Was ist Multifaktor-Authentifizierung (MFA)?

Die Multifaktor-Authentifizierung (MFA) wird eingesetzt, um sicherzustellen, dass digitale Benutzer die sind, für die sie sich ausgeben, indem sie mindestens zwei Nachweisfaktoren angeben müssen, um ihre Identität zu verifizieren. Jeder einzelne Nachweis muss von einer anderen Kategorie stammen: Etwas, das sie kennen, etwas, das sie haben oder etwas, das sie sind.

Wenn einer der Faktoren durch einen Hacker oder nicht autorisierten Benutzer kompromittiert wurde, ist die Wahrscheinlichkeit dennoch gering, dass dies auch bei einem weiteren Faktor der Fall ist. Daher verifiziert das Einfordern mehrerer Authentifizierungsfaktoren die Identität mit einem höheren Maß an Sicherheit.

Passwörter sind zwar nach wie vor die vorherrschende Methode bei der Authentifizierung Ihrer Online-Identität, aber die hier gebotene Sicherheit wird immer geringer. Wenn die Hacker ein Passwort gestohlen haben, können sie sich mit den Anmeldedaten Zugriff auf Anwendungen und Geschäftssysteme verschaffen, weitere Zugangskontrollen umgehen und schweren Schaden anrichten. Laut dem Data Breach Investigations Report 2020 von Verizon sind gestohlene Anmeldedaten die bevorzugte Strategie der Hacker bei Datenschutzverletzungen. 

Zudem gibt es erschreckend viele Angriffsvektoren, die Hacker nutzen können, um Passwörter zu stehlen oder um Zugang zu erlangen. Dazu gehören unter anderem Phishing-Angriffe, Brute-Force-Angriffe, Angriffe auf Webanwendungen, das Eindringen in Vertriebsfilialen und sogar gestohlene Hardware.

Unglücklicherweise machen es Nutzer den Hackern zusätzlich leicht, indem sie schwache Passwörter auswählen, die gleichen Passwörter für mehrere Anwendungen nutzen, sie an unsicheren Orten aufbewahren und über lange Zeiträume hinweg verwenden. Diese Praktiken sind zwar einerseits bestimmt hilfreich, um sich die Anmeldedaten besser zu merken, aber sie öffnen gleichzeitig den Hackern auch Tür und Tor.
 
Die Multifaktor-Authentifizierung errichtet einen Schutzwall für Mitarbeiter und Kunden gleichermaßen und eliminiert alle diese Schwachpunkte. Sie schwächt den Welleneffekt kompromittierter Anmeldedaten ab: Ein Cyberkrimineller kann vielleicht Ihren Benutzernamen und Ihr Passwort stehlen, wenn er aber zur Angabe eines weiteren Faktors aufgefordert wird, bevor er auf kritische Daten zugreifen, eine Transaktion durchführen oder sich in Ihren Laptop einloggen kann, hat er verloren.

Eine kürzlich von Ping Identity durchgeführte Studie hat ergeben, dass IT- und Sicherheitsfachkräfte in der Multifaktor-Authentifizierung die wirkungsvollste Sicherheitskontrolle sehen, die man einrichten kann, um Daten sowohl am Standort als auch in der öffentlichen Cloud zu schützen. Die meisten marktgängigen MFA-Lösungen sind zudem schnell und leicht implementierbar, so dass ein Unternehmen diese hochgradig wirksame Sicherheitsmaßnahme ohne großen Zeit- und Arbeitsaufwand einführen kann.

Die Multifaktor-Authentifizierung ist auch eine hervorragende Möglichkeit, um die geschäftliche Mobilität zu verbessern und stellt damit eine Initiative dar, die bei Unternehmen, die gerade die digitale Transformation durchlaufen, immer hoch im Kurs steht. Die Produktivität steigt, wenn Mitarbeiter ihre bevorzugten Geräte verwenden und leicht und sicher auf alle benötigten Ressourcen zugreifen können, ohne dabei ans Büro gebunden zu sein. Durch den Einsatz einer MFA zum Anmelden bei Geschäftsanwendungen oder beim Fernzugriff auf das Netzwerk über VPN erhalten sie die Flexibilität und den bedarfsgerechten Zugang, den sie schätzen, während sich die Unternehmen sicher sein können, dass ihr Netzwerk und ihre Daten geschützt bleiben.

