Mehr-Faktor-Authentifizierung (MFA), für viele das Zauberwort, wenn es um sichere Anmeldung bei Online-Konten und den Schutz von Netzwerken geht. Tatsächlich spricht einiges dafür, dass diese Methode schnell und breit eingeführt und genutzt werden sollte. Jedoch ist auch die MFA kein Allheilmittel. Die ersten Cyber-Kriminellen stellen ihre Angriffe bereits um.
Das FBI warnt öffentlich, dass die Cybercrime-Szene sich zunehmend darauf konzentriert - mit ersten Erfolgen - die Schutzmechanismen der MFA zu umgehen. Zum Einsatz kommen technische Kniffe, aber auch das altbekannte Social Engineering, um persönliche und relevante Details über eine Person zu gewinnen, wie einen Mitarbeiter. Die richtigen Informationen ergattert, lässt sich dann auch die MFA austricksen.
Das sollte Unternehmen, Nutzer, Verantwortliche, Behörden und Anbieter von Sicherheitslösungen gleichermaßen zur Vorsicht ermahnen – und zum Handeln bewegen, denn bislang gilt MFA in der öffentlichen Meinung als sehr sicher. Eine Microsoft-Studie behauptete erst kürzlich, dass ein bestehendes Konto um 99,9 Prozent weniger anfällig für eine feindliche Übernahme sei, wenn MFA zum Einsatz kommt.
Der Bericht zeigt aber außerdem, dass MFA bislang nicht weit verbreitet ist. Nur 10 Prozent der monatlichen Nutzer von Microsoft haben einen zweiten Faktor aktiviert. Den meisten sei MFA zu umständlich, daher verzichten sie. Die neue Methode ist also der richtige Weg, aber es können – und müssen – noch Anpassungen und Optimierungen vorgenommen werden.
Da nun Hacker neue Angriffswege suchen und finden, um bereits die klassische Zwei-Faktor-Authentifizierung (SMS-Code oder TAN) zu umgehen, rät das FBI dazu, dass Unternehmen weitere Faktoren verlangen sollten. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt im Lagebericht 2019 in die selbe Kerbe.
Im Grunde geht es um die drei Faktoren ‚Wissen‘ (Kennwort), ‚Besitz‘ (Smartphone-Abfrage) und ‚Biometrie‘. Gerade letzterer wird derzeit heiß diskutiert: Einerseits sind Verhaltensweisen des Nutzers (Tastaturanschläge oder Umgebungsgeräusche zur Identifizierung des Aufenthaltsortes) und biometrische Merkmale (Gesicht, Augen, Fingerabdrücke) hervorragend zur Identifizierung geeignet. Andererseits sind solche Abfragen technisch schwierig umzusetzen und längst nicht ausgereift – von der Frage nach dem Datenschutz ganz zu schweigen.
Abschließend lässt sich also feststellen, dass Unternehmen – vor allen Banken – unbedingt die Mehr-Faktor-Authentifizierung aller Mitarbeiter voraussetzen sollten, denn der Nutzen ist unbestritten hoch. Gleichzeitig müssen sie aber ihre bewährten Sicherheitskonzepte, wie Firewalls und Richtlinienverwaltung, stets auf dem neuesten Stand der Technik halten, denn die Hacker finden bereits jetzt erste Wege, um die MFA auszuhebeln – sie ist eben keine Universalwaffe zur Absicherung der eigenen IT-Infrastruktur.