Während das Konzept der Multifaktor-Authentifizierung (MFA) verständlich ist, steckt bei der Implementierung der Teufel im Detail. Oliver Ott, Regional Sales Director DACH IAM bei Thales, beschreibt in diesem Beitrag, warum nicht alle Formen der MFA geeignet sind, um die Zugriffsanforderungen eines Unternehmens zukunftssicher zu machen und die Abdeckung auf alle Benutzer auszuweiten.
Führende Sicherheitsexperten sind sich einig, dass eine stärkere Authentifizierung die Grundlage für die Verhinderung von Datenschutzverletzungen ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, für eine sichere Authentifizierung nicht auf eine alleinige Passworteingabe zu setzen, sondern einen zweiten oder zusätzlich dritten Faktor hinzuzuziehen, denn Passwörter würden zu leicht in die Hände Dritter geraten.
Viele Unternehmen haben das erkannt und mittlerweile die Multi-Faktor-Authentifizierung für Remote-Beschäftigte eingeführt. Dennoch greifen viele Benutzer in diesen Unternehmen weiterhin mit einfachen Passwörtern auf Anwendungen und Dienste zu.
Bei der gegenwärtig immer weiter zunehmenden Cyberkriminalität sind jedoch längst alle Benutzer ein Angriffsziel. Wenn MFA nur für Teilgruppen von Benutzern eingeführt wird, hinterlässt dies Sicherheitslücken.
Unterschiedliche Arten der Multifaktor-Authentifizierung
Die meisten Unternehmen verfolgen bei der MFA einen einseitigen Ansatz, bei dem Smartphones als zweiter Authentifizierungsfaktor eingesetzt werden. Die gängigsten Authentifizierungsmethoden sind daher mobile OTP-Authentifikatoren, Push-OTP und SMS-basierte Authentifizierung.
Nicht alle Formen der MFA sind gleichermaßen geeignet, um die Zugangsanforderungen eines Unternehmens abzusichern und diese Anforderungen auf alle Benutzer auszuweiten. So geht beispielsweise die SMS-basierte Authentifizierung einher mit der Bedrohung durch „SIM-Swapping“ und wird daher von einigen Unternehmen grundsätzlich abgelehnt.
Zwar sollten für sämtliche Nutzer gleich sichere Zugangsbedingungen bei einer Anmeldung herrschen – jedoch bedeutet das nicht automatisch, dass es sich hierbei um ein und dieselbe Authentifizierungsmethode handeln muss oder sollte. Oft herrscht der Irrglaube vor, dass alle Benutzer gleich sind, dies ist jedoch bei weitem nicht der Fall.
In modernen, Cloud-basierten Unternehmen ist jeder Benutzer einzigartig und hat unterschiedliche Zugriffsanforderungen. So kann der eine Benutzer von zu Hause aus mit seinem Geschäftslaptop auf Daten in der Cloud zugreifen. Ein anderer Nutzer greift vielleicht vor Ort auf sensible Daten zu, während er auf dem Weg zur Arbeit dafür ein Mobiltelefon nutzt.
Darüber hinaus kann es einigen Benutzern im Unternehmen unmöglich sein, sich mit einem Smartphone zu authentifizieren, aufgrund verschiedener betrieblicher Einschränkungen, die die mobile Konnektivität beeinflussen oder die Verwendung von Mobiltelefonen an sich verbieten.
Es gibt also verschiedene Anwendungsfälle, die bei der Benutzeridentitätsüberprüfung entsprechend unterschiedliche Ansätze für die Authentifizierung erfordern. Eine Vertriebsmitarbeiterin beispielsweise pendelt vielleicht mit dem Zug zur Zentrale. Sie kann über ein Mobiltelefon auf ihr Salesforce-Konto zugreifen und die inzwischen vorgeschriebene MFA anwenden.
Sie kann auch ihren mobilen Authentifikator verwenden, um auf Salesforce zuzugreifen, wenn sie sich von einem Geschäftslaptop im Büro aus bei ihrem Account anmeldet. Dies ist ein Beispiel dafür, dass dieselbe Authentifizierungsmethode in verschiedenen Szenarien verwendet werden kann, was jedoch nicht immer der Fall ist.
Ein Reinraum-Mitarbeiter hingegen muss sich möglicherweise authentifizieren ohne auf sein Mobiltelefon zugreifen zu können. Daher muss er Zugang zu einer Methode haben, mit dem er sich auch ohne Internetverbindung authentifizieren kann. Alternativ kann er, wenn er wieder in seinem Büro ist, sein Mobiltelefon verwenden, um sich zu authentifizieren und auf die Cloud-Plattform seines Arbeitgebers zuzugreifen.
Fazit
Unternehmen müssen dazu in der Lage sein, verschiedene Authentifizierungsverfahren zu unterstützen. Dazu sollten sie zunächst die unterschiedlichen Authentifizierungswege der Mitarbeiter identifizieren. In diesem Zusammenhang ist festzustellen, wie die Daten, auf die zugegriffen wird, geschützt werden können, ohne dabei die Benutzererfahrung zu beeinträchtigen.