Die MFA könnte im Zusammenhang mit speziellen Branchen- oder Standortvorschriften auch zu den grundlegenden Anforderungen gehören. Der PCI-DSS (Payment Card Industry Data Security Standard) schreibt beispielsweise vor, dass in bestimmten Situationen eine MFA implementiert werden muss, um zu verhindern, dass unautorisierte Benutzer auf Systeme zugreifen, die Zahlungstransaktionen verarbeiten. Die MFA kann außerdem Gesundheitsdienstleistern bei der Einhaltung der Vorschriften des HIPAA-Konformitätsprogramms unterstützen. Sie gehört auch zu den wichtigsten Voraussetzungen für die Erfüllung der Anforderungen an eine starke Kundenauthentifizierung, wie sie von der PSD2 vorgegeben wird, eine Verordnung für Finanzinstitute in der EU.

Die Anmeldedaten eines Benutzers müssen aus mindestens zwei von drei verschiedenen Kategorien oder Faktoren stammen. Die Zwei-Faktor-Authentifizierung (oder 2FA) ist eine Untergruppe der MFA, bei der nur zwei Nachweisfaktoren angegeben werden müssen, wohingegen bei der MFA beliebig viele Faktoren zum Einsatz kommen können.

Das gängigste Beispiel dieses Faktors ist natürlich das Passwort, das auch in Form einer PIN oder sogar einer Passphrase vorliegen kann – etwas, das nur Ihnen bekannt sein kann.

Manche Unternehmen richten möglicherweise eine wissensbasierte Authentifizierung ein, wie beispielsweise Sicherheitsfragen (z.B. „Was ist der Mädchenname Ihrer Mutter?“), aber auch grundlegende personenbezogene Informationen können häufig mittels Recherche, Phishing und Social Engineering offengelegt oder gestohlen werden, somit stellt dies allein als Authentifizierungsmethode eine weniger ideale Lösung dar.

Noch weniger wahrscheinlich ist es, dass ein Hacker nicht nur Ihr Passwort gestohlen, sondern auch etwas Physisches entwendet hat, so dass dieser Faktor Ihren Besitz eines spezifischen Gegenstands bestätigt. Zu dieser Kategorie gehören Mobiltelefone, physische Token, Schlüsselanhänger und Smartcards.

Für diese Authentifizierung gibt es verschiedene Funktionsweisen, die jeweils von dem Gegenstand abhängen, aber gängige Methoden sind unter anderem die Bestätigung über eine mobile App oder Pop-up-Benachrichtigung. Dafür müssen Sie lediglich einen eindeutigen Code eingeben, der von einem physischen Token erzeugt wurde, oder eine Karte einstecken (z.B. an einem Geldautomaten).

Die Verifizierung dieses Faktors ist üblicherweise der Scan eines Fingerabdrucks auf einem Mobiltelefon, kann aber auch über ein beliebiges anderes eindeutiges Identifizierungsmerkmal Ihrer physischen Person erfolgen. Darunter fallen Netzhaut-Scans, Stimm- oder Gesichtserkennung und jede andere Art von Biometrie.

Es gibt eine Vielzahl von Möglichkeiten, die sich auf diese drei Kategorien verteilen, und unterschiedliche Authentifizierungsmechanismen können für verschiedene Unternehmen je nach ihren einzigartigen Bedürfnissen und Anwendungsfällen besser geeignet sein. Durch die Bewertung der relativen Stärke, der Kosten und des Nutzens sowohl für die IT als auch für die Benutzer kann eine Organisation die Kombination finden, die sich für ihre Zwecke und die ihrer Benutzer am besten eignet. 

