basiczto - stock.adobe.com
Ist Multifaktor-Authentifizierung ausreichend sicher?
Reicht Multifaktor-Authentifizierung für ein hohes Schutzniveau aus? Was sind gängige Mythen und wie kann Authentifizierung sowohl smart und sicher zugleich gestaltet werden?
Hinter jedem Mythos steckt eine Fünkchen Wahrheit – so auch beim Thema Multifaktor-Authentifizierung (MFA). Wer schon einmal eine Diskussion zwischen „MFA reicht aus“- und „Wir brauchen mehr“-Befürwortern erlebt hat, kennt die Probleme, die den Alltag in der IT-Security erschweren. Denn der Wunsch nach einem hohen Sicherheitsniveau kann in der Praxis meist nicht mal eben so mit einem kundenfreundlichen und komfortablen Login-Prozess verknüpft werden.
Und so stehen hinter diesen beiden Positionen berechtigte Sicherheits- und Kundenbedürfnisse, die irgendwie miteinander in Einklang zu bringen sind. Damit das gelingen kann, müssen Verantwortliche die gesetzten Ziele und die möglichen Lösungswege klar voneinander trennen.
Weshalb mehr nicht immer zum Ziel führt
Mit jedem aktiven Kontrollsystem nimmt die Sicherheit bei der Authentifizierung zu – wer diesem Gedanken zustimmt, für den ist es eigentlich recht selbsterklärend, weshalb „Wir brauchen mehr“ so intuitiv richtig klingt. Dabei wird vielfach übersehen, dass eine gute Idee noch lange keine funktionierende Sicherheitsstrategie ausmacht. Denn ein willkürliches Übereinanderstapeln von Systemen ist weder in der Theorie noch in der Praxis ein echtes Qualitätssiegel. Oft reicht es dann schon aus, wenn Angreifer das schwächste Glied in der Kette erkannt haben. Ist es erfolgreich kompromittiert, können sie alle weiteren Systeme einfach aushebeln.
Nicht zuletzt ist es auch fahrlässig, die Bereitschaft des Nutzers zu überfordern, aktiv an der Sicherheit mitzuarbeiten. Wenn die Systeme im Minutentakt Authentifizierungen einfordern, steigt die Frustration. Oft agiert der Nutzer dann wie in der bekannten Fabel vom Schäfer und dem Wolf: ein kritischer Angriff wird nicht mehr ernst genommen. So führt der Wunsch nach mehr Sicherheit für den Kunden am Ende dazu, dass dieser genervt zur Konkurrenz wechselt oder die Prozesse untergräbt.
Obwohl dieses Risiko vielen Entscheidern bewusst ist, spiegelt es sich in vielen Unternehmen nicht in der Sicherheitsstrategie wider. Die Gründe dafür, lieber einfach ein weiteres Tool dazuzufügen als das System zu rationalisieren, liegen auf der Hand. Es fehlt erstens an Ressourcen, um ein umfassendes Monitoring durchzuführen, was mit Blick auf die allgemeine Cybersicherheitslage zur Überkompensation beiträgt. Zweitens belohnt gerade die Regulatorik (in den Bereichen Cybersecurity, Datenschutz und Compliance) das Hinzufügen von mehr Sicherheitsschritten und nährt damit die falsche Strategie.
„MFA reicht aus“ entspricht nicht den Sicherheitsrisiken
Dieser kritische Blickwinkel sollte Verantwortliche keineswegs in der Haltung bestärken, nichts zu tun oder sich auf dem Status quo des Erreichten auszuruhen. Denn auch wenn Multifaktor-Authentifizierung ein zentraler und nicht mehr wegzudenkender Eckpfeiler für eine sichere Authentifizierung ist, so hat selbstverständlich auch diese Technologie ihre Grenzen. Und es verwundert nicht, dass Cyberkriminelle sich in ihren Taktiken vermehrt darauf einstellen, diese Schwachstellen für ihre Angriffe zu nutzen.
Zu den prominenten Beispielen gehören etwa das Session Hijacking oder Social Engineering. Bei letzterem versuchen Kriminelle durch die Manipulation von Nutzern an Zugangsdaten zu gelangen – etwa indem sie diese mit gefakten E-Mails auf täuschend echt aussehende Websites locken. Beim Session Hijacking fangen Angreifer den Sitzungs-Token ab, um die MFA vollständig umgehen zu können.
