Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung oder auch kurz MFA, wird für Unternehmen, die Versicherungsschutz in der Sparte Cyber erhalten wollen, nun fast durchgängig als Minimalvoraussetzung genannt. Warum das so ist und welche Vorteile MFA für jedes einzelne Unternehmen bringt, soll hier kurz erläutert werden.

Sicherheitsrisiko „Kennwort“

Lange Zeit war die Wahl eines sicheren Kennworts die wichtigste Empfehlung zur Absicherung von Benutzer- und Online-Konten. Die Vorgaben für ein sicheres Passwort waren hier teilweise so praxisfremd und nicht selten führte dies dazu, dass bei jedem Einstieg in das Online-Konto, insbesondere, wenn man es nicht so oft nutzte, die Funktion „Passwort vergessen?“ genutzt werden musste. Auch führte dies oft dazu, dass wenn man sich ein „sicheres“ Passwort merken konnte, dies für eine Vielzahl von Diensten verwendet wurde.

Auch wenn die Passwörter grundsätzlich sicher gewählt waren, sind diese Passwörter häufig durch diverse Sicherheitslücken in öffentlichen Passwortlisten gelandet – somit waren alle Dienste für die man dieses Passwort genutzt hat potentiell kompromittiert.

Um diesem Problem entgegenzuwirken gibt es für fast jede Software, die in Unternehmensumgebungen eingesetzt wird, inzwischen die Möglichkeit die sogenannte Multi-Faktor-Authentifizierung zu aktivieren.

Wie funktioniert Multi-Faktor-Authentifizierung?

Anstatt nur ein Kennwort bei der Anmeldung abzufragen, erfolgt der Anmeldeprozess bei MFA mehrstufig. MFA erfordert, dass Benutzer bei der Anmeldung mehr als einen Benutzernamen und ein Passwort verwenden, um sich erfolgreich anzumelden. Dies erschwert das Hacken von Konten ungemein, insbesondere wenn die zusätzlichen Faktoren gut gewählt sind.

meistgenutzte Faktoren für die Multifaktor-Authentifizierung

Wissen – etwas, das der Nutzer weiß

In den meisten Fällen ist dieser Teil die erste Stufe der MFA – der Benutzer meldet sich mit seinem Benutzernamen und seinem Passwort bei dem Dienst an.

Weitere Wissensfaktoren können sein:

• OTP (Einmalpasswörter – allerdings meist in Verbindung mit dem Faktor Besitz)
• Antworten auf persönliche Sicherheitsfragen

Nachteil des Faktors Wissen ist, dass es für den Benutzer meist schwer zu merken ist, wenn es nicht zu erraten sein soll und auch nicht durch Ausprobieren ermittelbar sein soll. Diese Anforderungen führen oft dazu, dass die Passwörter nicht den vorgegebenen Richtlinien entsprechen, mehrfach verwendet werden, oder auch unsicher in der Nähe des Arbeitsplatzes notiert werden.

Besitz – etwas, das der Nutzer besitzt

Hier gibt es eine große Auswahl an Devices, die für den Nachweis dieses Faktors verwendet werden:

• Einmalpasswörter über Smartphone-Apps
• Einmalpasswörter per EMail oder SMS
• Keycards, USB Sticks, Smart Cards
• Smartwatches usw.

Der Nachteil hier ist, dass dieser Faktor immer mitzuführen ist und damit auch vergessen werden kann.

Inhärenz – etwas, das der Nutzer ist

Auch diese Faktoren sind schon lange im Einsatz:

• Fingerabdruck
• Gesichtserkennung
• Stimmerkennung
• Retina oder Iris-Scan
• Verhaltensanalysen

Für das Lesen von diesen Merkmalen sind oft spezielle Geräte erforderlich und auch hier muss darauf geachtet werden, dass die verwendeten Faktoren fälschungssicher sind. Gerade in der Vergangenheit haben sich Hersteller entsprechender Lesegeräte nicht gerade mit Ruhm bekleckert, da die Geräte sehr leicht zu täuschen waren.

Man sieht, jeder einzelne Faktor hat für sich alleine genommen seine Schwächen und Nachteile. Hier kommt die Multifaktor-Authentifizierung ins Spiel.

Was macht MFA so viel besser?

