Die Multi-Faktor-Authentifizierung (MFA) trägt definitiv zur Sicherheit in Unternehmen bei, denn sie nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen, um die Sicherheit innerhalb von Anmeldeverfahren deutlich zu erhöhen. Gegenüber Authentifizierungsverfahren, die nur ein Merkmal verwenden – wie etwa wie die Anmeldung mit Userkennung und Passwort – kombiniert die Multi-Faktor-Authentifizierung Faktoren verschiedenen Charakters. Die Berechtigungsnachweise (Faktoren), die bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, lassen sich grundsätzlich in drei verschiedene Kategorien einteilen: wissensbasierte Faktoren (wie ein Passwort oder eine PIN), physische Objekte wie ein Token oder eine Magnetkarte und eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris.
In der Praxis hat sich dabei bisher am häufigsten die Kombination aus wissensbasierten Login-Credentials (also einem Nutzernamen sowie einem Passwort) und einem weiteren Faktor etabliert. Dazu erhalten die Nutzer häufig im zweiten Schritt einen Bestätigungscode auf ein gesondertes Gerät, etwa das Handy, und müssen diesen wiederum auf der Website oder in der App eingeben. Alternativ werden auch biometrische Merkmale abgefragt oder ein Sensor einer Chipkarte beziehungsweise ein USB-Token angepingt, um die physische Verortung zu bestätigen. Stellt man die Sicherheitsfaktoren auf den Prüfstand verfügen die drei über ein unterschiedliches Schutzniveau. Der „Wissensfaktor“ ist dabei das wohl schwächste Element, dicht gefolgt vom „Objektfaktor“. Die notwendigen Informationen oder Gegenstände lassen sich verhältnismäßig einfach stehlen oder ausspionieren: Vom Blick über die Schulter bis hin zum Klonen von physischen Keys gibt es da ein breites Spektrum an Möglichkeiten. Der biometrische Faktor ist zwar schwerer zu manipulieren, doch im Grunde spielt auch das keine Rolle, denn der Faktor Mensch bietet nach wie vor die besten Optionen für Hacker.
So hat ein Anbieter von Security-Awareness-Training nun eindringlich davor gewarnt, dass seit der großangelegten Einführung von Multifaktor-Authentifizierungsprodukten sich in einer Reihe von Unternehmen und Portalen die Vorfälle häufen, bei denen die Maßnahmen umgangen werden. Angreifer haben sich mittlerweile darauf spezialisiert, mit mehreren Authentifizierungsstufen umzugehen. Dabei sei zum einen, um Opfer in die Irre zu führen, zunehmend üblich, dass Angreifer QR-Codes oder Bilder verwenden, in den Betreffzeilen von Phishing-E-Mails die Namen bekannter Marken oder Unternehmen missbrauchen, zufallsgenerierte „Absender“-Namen und Verschlüsselung mit SHA-256 verwenden sowie Betreffzeilen zur Verfälschung von Authentifizierungsdaten (DKIM, SPF, ...) manipulieren. Zum anderen haben die Cyber-Kriminellen eine neue Gruppe an Usern im Visier: nicht den einfachen, „ahnungslosen“ User, sondern solche mit Administratorrechten.
Mehrere Unternehmen in den USA seien wiederholt von Social-Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter betroffen gewesen, berichten Experten des Security-Awareness-Anbieters KnowBe4. Bei diesen Angriffen hätten die Cyber-Kriminellen versucht, die Mitarbeiter des Service-Desks dazu zu bringen, alle von hoch privilegierten Benutzern eingerichteten Mehrfaktor-Authentifizierungsfaktoren zurückzusetzen. Bei den betroffenen Unternehmen hatten es die Kriminellen offensichtlich dezidiert auf Nutzer mit Superadministrator-Rechten abgesehen und hatten sich dafür extra mit einer gefälschten App selbst als Identitätsmanagement-Anbieter ausgegeben. „Eine wirksame Methode, um das eigene Unternehmen trotz kompromittierter MFA zu schützen“, erläutert Martin J. Krämer, Security Awareness Advocate bei KnowBe4, „sind Schulungen zur Sensibilisierung für Sicherheitsfragen. Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor zielgerichteten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.“
