Agentic SOC Summit: Der neue Standard für autonome Abwehr Anmelden

Was ist Multifaktor-Authentifizierung?

Multifaktor-Authentifizierung (MFA) ist ein mehrstufiges Verfahren zur Zugriffskontrolle, bei dem Benutzern der Zugriff auf ein Netzwerk, ein System oder eine Anwendung erst gewährt wird, nachdem sie ihre Identität anhand von mehr als einem Anmelde- oder Authentifizierungsfaktor bestätigt haben. Dies erfolgt in der Regel durch eine Kombination aus Benutzername und Kennwort sowie einem weiteren Faktor, zum Beispiel ein Verifizierungscode oder ein Einmalkennwort (One-Time Password, OTP) per SMS oder E-Mail, ein Sicherheitstoken aus einer Authentifizierungs-App oder ein biometrisches Identifikationsmerkmal.

Unternehmen können ihre Sicherheitslage durch die Abfrage mehrerer Authentifizierungsfaktoren erheblich verbessern, denn selbst wenn der erste Authentifizierungsfaktor kompromittiert oder deaktiviert ist, wird der Zugriff erst dann gewährt, wenn der Benutzer auch im Besitz des zweiten Authentifizierungsfaktors ist.

Bedeutung der Multifaktor-Authentifizierung

Eine Analyse des CrowdStrike® Counter Adversary Operations-Teams zeigt, dass 80 % der Kompromittierungen identitätsbedingt sind. Identitätsbasierte Angriffe lassen sich nur extrem schwer mit herkömmlichen Sicherheitsmaßnahmen und Tools erkennen, da diese Lösungen meist nicht darauf ausgelegt sind, die Aktivitäten genehmigter Benutzer zu überwachen. Zudem erkennen sie nicht, ob die Anmeldedaten eines autorisierten Benutzers kompromittiert wurden.

MFA gilt als Kernkomponente eines robusten IAM-Frameworks (Identity and Access Management, Identitäts- und Zugriffsverwaltung). Deshalb ist MFA hauptsächlich ein Tool für die Zugriffskontrolle und keine Sicherheitslösung.

Anders ausgedrückt: Obwohl die Multifaktor-Authentifizierung (MFA) den Zugriff für Benutzer verhindern kann, die ihre Identität nicht verifizieren können, kann sie nicht zwischen einer Anfrage eines legitimen Benutzers und einer Anfrage von jemandem, der sich als solcher ausgibt, unterscheiden. Wurde dem Benutzer einmal Zugriff auf ein Netzwerk, eine Anwendung, ein Endgerät oder ein System gewährt, hat die MFA-Lösung zudem keine Möglichkeit, identitätsbasierte Angriffe in Echtzeit zu erkennen oder abzuwehren.

Daher sollte MFA als eine Komponente eines weiter gefassten IAM-Frameworks und lediglich als ein Bindeglied innerhalb einer umfassenden Cybersicherheitsstrategie und -architektur betrachtet werden.

Weitere Informationen

Wenn Angreifer Anmeldedaten erbeutet haben, können sie damit Kontobesitzer imitieren und sich als legitime Benutzer ausgeben (z. B. Mitarbeiter, Auftragnehmer oder Drittanbieter). Erfahren Sie, wie MFA die Benutzerauthentifizierung sicherer machen kann.

Credential Theft: An Adversary Favorite (Diebstahl von Anmeldedaten: ein beliebtes Angriffsziel)

Multifaktor-Authentifizierung im Vergleich zu Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Begriff, der manchmal synonym mit MFA verwendet wird. Genau genommen ist 2FA eine Art von Multifaktor-Authentifizierung, die Benutzer auf zwei Authentifizierungsfaktoren beschränkt, während MFA mindestens zwei Formen der Authentifizierung verlangt.

Standardmäßig verfahren die meisten MFA-Systeme nach dem 2FA-Modell. Doch einige Unternehmen verlangen weitere Authentifizierungsmethoden, besonders wenn Benutzer von ungewöhnlichen oder verdächtigen Standorten aus auf das Netzwerk oder auf Ressourcen zugreifen wollen.

