Multi-Faktor-Authentifizierung: Damit Identitätsdiebstahl nicht zum Alptraum wird!

Das illegale Geschäft mit Identitätsdaten boomt!

Ob Zoom, Facebook oder Microsoft: Seit mehreren Jahren reißen die Meldungen über siegreiche Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und bewirken jährlich einen immensen wirtschaftlichen Schaden.

Erst kürzlich publizierten Internetkriminelle im Darknet eine Datensammlung mit ungefähr 3,2 Milliarden Zugangsdaten, die laut den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge früherer Angriffe und Datenlecks bei namenhafte Organisationen wie Netflix und LinkedIn erbeutet wurden.

Das derartige Datensammlungen im Darknet verkauft werden ist nichts Neuartiges.
Doch in diesem Fall gibt es eine dramatische Besonderheit: Die Zugangsdaten liegen unverschlüsselt und grundsätzlich für jeden frei zugänglich vor, sodass sie von Internetkriminellen einfach für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken angewendet werden können.

Auf Grund dieser Bedrohungslage ist es allerhöchste Zeit, dass Firmen robuste Authentifizierungsprozesse implementieren.

Die Kombination macht den Schutz aus!

In Zeiten fortschreitender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetangriffe zu.

Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Gebrauch einer Multi-Faktor-Identitätsprüfung elementar. Sie bietet Betrieben einen zweifelsfreien Identitätsschutz und sorgt für eine sichere Zugriffskontrolle.

Im Unterschied zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, nutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer diverser und vor allem unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Anwendung, ein Benutzerkonto oder eine VPN zu kontrollieren.

Im Prinzip lassen sich die Identitätsnachweise in drei verschiedene Kategorien unterteilen:
• Know-how: Dinge, die nur der User „weiß“ oder „kennt“.
Hierzu zählen Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
• Besitz: Dinge, die nur der Benutzer besitzt.
Hierzu zählen digitale Zertifikate, digitale Software Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
• Inhärenz: Dinge, die einen User unzweifelhaft auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung mittlerweile auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind außerdem standortbasierte, adaptive oder risikobasierte Identitätsnachweise möglich.

Standortbasierte Identitätsnachweise:

Bei einer Identitätsprüfung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Aufenthaltsort des Nutzers geprüft. Wenn sich der Benutzer nicht an einem per Whitelist anerkannten Ort aufhält, wird der Zugang verweigert.

Adaptive/ risikobasierte Identitätsnachweise:
Bei einer Identitätsüberprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden zusätzlich die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ betrachtet, um das mit dem Zugriffsversuch einhergehende Risiko einzuordnen.

Dazu zählen:
• Von wo aus versucht der Nutzer, auf die Anwendung oder Informationen zuzugreifen?
• Zu welchem Zeitpunkt findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Arbeitsende?
• Welches Gerät wird für den Zugriffsversuch eingesetzt? Dasselbe Gerät wie am Vortag?
• Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko groß, wird der Benutzer zur Übermittlung weiterer Identitätsnachweise aufgefordert.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung handelt es um einen Sonderfall der Multi-Faktor-Authentifizierung. Im Unterschied zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Verbindung von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung nur zwei Faktoren erforderlich. Folglich ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Beispielsweise wird vor dem Login via Benutzerkennung und Kennwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Dilemma in diesem Fall ist, dass Eindringlinge mithilfe eines Phishing-Angriffs sowohl an die Login-Daten als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Daher ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Authentifizierung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die primäre Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings herrscht in vielen Unternehmen ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 % jeglicher Sicherheitsverletzungen durch schwache, mehrfach genutzte oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich tragen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – zumindest - einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

Multi-Faktor-Authentifikator:

Sind Authentifikatoren in Form von Software, Token oder Smartphones, die einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Know-how) oder eines Fingerabdrucks (Faktor: Inhärenz) benötigen, ehe sie zur Identitätsprüfung benutzt werden können.

Möchte ein Anwender, beispielsweise sein Smartphone als Authentifikator für den Zugriff auf eine Website verwenden, MUSS das Smartphone erst einmal mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website genutzt werden.

Single Factor (SF)-Authentifikatoren:

Sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um benutzt zu werden.

Will ein User ein One-Time Password von einer OTP-Applikation auf sein Smartphone erhalten, benötigt das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

In der Summe lässt sich sagen, dass für die Implementierung einer zeitgemäßen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster entscheidender Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Firmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Konzept basieren, mehr Sicherheit, Nutzerfreundlichkeit und Kosteneffektivität.

Dieses zentrale Zugangsmanagement und Single Sign-On gibt es bei uns natürlich auch als Managed Service Multifaktor Authentifizierung.

Bei weiteren Fragen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.