Die Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, die den Zugang zu digitalen Ressourcen wie Geräten, Netzwerken oder Onlinediensten durch die Kombination mehrerer Authentifizierungsfaktoren ermöglicht. Im Wesentlichen erfordert die MFA mindestens zwei unabhängige Bestätigungen der Identität einer anwendenden Person, um auf die Ressource zuzugreifen.
MFA erhöht die Sicherheit erheblich: Selbst wenn ein Authentifizierungsfaktor kompromittiert wird, ist der Zugriff immer noch durch den zweiten Faktor geschützt. Eine genauere und ausführlichere Erklärung findest du in unserem früheren Blogbeitrag und im Video des BSI.
Welche Arten der MFA gibt es?
Es gibt mehrere Arten von Multifaktor-Authentifizierungsmethoden. Sie basieren auf unterschiedlichen Faktoren zur Identifizierung von Nutzenden. Diese Faktoren können zum Beispiel ein Kennwort (Wissen), ein Smartphone (Besitz) oder ein Fingerabdruck (biometrische Eigenschaft) sein. Jede Methode hat ihre eigenen Vor- und Nachteile in Bezug auf Nutzungsfreundlichkeit, Sicherheit und Anfälligkeit gegenüber Angriffen. Zu den häufig genutzten Arten gehören die folgenden:
Hardwaretoken
Hierbei handelt es sich um physische Geräte (Sicherheitsschlüssel), die ggf. durch PIN oder biometrische Eigenschaften (wie den Fingerabdruck) geschützt sind und einmalig gültige Codes generieren. Die Codes werden nach verschiedenen Verfahren berechnet unter anderem HOTP– HMAC-based One-Time Password und WebAuthn/FIDO2 (Web Authentication).
Beim HOTP-Verfahren wird ein Geheimnis (in Form eines Kennworts) vom Dienst ausgestellt und in den Sicherheitsschlüssel eingebunden. Anhand dieses Geheimnisses werden die Codes in einer festen Reihenfolge generiert. Beim WebAuthn-Verfahren hingegen handelt es sich um ein Challenge-Response-Verfahren. Der Server richtet eine Anfrage an den Token, der auf diese antwortet. Diese Tokens können USB-Schlüssel wie beispielsweise Yubikey, Smartcards oder spezialisierte Authentifizierungsgeräte sein.
- Pro: Starke Authentifizierung, da eigenständiges nicht ständig verbundenes Gerät. Angriffe auf das Gerät werden daher erschwert (beispielsweise Datenklau des Geheimnisses).
- Kontra: Anschaffungskosten, Schulungen für Nutzende, Kompatibilität je nach System und Anbieter.
- Sicherheitsstufe: Sehr gut aufgrund der Kombination von Besitz und Wissen.
Authentifizierungs-Apps
Diese Apps erzeugen zeitbasierte oder einmalige Sicherheitscodes nach dem TOTP-Verfahren (Time-based One-time Password) oder wie oben beschrieben, nach dem HOTP-Verfahren auf einem Gerät der Nutzenden. Beispiele sind Google Authenticator, Microsoft Authenticator, Authy oder 2FAS Auth.
- Pro: Generiert Sicherheitscodes auf einem anderen Endgerät.
- Kontra: Installation einer zusätzlichen App nötig. Potenzielles Risiko von Malware-Angriffen auf das Endgerät. Ggfs. Einsatz von privaten Endgeräten (zum Beispiel Smartphone) im dienstlichen Kontext notwendig.
- Sicherheitsstufe: Gut, da das separate Endgerät sowie die App im besten Fall kennwortgeschützt sind.
TAN-Liste
Eine TAN-Liste (Transaktionsnummern-Liste) ist eine Liste mit einmaligen Sicherheitscodes, die zur Authentifizierung verwendet wird. Jede Nummer auf dieser Liste kann nur einmal genutzt werden und dient dazu, eine bestimmte Transaktion zu bestätigen. Wenn Nutzende eine Transaktion durchführen möchten, fordert das System eine Transaktionsnummer (TAN) von der Liste an. Die Nutzenden geben diese Nummer dann ein, um die Transaktion zu autorisieren. Hierbei ist zu beachten, dass es auch TAN-Listen gibt, bei denen die Reihenfolge der Nummernwahl vorgegeben ist. Nachdem eine Nummer verwendet wurde, gilt sie als ungültig und muss abgehakt werden, um zu verhindern, dass sie erneut genutzt wird.
