Die Multifaktor-Authentifizierung (MFA) hat zweifellos einen entscheidenden Beitrag zur Sicherheit in Unternehmen geleistet. Sie nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen, um die Sicherheit in Anmeldeverfahren erheblich zu erhöhen. Im Vergleich zu Authentifizierungsverfahren, die nur ein Merkmal verwenden, wie beispielsweise die Anmeldung mit Benutzername und Passwort, kombiniert die MFA Faktoren unterschiedlicher Art. Die Berechtigungsnachweise oder Faktoren, die bei der MFA zum Einsatz kommen, lassen sich grundlegend in drei verschiedene Kategorien einteilen: wissensbasierte Faktoren (wie ein Passwort oder eine PIN), physische Objekte wie ein Token oder eine Magnetkarte und eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris.

In der Praxis hat sich bisher am häufigsten die Kombination aus wissensbasierten Anmeldedaten (Nutzername und Passwort) und einem weiteren Faktor etabliert. In diesem zweiten Schritt erhalten die Nutzer oft einen Bestätigungscode auf ein separates Gerät, wie ihr Handy, den sie dann auf der Website oder in der App eingeben müssen. Alternativ werden auch biometrische Merkmale abgefragt oder ein Sensor einer Chipkarte oder ein USB-Token aktiviert, um die physische Identität zu bestätigen. Wenn man die Sicherheitsfaktoren genauer betrachtet, erkennt man, dass sie unterschiedliche Schutzniveaus bieten. Der „Wissensfaktor“ ist dabei das schwächste Element, gefolgt vom „Objektfaktor“. Die erforderlichen Informationen oder Gegenstände können vergleichsweise leicht gestohlen oder ausgespäht werden, sei es durch das Ausspionieren von Passwörtern oder das Kopieren physischer Schlüssel. Der biometrische Faktor ist zwar schwerer zu manipulieren, aber letztendlich spielt das keine Rolle, denn der Mensch selbst bleibt nach wie vor die Achillesferse und bietet den besten Angriffspunkt für Hacker.

Ein Anbieter von Sicherheitsschulungen hat nun eindringlich davor gewarnt, dass sich seit der groß angelegten Einführung von Multifaktor-Authentifizierungsprodukten in einer Reihe von Unternehmen und Portalen die Vorfälle häufen, bei denen die Sicherheitsmaßnahmen umgangen werden. Angreifer haben sich mittlerweile darauf spezialisiert, die verschiedenen Authentifizungsstufen zu umgehen. Einer der üblichen Tricks besteht darin, QR-Codes oder Bilder zu verwenden, in den Betreffzeilen von Phishing-E-Mails die Namen bekannter Marken oder Unternehmen zu missbrauchen, zufällig generierte Absendernamen und Verschlüsselung mit SHA-256 zu verwenden sowie Betreffzeilen zu manipulieren, um Authentifizierungsdaten (DKIM, SPF usw.) zu fälschen. Darüber hinaus haben die Cyberkriminellen nun eine neue Zielgruppe ins Visier genommen: Benutzer mit Administratorrechten.

Experten des Anbieters für Sicherheitsschulungen KnowBe4 berichten von mehreren Unternehmen in den USA, die wiederholt Social-Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter zum Opfer gefallen sind. Bei diesen Angriffen versuchten die Cyberkriminellen, die Mitarbeiter des Service-Desks dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren zurückzusetzen, die von hoch privilegierten Benutzern eingerichtet wurden. Bei den betroffenen Unternehmen war das Ziel der Kriminellen offensichtlich, Zugang zu Benutzern mit Superadministrator-Rechten zu erhalten. Dafür gaben sie sich sogar als Identitätsmanagement-Anbieter aus und entwickelten eine gefälschte App. „Eine effektive Methode, um Ihr Unternehmen trotz kompromittierter MFA zu schützen“, erklärt Martin J. Krämer, Sicherheitsberater für Bewusstseinsbildung bei KnowBe4, „sind Schulungen zur Sensibilisierung für Sicherheitsfragen. Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor gezielten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.“

Die Multifaktor-Authentifizierung, oft als MFA abgekürzt, ist zweifellos ein wichtiger Fortschritt in der Sicherheit von Unternehmenssystemen. Sie erfordert mehr als nur ein Passwort, um Benutzer zu identifizieren und Zugriff zu gewähren. Typischerweise kombiniert sie mindestens zwei verschiedene Arten von Berechtigungsnachweisen, um sicherzustellen, dass die Person, die sich anmeldet, tatsächlich diejenige ist, für die sie sich ausgibt.