Manche Unternehmen möchten vielleicht eine Multifaktor-Authentifizierung für alle Benutzer, Mitarbeiter und Kunden gleichermaßen einrichten. Dies ist besonders dann wirkungsvoll, wenn die MFA mit einer Single Sign-on (SSO)-Lösung kombiniert wird, die viele Passwörter aus der Gleichung nimmt und damit die Sicherheit ebenso wie die Benutzererfahrung noch weiter verbessert.

Andere Unternehmen wiederum sehen in keinem Fall die Notwendigkeit, eine MFA zu verlangen. Um den Komfort für Mitarbeiter und Kunden zu optimieren, entscheiden sie sich möglicherweise dafür, die MFA in Situationen mit geringem Risiko auszulassen, und stattdessen in risikoreichen Szenarien eine stärkere Sicherheit zu verlangen, insbesondere für sensible Daten oder hochwertige Transaktionen.  Zum Beispiel:

• Banken erlauben möglicherweise die Anmeldung bei den Kundenkonten nur mit einem Benutzernamen und Passwort, verlangen dann aber vor der Bestätigung von Transaktionen noch einen weiteren Authentifizierungsfaktor.

• Ein Konzern könnte sich ein höheres Maß an Gewissheit wünschen, dass ein Mitarbeiter auch wirklich derjenige ist, der er vorgibt zu sein, wenn er auf eine HR-Anwendung von einem Café oder einem anderen Ort außerhalb des Standorts zugreift.

• Ein Einzelhändler kann die MFA so einrichten, dass sie sich in dem Moment einklinkt, wenn sich Anbieter von einem neuen Gerät aus beim Portal anmelden, um auf diese Weise sicherzustellen, dass es sich nicht um einen Hacker handelt, der versucht, mit einem gestohlenen Passwort einzudringen.

In dem Fall handelt es sich um eine kontextbezogene, adaptive oder risikobasierte MFA. Das Schöne an der Verwendung einer kontextbezogenen MFA ist, dass sie die Sicherheit dann verstärken kann, wenn dies geboten ist, und sich diese Anforderungen oder Anwendungsfälle leicht ändern oder mit der Zeit entwickeln lassen.
 

Schauen Sie sich das Video an, um zu erfahren, wie eine moderne MFA-Lösung für mehrere Authentifizierungsmethoden und kontextrelevante Richtlinien Ihr Unternehmen wirkungsvoller wappnen, aber auch für eine bessere Online-Erfahrung Ihrer Mitarbeiter, Kunden und Partner sorgen kann.

Eine Cloud-basierte Multifaktor-Authentifizierung (Cloud MFA) bietet Unternehmen eine sichere und reibungslose Erfahrung für Kunden und Benutzer. Cloud MFA schützt Anwendungen und Daten ohne die mit einer lokalen MFA verbundenen Verwaltungs- und Hardwarekosten. Außerdem steigert sie die Produktivität und den Komfort und verringert gleichzeitig die Risiken.

Wie bei der lokalen MFA werden bei der Cloud-basierten MFA zwei oder mehr Faktoren zur Authentifizierung eines Kunden oder Benutzers verwendet. Nehmen wir PingOne MFA als Beispiel. Benutzer können selbst wählen, ob sie sich durch Wischen, Tippen oder mit Fingerabdruck- bzw. Gesichtserkennung über eine sichere Push-Benachrichtigung auf ihrem Mobilgerät anmelden oder sich durch FIDO2-basierte Biometrie auf ihrem Laptop bzw. Sicherheitsschlüssel authentifizieren möchten. Alternativ können sie TOTP-Authentifizierungs-Apps von Drittanbietern (wie Google Authenticator) oder ein Einmalpasswort verwenden, das ihnen per E-Mail oder SMS übermittelt wird, um ihre Identität zu verifizieren.

• Benutzerfreundlich: Die Cloud-basierte MFA lässt sich leicht in die Unternehmensressourcen integrieren. 

