Mehr Faktoren, mehr Sicherheit? Wo die Grenzen der Multifaktor-Authentifizierung liegen
Die Multifaktor-Authentifizierung (MFA) ist heutzutage in vielen Unternehmen ein fester Bestandteil der IT-Sicherheit. Aber auch sie ist kein Allheilmittel, um Angriffe zu verhindern. Daher ist es wichtig, die Wege zu kennen, mit denen Cyberkriminelle MFA umgehen können.
Immer mehr Unternehmen setzen auf Multifaktor-Authentifizierung, um etwa die Sicherheit von Anmeldeverfahren für Nutzer und Nutzerinnen zu erhöhen. Aber nicht nur im Geschäftsalltag sorgt MFA für einen höheren Schutz der Unternehmens-IT. Auch für Privatanwenderinnen und -anwender bietet das Verfahren einen enormen Zuwachs an Sicherheit für persönliche Daten und macht es Cyberkriminellen schwerer, Online-Konten zu kapern.
Die Vorteile liegen auf der Hand
Gegenüber der herkömmlichen Ein-Faktor-Authentifizierungsmethode (Benutzername und Passwort) bietet MFA mehrere Vorteile. MFA fügt einem Anmeldeverfahren eine weitere Sicherheitsebene hinzu, indem es von Nutzerinnen und Nutzern mehrere Formen der Verifizierung verlangt. Normalerweise bestehen diese aus einem bekannten Teil, wie etwa einem Passwort und etwas, das sie haben – wie ein Smartphone für den Empfang eines Verifizierungscodes oder ein physisches Sicherheitstoken.
Selbst, wenn es einer Tätergruppe gelingt, das Passwort einer Person zu erlangen, benötigen sie auch den zusätzlichen Faktor, um Zugang zu erhalten. Dies macht es für Unbefugte viel schwieriger, um sich erfolgreich zu authentifizieren. Somit trägt MFA dazu bei, das Risiko des Diebstahls von Anmeldeinformationen durch Methoden wie Phishing oder Brute-Force-Angriffe zu senken.
Mittlerweile verlangen insbesondere viele behördliche Standards und Branchenvorgaben von Unternehmen den Einsatz von MFA, um die Sicherheit zu erhöhen und kritische Daten zu schützen. Wer diese Anforderungen umsetzt, vermeidet also Strafen und hält Compliance-Regeln ein.
Auch wenn der zusätzliche Anmeldeschritt auf den ersten Blick lästig erscheint, sind viele MFA-Verfahren benutzerfreundlich umgesetzt. Methoden wie Push-Benachrichtigungen oder biometrische Authentifizierung bieten eine nahtlose und benutzerfreundliche Erfahrung und gewährleisten gleichzeitig die Sicherheit.
Ein weiterer Vorteil ist die Plattform- und Geräte-unabhängige Implementierung, sodass sich MFA an unterschiedliche Umgebungen und Benutzerpräferenzen anpassen lässt. Ob beim Zugriff auf Unternehmensnetzwerke, Cloud-Dienste oder persönliche Konten – MFA verbessert die Sicherheit in allen Bereichen.
Einige fortschrittliche MFA-Systeme verfügen sogar über Verhaltensanalysen und Anomalieerkennung. Diese Funktionen können dazu beitragen, verdächtige Anmeldeversuche auf der Grundlage eines ungewöhnlichen Standortes oder verdächtiger Zugriffsmuster zu erkennen, sodass Unternehmen schneller auf potenzielle Bedrohungen reagieren können.
Daher ist MFA eine wirksame Strategie zur Stärkung der Sicherheit in einer zunehmend digitalen und vernetzten Welt und schützt vor einer Vielzahl von Cyber-Bedrohungen. In Anbetracht dieser Vorteile ist es erstaunlich, wie wenig die Technologie bisher auf breiter Front angenommen wird.
Wo Licht ist, ist auch Schatten
Trotz dieser Lobeshymnen sollten aber auch die Grenzen dieser Technologie nicht ausser Acht gelassen werden. Denn Cyberkriminelle können die MFA mit einigen bewährten Techniken umgehen. Sicherlich ist eine Erfolgsquote von 90 Prozent bei der Vereitelung von Angriffen eine gute Nachricht. Trotzdem bleibt immer noch ein erheblicher Spielraum für Angriffsversuche. Denn selbst wenn 90 von 100 Attacken im Sande verlaufen, sind immer noch 10 Angriffe trotz der verbesserten Sicherheit erfolgreich. Zurzeit nutzen Cyberkriminelle folgende Methoden, um MFA auszuhebeln:
Obwohl MFA herkömmliche Brute-Force-Angriffe abschwächt, liegt die Schwachstelle im Brute-Forcing von Verifizierungscodes. Besonders anfällig sind MFA-Systeme, die kurze Einmal-Passwörter verwenden, die moderne Cracking-Tools schnell entschlüsseln können.