Die MFA verwendet drei Hauptkategorien von Faktoren, um die Identität eines Benutzers zu überprüfen:

1. Wissensbasierte Faktoren: Dies sind etwas, das der Benutzer weiß, wie zum Beispiel ein Passwort oder eine PIN. Diese Art von Faktor ist am anfälligsten für Angriffe, da Passwörter gestohlen oder erraten werden können.
2. Objektfaktoren: Hierbei handelt es sich um physische Gegenstände, die der Benutzer besitzt, wie zum Beispiel einen Sicherheitstoken oder eine Smartcard. Diese bieten einen höheren Schutz, da der Angreifer physischen Zugriff auf den Gegenstand benötigen würde.
3. Biometrische Faktoren: Dies sind eindeutige physische Merkmale des Benutzers, wie Fingerabdrücke, die Stimme oder das Muster der Iris. Biometrische Faktoren sind schwer zu fälschen, aber auch sie sind nicht vollständig immun gegen Angriffe.

Die gängigste MFA-Methode in der Praxis ist die Kombination von wissensbasierten Anmeldeinformationen (Benutzername und Passwort) und einem weiteren Faktor. Dieser zweite Faktor kann auf verschiedene Arten bereitgestellt werden, z. B. durch das Senden eines Bestätigungscodes an das Handy des Benutzers, die Verwendung von biometrischen Merkmalen oder die Aktivierung eines physischen Tokens.

Die Multifaktor-Authentifizierung (MFA) hat zweifellos die Sicherheit in Unternehmen erheblich gesteigert, indem sie die Schwachstellen herkömmlicher Ein-Faktor-Authentifizierungsmethoden, wie Benutzername und Passwort, reduziert. Dennoch ist es wichtig zu erkennen, dass MFA keine absolute Sicherheitsgarantie darstellt, da auch sie Schwachstellen aufweist. Ein alarmierendes Beispiel hierfür sind die Social-Engineering-Angriffe auf IT-Service-Desk-Mitarbeiter, von denen in den USA mehrere Unternehmen betroffen waren, wie von Experten des Security-Awareness-Anbieters KnowBe4 berichtet wurde.

In diesen Angriffen versuchten Cyberkriminelle gezielt, Mitarbeiter des Service-Desks zu manipulieren und dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren zurückzusetzen, die von hoch privilegierten Benutzern, wie Superadministratoren, eingerichtet wurden. Die Täter gingen so weit, eine gefälschte App zu entwickeln und sich als Identitätsmanagement-Anbieter auszugeben, um das Vertrauen der Service-Desk-Mitarbeiter zu gewinnen. Diese Angriffe zeigen, dass MFA zwar eine wichtige Sicherheitsmaßnahme ist, aber keineswegs vor allen Arten von Angriffen schützt.

Eine mögliche Lösung, um sich gegen diese Art von Angriffen zu verteidigen, besteht darin, Schulungen zur Sensibilisierung für Sicherheitsfragen in Unternehmen durchzuführen. Diese Schulungen können dazu beitragen, Mitarbeiter aus allen Abteilungen für die verschiedenen Arten von Social-Engineering-Taktiken zu sensibilisieren und sie darin zu schulen, verdächtige Aktivitäten zu erkennen. Diese Sensibilisierung ist entscheidend, da Angriffe oft über Kommunikationswege wie E-Mails, Teams-Chats oder soziale Medien erfolgen. Wenn die Mitarbeiter in der Lage sind, diese Angriffsmuster zu erkennen und angemessen zu reagieren, kann dies dazu beitragen, das Unternehmen trotz kompromittierter MFA zu schützen.

Es ist wichtig zu betonen, dass MFA weiterhin eine äußerst effektive Methode zur Erhöhung der Sicherheit ist. Es erschwert es Angreifern erheblich, Zugang zu sensiblen Unternehmensdaten zu erlangen, selbst wenn sie Kenntnis von Benutzernamen und Passwörtern haben. Dennoch ist es von entscheidender Bedeutung zu verstehen, dass Sicherheit ein laufender Prozess ist, der nicht nur von technischen Maßnahmen abhängt, sondern auch von der Sensibilisierung der Mitarbeiter und deren Fähigkeit, sich gegen soziale Engineering-Angriffe zu verteidigen. Nur durch eine umfassende Herangehensweise an die Sicherheit können Unternehmen ihre Daten und Systeme angemessen schützen.