• Kostengünstig: Im Gegensatz zur lokalen MFA muss keine Equipment angeschafft oder von Mitarbeitern überwacht und gewartet werden. 

• Skalierbar: Cloud MFA lässt sich problemlos an die Bedürfnisse von Unternehmen anpassen.

Die Multifaktor-Authentifizierung in der Cloud überwindet die Grenzen der lokalen MFA. Angesichts der sich ständig weiterentwickelnden Bedrohungen für die Cybersicherheit kann es sehr schwierig werden, die eigenen Mitarbeiter über die Risiken auf dem Laufenden zu halten und in die neueste Software und Ausrüstung zu investieren. Dank der Cloud MFA können Unternehmen diese Herausforderungen an Experten abgeben, damit sie sich auf ihr Kerngeschäft konzentrieren können.

Es ist normalerweise kein großer Umstand für Mitarbeiter, eine App herunterzuladen oder ein Token mitzuführen, das für die regelmäßige Multifaktor-Authentifizierung bei der Arbeit eingesetzt wird. Bei einer MFA für Kunden wird es dann schon ein bisschen schwieriger, da die Erwartungen an eine optimale Online-Erfahrung hoch sind und Kunden sich bei schwerfälligen Anmeldeverfahren schnell zurückziehen. Wenn sie die Wahl haben, sind Kunden nicht besonders erpicht darauf, den MFA-Schutz für ihre Konten zu aktivieren – selbst dann nicht, wenn er ihnen umsonst vom Anbieter zur Verfügung gestellt wird.

Große Unternehmen versuchen, ihre Kunden für die Nutzung von MFA zu begeistern, indem sie ihnen erklären, wie dieses Verfahren nicht nur die Sicherheit ihres Kontos ohne zusätzliche Umstände bei der Anmeldung erhöht, sondern auch ihre anderen Interaktionen (z.B. die Überprüfung ihrer Identität während eines Anrufs beim Kundendienst) optimieren kann. Manche der Unternehmen bieten die MFA sogar in ihren eigenen kundenseitigen mobilen Anwendungen an, so dass die Kunden nicht dazu gezwungen sind, eine separate Anwendung herunterzuladen oder weniger sichere Faktoren zu verwenden.

Eine gute MFA-Strategie wird beim Festlegen von MFA-Anforderungen und risikobasierten Richtlinien die Gefahr einer Kompromittierung von Anmeldedaten sorgfältig gegen die Auswirkungen auf die Mitarbeiterproduktivität oder die Kundenerfahrung abwägen.

Sehr gute, moderne MFA-Lösungen sind in der Lage, eine Balance zwischen Sicherheit und Komfort herzustellen, indem sie mehrere Authentifizierungsoptionen anbieten, adaptive Richtlinien implementieren und sich nahtlos in bestehende Anwendungen einfügen.

Die FIDO Alliance ist ein Industriekonsortium, das allen Nutzern wie auch den Online-Diensten, mit denen sie interagieren, die passwortlose Anmeldung ermöglichen soll. Angesichts des immensen Kostenaufwands, der mit einem typischen Datenmissbrauch einhergeht (ganz zu schweigen von den entgangenen Einnahmen und der bleibenden Rufschädigung, die ein Unternehmen hinnehmen muss), ist es riskant, sich auf Passwörter und andere wissensbasierte Faktoren (KBA) oder Einmal-Passcodes zu verlassen, da sich diese Methoden als angreifbar erwiesen haben. Der FIDO2-Standard gibt eine allgemeine Methode der Implementierung von MFA für Browser und Online-Dienste vor. Den Nutzern werden passwortlose Anmeldeoptionen angeboten, wie beispielsweise Sicherheitsschlüssel, Biometrie und weitere auf mobilen Geräten basierende Lösungen. Die wissensbasierten Faktoren fallen einfach weg und die Sicherheit für Endnutzer und Online-Dienste wird verbessert.
 

In diesem Video wird veranschaulicht, wie FIDO und MFA Phishing-Angriffe vereiteln können.