Phishing ist aufgrund seiner Effektivität nach wie vor ein Dauerbrenner unter Cyberkriminellen. Indem sie Nutzerinnen und Nutzer dazu verleiten, kritische Informationen, einschliesslich Authentifizierungsdaten, preiszugeben, können Hacker MFA umgehen. Ob durch betrügerische E-Mails oder gefälschte Anmeldeseiten, ahnungslose Anwenderinnen und Anwender geben unwissentlich ihre MFA-Codes preis.
Unter Ausnutzung der SMS-Verifizierung können Hacker MFA kompromittieren, indem sie sich Zugang zu Mobilgeräten verschaffen. Durch SIM-Jacking, bei dem Spyware über bösartige Texte installiert wird, oder SIM-Swapping, bei dem sich Hacker gegenüber dem Mobilfunk-Anbieter als Kunden ausgeben, um eine neue SIM-Karte zu erwerben, fangen Cyberkriminelle SMS-Verifizierungsnachrichten ab.
Der problematischste und effektivste Angriff ist der sogenannte "MFA Fatigue"-Angriff (Fatigue = Müdigkeit). Diese MFA-Müdigkeit nutzen Kriminelle aus, indem Personen mit aufeinanderfolgenden Push-Benachrichtigungen überschwemmt werden. Das führt dazu, dass die Authentifizierung aus Frustration versehentlich erfolgt. Cyberkriminelle nutzen die menschliche Fehlbarkeit aus und machen sich die Neigung der Anwendenden zunutze, unter Druck Fehler zu provozieren. Microsoft verzeichnete im Jahr 2022 mehr als 382.000 Angriffe aufgrund von MFA-Müdigkeit. Auch in den Jahren 2023 und 2024 gab es keine grosse Verbesserung.
Session Hijacking ist weniger verbreitet, fängt aber Benutzeraktivitäten über Man-in-the-Middle-Angriffe ab und ermöglicht es kriminellen Hackern, Sitzungscookies mit MFA-Anmeldedaten zu stehlen. Obwohl diese Cookies bei der Abmeldung automatisch gelöscht werden, erhalten Hacker durch das Abfangen vor der Beendigung ungehinderten Zugang.
Wie lässt sich MFA verbessern?
Mit stärkeren Verifizierungstechniken wie Biometrie oder hardwarebasierte MFA, die PINs mit physischen Token kombinieren, lässt sich die Sicherheit von MFA-Verfahren zusätzlich stärken. Hardware-basierte Lösungen, die sowohl PINs als auch physische Geräte erfordern, bieten eine erhöhte Sicherheit, die eine gleichzeitige Kompromittierung unwahrscheinlich macht.
Gleichzeitig sollten Verantwortliche Mechanismen zur Kontrolle und Einschränkung von Anmeldeversuchen etablieren – einschliesslich standortbasierter Verifizierung und begrenzter Wiederholungsgenehmigungen. Eine aufmerksame Überwachung ermöglicht dann die sofortige Erkennung verdächtiger Aktivitäten und beugt so einem unberechtigten Zugriff vor.
Wer zeitbasierte Einmalkennworte nutzt, kann Brute-Force-Angriffe vereiteln. Denn durch die Begrenzung der Gültigkeitsdauer dieser Passwörter wird das Zeitfenster für Angriffe minimiert, wenn auch nicht eliminiert.
Unzulänglichkeiten akzeptieren
MFA sind für zeitgemässe IT-Sicherheit unverzichtbar. Aber allein können sie keine unangreifbare Sicherheit garantieren. Wenn der Authentifizierungsmechanismus, wie stark und gut konzipiert er auch sein mag, die ganze Arbeit übernimmt, lassen Probleme nicht lange auf sich warten. Daher ist eine Ergänzung durch robuste Zugriffskontrollen unabdingbar, um die Abwehrkräfte eines Unternehmens gegen sich entwickelnde Cyber-Bedrohungen zu stärken.
Darüber hinaus sollten Unternehmen Phishing-Bedrohungen durch umfassende Security Awareness Trainings für Mitarbeitende entschärfen. Wer seine Belegschaft in die Lage versetzen, Phishing-Versuche zu erkennen und zu melden, reduziert das Risiko von Social-Engineering-Attacken deutlich.
Darum lohnt sich die Teilnahme bei Best of Swiss Apps
Ein Bug hat zur IT-Panne geführt
Phisher phishen am liebsten mit Microsoft
Check Point hat einen neuen CEO
Chrome warnt Nutzende mit KI vor gefährlichen Dateien
Angreifer nehmen kritische Infrastrukturen ins Visier
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
Sophos beruft neue Chief Customer Officer
Play-Ransomware hat es auf Linux abgesehen