Auch das Nutzerverhalten ist eine dauerhafte Schwachstelle von MFA. Viele Anwender verwenden aus Bequemlichkeit gleiche Login-Daten für verschiedene Systeme, beruflich wie privat. Wenn die Zugangsdaten identisch sind, reicht schon ein infiltriertes System aus und alle anderen Dienste können innerhalb kurzer Zeit geknackt werden. Letztlich ist die MFA wie ein modernes Haustürschloss: hocheffektiv, aber nur solange das Fenster nicht offengelassen wird.
Ein adaptiver Ansatz realisiert Sicherheit nicht auf Kosten der Anwender
Ein smarter Ansatz bei der Cybersicherheit besteht also nicht darin, sich der einen oder anderen Seite anzuschließen. Vielmehr liegt der Schlüssel zur Lösung des Dilemmas in der agilen Adaption der Systeme an das spezifische Risiko. Zusätzliche Sicherheitsebenen aktivieren sich nur dann, wenn eine Situation als potenziell bedrohlich oder sicherheitskritisch eingestuft wird. In jedem anderen Fall profitieren Nutzer von einem komfortablen und einfachen Authentifizierungsverfahren.
„Multifaktor-Authentifizierung wird auch in Zukunft eine tragende Rolle in jeder Sicherheitsstrategie spielen. Ihr volles Potenzial kann sie jedoch erst dann entfalten, wenn Echtzeitinformationen eingebunden werden, um in Risikosituationen weitere Schutzmechanismen zu aktivieren.“
Dirk Decker, Ping Identity
Der Bedarf, der sich aus einem adaptiven Sicherheitsansatz ergibt, lässt sich klar benennen: ohne eine umfassende Datenanalyse, bei der in Echtzeit das Benutzerverhalten, die Geräteeigenschaften und kontextbezogene Risikosignale ausgewertet werden, lässt sich ein adaptiver Ansatz nicht realisieren. Auch wenn die initialen Kosten abschreckend wirken, profitieren Unternehmen in vielen Situationen davon.
Meldet sich etwa ein Anwender in einem Zahlungsportal von einem unbekannten Gerät aus an, kann das System automatisch das Authentifizierungsniveau anheben (Step-Up-Authentifizierung) und eine biometrische Überprüfung veranlassen. Ein weiteres Beispiel sind Veränderungen des Anmeldeortes während eines Logins, die zeigen, dass es sich um einen nicht-realen Nutzer handelt. Hier können die Systeme bestehende Sitzungen automatisch beenden und so Folgeschäden abwenden. Auch bei der Kontoerstellung greift ein adaptiver Sicherheitsmechanismus: Wird ein neues Konto von einer verdächtigen IP-Adresse aus erstellt, prüft das System die Identität des Nutzers. So lassen sich betrügerische Registrierungsversuche frühzeitig stoppen.
Diese Beispiele zeigen, wie effektiv ein adaptiver Ansatz gegenüber Bedrohungen schützen kann, ohne dabei alle anderen Nutzer durch unnötige Sicherheitsmaßnahmen zu belasten. MFA wird deshalb auch in Zukunft eine tragende Rolle in jeder Sicherheitsstrategie spielen. Ihr volles Potenzial kann sie jedoch erst dann entfalten, wenn Echtzeitinformationen eingebunden werden, um in Risikosituationen weitere Schutzmechanismen zu aktivieren.
Auch wenn dieser adaptive Ansatz sich relativ selbsterklärend anhört, so sollte man nicht vergessen, welcher Wandel im Sicherheitsverständnis damit verknüpft ist. In vielen Unternehmen herrscht noch immer ein starres und einheitliches Denken bei der Sicherheitsarchitektur vor. Erst wenn ein Umdenken in Richtung Flexibilität stattfindet, können agile Systeme Einzug erhalten. Die Diskussion von MFA-Sicherheitsmythen erübrigt sich dann übrigens von ganz allein.
Über den Autor:
Dirk Decker ist Regional Sales Director DACH & EMEA South bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