- Pro: Einfach und nutzungsfreundlich, benötigt keine speziellen zusätzlichen Geräte oder Codes.
- Kontra: Gefahr des Verlusts sowohl digital als auch physisch (ungesicherte Codes kann jede*r nutzen).
- Sicherheitsstufe: Mittel, aber potenziell anfällig für Phishing-Angriffe.
SMS-Codes* oder E-Mail-Codes
Hierbei sendet das System einen einmaligen Sicherheitscode an das Mobiltelefon oder an die E-Mail-Adresse der anwendenden Person. Diese muss den generierten Code am Service eingeben, um den Zugriff zu bestätigen.
- Pro: Einfach zu verwenden, keine zusätzliche App oder Hardware erforderlich.
- Kontra: Anfällig für SIM-Swapping-Angriffe bei SMS-Codes. E-Mail-Codes könnten durch gehackte E-Mail-Konten kompromittiert werden. Sie sind anfällig für Hacking-Angriffe in Form von Phishing und Fernangriffen. Dies stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Bewertungstabelle „IT-Sicherheit“ heraus.
- Sicherheitsstufe: Schlecht, da das Sicherheitsrisiko aufgrund der oben genannten Angriffsmöglichkeiten hoch ist.
pushTAN
Die pushTAN* (überwiegend für Transaktionen und Authentifizierungszwecke im Zusammenhang mit Bankgeschäften eingesetzt) funktioniert über eine App, die auf dem Smartphone installiert ist und in Verbindung mit dem Bankkonto des Nutzenden steht. Hier erhalten die Nutzenden nach der Auslösung einer Transaktion am Computer eine Push-Benachrichtigung auf das gekoppelte Smartphone. In dieser Benachrichtigung wird eine TAN angezeigt, die spezifisch für diese Transaktion generiert wurde.
- Pro: TANs werden nicht auf dem Gerät gespeichert/generiert, sondern über eine gesicherte Verbindung an das ausgewählte verifizierte Gerät gesendet.
- Kontra: Installation einer zusätzlichen App nötig. Vertrauen in die Integrität des Geräts und des Netzwerks für Push-Benachrichtigungen. Verifizierungsprozess notwendig.
- Sicherheitsstufe: Gut, vergleichbar mit oder besser als Authentifizierungs-Apps.
MFA bietet Schutz und Sicherheit
Die Multifaktor-Authentifizierung erhöht die Sicherheit von Systemen signifikant, indem sie einen zusätzlichen Schutz vor unberechtigten Zugriffen bietet. Selbst wenn ein Authentifizierungsfaktor kompromittiert wird, müssen Angreifende mindestens eine weitere Sicherheitsbarriere überwinden, bevor sie Zugang zum Ziel erhalten. Jede Hürde, die dabei errichtet wird, fungiert als weiterer Schutzfaktor für die Sicherheit sensibler Daten.
Wichtig: Jeder zweite Faktor ist nur so sicher, wie er behandelt wird. Jeder weitere Faktor erhöht die Sicherheit vor Fernangriffen. Insgesamt steigt die Sicherheit nur dann, wenn auch der erste Faktor (Login-Daten) weiterhin sorgfältig mit einem sicheren Kennwort verwendet wird. Grundsätzlich empfiehlt das IT Center aufgrund der oben genannten Sicherheitsaspekte die Nutzung von Hardwaretoken und Smartphone-Apps.
Quellen:
[1] One Login
[2] Security Insider
[3] IT Center Blog
*Dieses Verfahren wird durch das IT Center nicht angeboten.
Verantwortlich für die Inhalte dieses Beitrags sind Janin Iglauer, Malak Mostafa, Jelena Nikolic.
Schreibe einen Kommentar