Weitere Informationen

MFA im Vergleich zu SSO: Während MFA die Sicherheit verbessern soll, konzentriert sich Single Sign-On (SSO) auf die Steigerung der Mitarbeiterproduktivität, indem die Anzahl der Eingaben von Anmeldedaten zum Zugriff auf Ressourcen reduziert wird. Im Wesentlichen erhalten sie dadurch einen Satz zentraler Anmeldedaten, mit denen sie auf alle Ressourcen zugreifen können. SSO funktioniert in Verbindung mit MFA, indem MFA zur Authentifizierung eines Benutzers bei der ersten Anmeldung genutzt und diese Authentifizierung an verschiedene Anwendungen weitergegeben wird.

Wie funktioniert die Multifaktor-Authentifizierung?

Bei der MFA wird zusätzlich zu Benutzer-ID und Kennwort mindestens ein weiterer Authentifizierungsfaktor abgefragt. Der Ablauf ist in der Regel derselbe:

  1. Registrierung: MFA-Systeme verlangen bei der Registrierung mehrere Identitätsnachweise von den Benutzern. Nach der Registrierung verknüpft der Benutzer die Geräte, die für die Authentifizierung verwendet werden sollen, wie beispielsweise ein Mobiltelefon oder einen Computer. Ein Benutzer kann auch über eine E-Mail-Adresse, eine Telefonnummer oder eine Authentifizierungs-App authentifiziert werden.
  2. Authentifizierung: Sobald ein Benutzer und all seine Geräte registriert sind und er sich auf einer Website oder App anmeldet, für die MFA erforderlich ist, wird er zur Eingabe seines Benutzernamens und Kennworts sowie einer Authentifizierungsantwort von einem seiner registrierten Geräte aufgefordert.
  3. Reaktion: Der Benutzer muss nun auf die Authentifizierungsanfrage antworten. Je nach gewählter MFA-Methode werden sie möglicherweise aufgefordert, einen auf dem registrierten Gerät empfangenen Code einzugeben oder eine Schaltfläche zur Authentifizierung zu drücken.

Der umfassende Leitfaden zur Entwicklung einer Identitätsschutzstrategie

Machen Sie den ersten Schritt in Richtung einer resilienten Identitätssicherheitsstrategie und laden Sie den vollständigen Leitfaden zum Aufbau einer Strategie zum Identitätsschutz herunter, um die digitale Identitätslandschaft Ihrer Organisation noch heute zu schützen.

 Jetzt herunterladen

Gängige Arten und Methoden der Multifaktor-Authentifizierung

Die meisten Authentifizierungsmethoden lassen sich in eine der folgenden Gruppen einteilen:

1. Etwas, das Sie wissen (wissensbasiert)

Dies bezieht sich auf alle wissensbasierten Anmeldedaten. Sie sind die einfachste und häufigste Form der Verifizierung. Zu dieser Kategorie gehören PINs, von Benutzern erstellte Kennwörter und Antworten auf Sicherheitsfragen.

Methoden

  • Einmalkennwörter (One-time Passwords, OTP): Einmalkennwörter sind der am häufigsten verwendete MFA-Faktor. Sie bestehen aus Zahlencodes, die per E-Mail, SMS oder über eine Mobilgeräte-App wie Google Authenticator, Microsoft Authenticator oder Salesforce Authenticator verschickt werden. Einmalkennwörter werden entweder nach Ablauf einer bestimmten Zeitspanne oder jedes Mal neu generiert, wenn eine Authentifizierungsanfrage erfolgt. Der Code basiert auf einem Grundwert, der Benutzern bei ihrer ersten Registrierung zugewiesen wird, sowie einem weiteren zeitabhängigen Faktor.
  • Persönliche Sicherheitsfragen: Gelegentlich werden Sie möglicherweise gebeten, persönliche Sicherheitsfragen zu beantworten (d. h. Fragen, deren Antworten nur Sie kennen können). Zu den Antworten auf gängige Sicherheitsfragen gehören der Mädchenname Ihrer Großmutter, der Name Ihres besten Freundes aus Kindertagen, die Stadt, in der Sie geboren wurden, der Name Ihres ersten Haustiers und der Name der Straße, in der Sie als Kind gewohnt haben.

