Multi-Faktor-Authentifizierung: Jede Barriere zählt, damit Identitätsdiebstahl nicht zum bösen Traum wird!

Das verbotene Geschäft mit Identitätsdaten boomt!

Ob Zoom, Facebook oder Microsoft: Seit Jahren reißen die Nachrichten über siegreiche Hacks, ungepatchte Sicherheitslücken sowie schwerwiegende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jährlich einen immensen ökonomischen Schaden.

Erst veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit um die 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge früherer Angriffe und Datenlecks bei namenhafte Organisationen wie Netflix und LinkedIn erbeutet wurden.

Das solche Datensammlungen im Darknet offeriert werden ist nichts Neuartiges.
Jedoch in diesem Tatbestand gibt es eine besorgniserregende Charakteristik: Die Zugangsdaten liegen unverschlüsselt und im Prinzip für jeden frei erhältlich vor, sodass sie von Internetkriminellen simpel für identitätsbasierte Angriffe und umfassende Phishing-Attacken genutzt werden können.

Auf Grund dieser Bedrohungslage ist es allerhöchste Zeit, dass Firmen belastbare Authentifizierungsprozesse implementieren.

Die Mischung macht den Schutz aus!

In einer Zeit zunehmender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetangriffe zu.

Um sich vor derartigen Sicherheitsbedrohungen zu schützen, ist der Gebrauch einer Multi-Faktor-Authentifizierung unverzichtbar. Sie bieten Firmen einen zweifelsfreien Identitätsschutz und sorgen eine geschützte Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Passwort beruht, verwendet die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer verschiedener und vor allem selbständiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Anwendung, ein Benutzerkonto oder eine VPN zu prüfen.

Grundsätzlich lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:
• Wissen: Dinge, die nur der User „weiß“ oder „kennt“.
Hierzu gehören Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
• Besitz: Dinge, die nur der Anwender besitzt.
Hierzu zählen digitale Zertifikate, digitale Anwendungen Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
• Inhärenz: Dinge, die einen Anwender unzweifelhaft auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung mittlerweile auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind außerdem geographische, adaptive oder risikobasierte Identitätsnachweise machbar.

• Standortbasierte Identitätsnachweise:
o Bei einer Identitätsüberprüfung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Aufenthaltsort des Nutzers geprüft. Falls sich der Nutzer nicht an einem per Whitelist autorisierten Ort aufhält, wird der Zugriff verweigert.
• Adaptive/ risikobasierte Identitätsnachweise:
o Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden darüber hinaus die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ überprüft, um das mit dem Zugriffsversuch verbundene Risiko einzuordnen.

Dazu zählen:
• Von wo aus versucht der Nutzer, auf die Anwendung oder Informationen zuzugreifen?
• Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Feierabend?
• Was für ein Endgerät wird für den Zugriffsversuch verwendet? Dasselbe Endgerät wie am Vortag?
• Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Punkte errechnet. Ist die Gefahr hoch, wird der Nutzer zur Übermittlung zusätzlicher Identitätsnachweise angewiesen.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung handelt es um einen Spezialfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Kombination von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung lediglich zwei Faktoren notwendig. Demnach ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein vielfacher Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Beispielsweise wird vor dem Login via Benutzerkennung und Kennwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Dilemma in diesem Fall ist, dass Eindringlinge mithilfe eines Phishing-Angriffs sowohl an die Login-Daten als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Daher ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Authentifizierung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die vorrangige Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings existiert in vielen Firmen ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 Prozent jeglicher Sicherheitsverletzungen durch schwache, mehrmals genutzte oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich bergen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – minimum – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

• Multi-Faktor-Authentifikator:

o sind Authentifikatoren in Form von Software, Token oder Smartphones, die einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Know-how) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, bevor sie zur Identitätsprüfung genutzt werden können.

Möchte ein Anwender, zum Beispiel sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone zu Beginn mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Darauffolgend kann der Schlüssel auf dem Smartphone für den Zugang auf die Website verwendet werden.

• Single Factor (SF)-Authentifikatoren,

o sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um benutzt zu werden.

Will ein Nutzer ein One-Time Password von einer OTP-Applikation auf sein Smartphone erhalten, benötigt das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

Zusammenfassend lässt sich sagen, dass für die Umsetzung einer zeitgemäßen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster relevanter Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Betriebe einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Außerdem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Konzept aufbauen, mehr Schutz, Nutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer optimalen Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns. Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de