Veröffentlicht

Multi-Faktor-Authentifizierung: Jede Barriere ist wichtig, damit Identitätsdiebstahl nicht zum Alptraum wird!

Authors

Das verbotene Geschäft mit Identitätsdaten wächst!

Ob Zoom, Facebook oder Microsoft: Seit vielen Jahren reißen die Nachrichten über erfolgreiche Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jährlich einen enormen wirtschaftlichen Schaden.

Erst vor kurzem veröffentlichten Internetkriminelle im Darknet eine Datenbank mit geschätzt 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge älterer Angriffe und Datenlecks bei namenhafte Unternehmen wie Netflix und LinkedIn erbeutet wurden.

Das solche Datensammlungen im Darknet offeriert werden ist nichts Neuartiges.
Allerdings in diesem Tatbestand gibt es eine besorgniserregende Besonderheit: Die Zugangsdaten liegen unverschlüsselt und prinzipiell für jeden frei zugänglich vor, sodass sie von Internetkriminellen bequem für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken genutzt werden können.

Angesichts dieser Bedrohungslage ist es allerhöchste Zeit, dass Betriebe belastbare Authentifizierungsprozesse einführen.

Die Kombination macht den Schutz aus!

In Zeiten zunehmender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetangriffe zu.

Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Gebrauch einer Multi-Faktor-Authentifikation essenziell. Sie bieten Unternehmen einen zweifelsfreien Identitätsschutz und sorgen eine sichere Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, verwendet die Multi-Faktor-Authentifizierung die Kombination mehrerer verschiedener und vor allem selbständiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Anwendung, ein Benutzerkonto oder eine VPN zu prüfen.

Grundsätzlich lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:

  • Know-how: Dinge, die nur der User „weiß“ oder „kennt“.
    Hierzu gehören Nutzernamen und Passwörter, PIN-Codes, ebenso auch Antworten auf geheime Sicherheitsfragen.
  • Besitz: Dinge, die nur der Benutzer besitzt.
    Zu diesem Punkt zählen digitale Zertifikate, digitale Software Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
  • Inhärenz: Dinge, die einen Anwender unmissverständlich auszeichnen und nicht änderbar sind.

Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Laptop and Smartphone


Da die Multi-Faktor-Authentifizierung inzwischen auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind ebenso geographische, adaptive oder risikobasierte Identitätsnachweise möglich.

  • Standortbasierte Identitätsnachweise:
    •  Bei einer Identitätsprüfung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Anwenders geprüft. Fur den Fall, dass sich der Anwender nicht an einem per Whitelist anerkannten Ort aufhält, wird der Zugang verweigert.
  • Adaptive/ risikobasierte Identitätsnachweise:
    •  Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden darüber hinaus die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch einhergehende Risiko einzustufen.

Dazu zählen:

  • Von wo aus probiert der Anwender, auf die Applikation oder Informationen zuzugreifen?
  • Zu welchem Zeitpunkt findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Feierabend?
  • Welches Endgerät wird für den Zugriffsversuch benutzt? Genau dasselbe Gerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Punkte berechnet. Ist die Gefahr groß, wird der Nutzer zur Übertragung zusätzlicher Identitätsnachweise aufgefordert.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung handelt es um einen Sonderfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Kombination von mehr als zwei Identitätsnachweisen fordert, sind bei der Zwei-Faktor-Authentifizierung bloß zwei Faktoren notwendig. Demnach ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Login via Benutzerkennung und Kennwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Problem dabei ist, dass Angreifer mithilfe eines Phishing-Angriffs ebenso an die Login-Daten als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Aus diesem Grund ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Identitätsprüfung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die erste Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings herrscht in vielen Firmen ein lässiger Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 % jeglicher Sicherheitsverletzungen durch schwache, mehrfach benutzte oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich tragen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – mindestens – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

  • Multi-Faktor-Authentifikator:
    • sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, ehe sie zur Identitätsüberprüfung verwendet werden können.

Möchte ein Nutzer, beispielsweise sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone zuerst mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Darauffolgend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website verwendet werden.

  • Single Factor (SF)-Authentifikatoren,
    • sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um verwendet zu werden.

Will ein User ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, erfordert das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

Zusammenfassend lässt sich sagen, dass für die Realisierung einer modernen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster entscheidender Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Firmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz basieren, mehr Schutz, Benutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer optimalen Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.