Gängige Multi-Faktor-Authentifizierung nutzt immer eine Kombination von zwei oder mehr Zugangsnachweisen aus unterschiedlichen Faktorkreisen für die Prüfung der Zugangsberechtigung – die gängigsten Beispiele dafür sind:

• Login mit Benutzername und Kennwort (Wissen) + Einmalpasswort per SMS/App (Besitz) (z.B. Online-Banking, Handy-Signatur)
• Login mit Benutzername und Kennwort (Wissen) + Entsperren des Smartphones (Besitz) (z.B. Google Accounts)
• Login mit Benutzername und Kennwort (Wissen) + Lesegerät für Smartcards (Besitz) (z.B. Bürgerkarte)

Diese Kombination verschiedener Faktoren macht es für die Angreifer viel schwerer auf die dadurch geschützten Dienste zuzugreifen. Gängige Bedrohungsszenarien durch einfachen Passwortdiebstahl sind damit ausgeschlossen:

• Phishing: Erbeutung von Login-Informationen, indem User auf gefälschte Anmeldeseiten gelockt werden
• Malware: Installation von Schadsoftware am PC des Users, um z.B. über Keylogger an die Anmeldeinformationen zu kommen
• Brute-Force: wiederholte und systematische Eingabe von Nutzer-Passwort-Kombinationen
• Credential-Hacking: Cyberkriminelle verwenden geleakte Benutzer- und Passwortlisten, um bereits veröffentlichte Kombinationen von Benutzername und Passwort automatisiert bei allen möglichen Diensten auszuprobieren.

All diese Methoden funktionieren möglicherweise für das Passwort, allerdings erlangt nur mit dem Passwort, wenn das Konto durch MFA geschützt ist, niemand vollen Zugriff auf das Konto.

Nachteile der Multi-Faktor-Authentifizierung?

Sie.ist.unbequem. bzw. hat sie zumindest diesen Ruf.

Bequemlichkeit soll allerdings keine Ausrede für mangelhafte Sicherheit (nicht nur) im Unternehmensnetzwerk sein. Auch gibt es aktuell bereits durchaus sehr benutzerfreundliche Wege, um das eigene Netzwerk mit MFA deutlich sicherer zu machen.

Ein weiterer Nachteil ist, dass es umständlich sein kann, Zugriff auf sein Konto zu erhalten, wenn der weitere Faktor, der für die Anmeldung erforderlich ist, verloren gegangen ist (z.B. das Handy oder die Zugangskarte wurden verlegt). In diesen Fällen muss dann meist die IT-Abteilung tätig werden oder es müssen zusätzliche Schritte ergriffen werden, um wieder Zugriff auf das eigene Konto zu erlangen.

Was hat MFA mit Cyber-Versicherung zu tun?

Versicherungsunternehmen, die Versicherungsschutz für Cyber-Angriffe bieten, haben ein verständliches Interesse daran, dass die Systeme Ihrer versicherten Kunden sicher sind. Vergangene Schadensfälle haben gezeigt, dass Unternehmen, welche (zumindest im Fernzugriff) Multi-Faktor-Authentifizierung verwenden, viel besser gegen Cyber-Angriffe gewappnet sind.

Während es vor 2 Jahren auch für mittelständische Unternehmen durchaus möglich war, Versicherungsschutz ohne umgesetzte MFA zu erlangen, ist dies heute in den meisten Fällen nicht mehr möglich.

Da die Multi-Faktor-Authentifizierung zwischenzeitlich für jede gängige Unternehmenssoftware zur Verfügung steht, ist es aufgrund der oben genannten Vorteile von MFA nur verständlich, dass von vielen Versicherungsgesellschaften MFA bereits zu den Mindestvoraussetzungen erhoben wurde (neben Backup, Firewall, etc.). Daraus leiten sich meist in der Folge auch Bestimmungen in den Versicherungsverträgen ab, welche eine Leistung ausschließen, wenn der Schaden durch fehlende Multi-Faktor-Authentifizierung verursacht oder verschlimmert wurde.

Auch wir sind der Meinung, dass gerade in diesen Zeiten, in denen auch  verstärkt auf die Unternehmensumgebungen aus dem Homeoffice zugegriffen wird, die Absicherung des eigenen Netzwerks durch MFA insbesondere bei Fernzugriffen unumgänglich ist.

Auch die Datenschutzbehörden fordern beim Zugriff auf sensible Daten die Absicherung des Zugriffs über MFA. In diesem Zusammenhang verweisen die Behörden auf die Bestimmungen der DSGVO, dass geeignete technische Maßnahmen beim Zugriff auf sensible Daten zu ergreifen sind. Ist dies nicht der Fall stehen entsprechend hohe Strafen für die Verantwortlichen im Raum.