Große Unternehmen versuchen, ihre Kunden für die Nutzung von MFA zu begeistern, indem sie ihnen erklären, wie dieses Verfahren nicht nur die Sicherheit ihres Kontos ohne zusätzliche Umstände bei der Anmeldung erhöht, sondern auch ihre anderen Interaktionen (z.B. die Überprüfung ihrer Identität während eines Anrufs beim Kundendienst) optimieren kann. Manche der Unternehmen bieten die MFA sogar in ihren eigenen kundenseitigen mobilen Anwendungen an, so dass die Kunden nicht dazu gezwungen sind, eine separate Anwendung herunterzuladen oder weniger sichere Faktoren zu verwenden.
Eine gute MFA-Strategie wird beim Festlegen von MFA-Anforderungen und risikobasierten Richtlinien die Gefahr einer Kompromittierung von Anmeldedaten sorgfältig gegen die Auswirkungen auf die Mitarbeiterproduktivität oder die Kundenerfahrung abwägen.
Sehr gute, moderne MFA-Lösungen sind in der Lage, eine Balance zwischen Sicherheit und Komfort herzustellen, indem sie mehrere Authentifizierungsoptionen anbieten, adaptive Richtlinien implementieren und sich nahtlos in bestehende Anwendungen einfügen.
Die FIDO Alliance ist ein Industriekonsortium, das allen Nutzern wie auch den Online-Diensten, mit denen sie interagieren, die passwortlose Anmeldung ermöglichen soll. Angesichts des immensen Kostenaufwands, der mit einem typischen Datenmissbrauch einhergeht (ganz zu schweigen von den entgangenen Einnahmen und der bleibenden Rufschädigung, die ein Unternehmen hinnehmen muss), ist es riskant, sich auf Passwörter und andere wissensbasierte Faktoren (KBA) oder Einmal-Passcodes zu verlassen, da sich diese Methoden als angreifbar erwiesen haben. Der FIDO2-Standard gibt eine allgemeine Methode der Implementierung von MFA für Browser und Online-Dienste vor. Den Nutzern werden passwortlose Anmeldeoptionen angeboten, wie beispielsweise Sicherheitsschlüssel, Biometrie und weitere auf mobilen Geräten basierende Lösungen. Die wissensbasierten Faktoren fallen einfach weg und die Sicherheit für Endnutzer und Online-Dienste wird verbessert.
In diesem Video wird veranschaulicht, wie FIDO und MFA Phishing-Angriffe vereiteln können.