2. Etwas, das Sie besitzen (besitzbezogen)

Bei dieser Art von Anmeldedaten müssen Benutzer zuvor Assets wie Sicherheitstoken oder Zertifikate generieren oder erhalten. In der Regel erfolgt dies durch Authentifizierungs-Apps wie Google Authenticator und Microsoft Authenticator oder über Einmalkennwörter mit zeitlich begrenzter Gültigkeit, die per SMS, E-Mail oder mit einem sicheren Link verschickt werden.

Methoden

  • Einmalkennwort (One-time Password, OTP): OTP gilt ebenfalls als besitzbasierte Methode, da Sie ein physisches Gerät – wie beispielsweise ein Smartphone oder einen Computer – benötigen, um auf das Einmalkennwort zugreifen zu können.
  • Smartcards und kryptografische Hardware-Token: Dies sind Geräte, die kryptografische Funktionen wie Entschlüsselung und Signierung durchführen können. Die internen Schlüssel befinden sich dabei in einer vollständig isolierten Umgebung und sind somit vor physischem Zugriff geschützt. Sie werden zur Anmeldung an Rechnern (z. B. mit der Windows-Smartcardanmeldung) und zur Autorisierung von Transaktionen mittels digitaler signaturbasierter Verifizierung genutzt. Smartcards funktionieren entweder kontaktlos oder erfordern ein spezielles Lesegerät, während kryptografische Hardware-Token über USB verbunden werden müssen.
  • OTP-Hardware-Token: Diese Art von Token wird häufig im Bankwesen eingesetzt. Es handelt sich dabei um Geräte, die mithilfe eines kryptografischen Schlüssels die Codes für den einmaligen Gebrauch generieren. Der Schlüssel ist dabei auf dem Gerät und dem Server gespeichert. Während der Anmeldung gleicht das System den Geräteschlüssel mit dem Serverschlüssel ab und authentifiziert so den Benutzer.
  • Software Development Kits (SDKs) für Soft-Token: Bei dieser Verifizierungsmethode dienen kryptografische Funktionen wie digitale Signaturen, die in Mobilgeräte-Apps eingebettet sind, der Authentifizierung von Benutzern und Geräten. Soft-Token-SDKs bieten ein reibungsloses Benutzererlebnis, da die Benutzer nicht zwischen einzelnen Anwendungen wechseln und kein Hardware-Gerät verwenden müssen.

3. Etwas, das du bist (auf der eigenen Identität basierend)

Dies ist der am schwierigsten zu imitierende Verifizierungsfaktor. Dazu zählen biometrische Identifikatoren, die auf körperlichen Merkmalen wie Fingerabdrücken, Gesichtszügen und Iris oder Verhaltensmerkmalen wie Tastenanschlägen beruhen.

Methoden

  • Biometrie: Eine weitere gängige MFA-Technik ist die Messung angeborener biometrischer Merkmale (z. B. Fingerabdrücke, Gesichtszüge, Iris bzw. Netzhaut oder die Stimme) zur Bestätigung von Benutzeridentitäten. Anfangs galt diese Technik zwar als ein äußerst zuverlässiger Authentifizierungsfaktor, allerdings schwand die Begeisterung schnell, als klar wurde, dass sie mittels 3D-Druck und KI-generierten Fingerabdrücken umgangen werden kann.
  • Verhaltensanalyse: In geringerem Umfang nutzen einige Unternehmen auch Verhaltensbiometrie, um die Identität eines Benutzers zu bestätigen. Diese Methode arbeitet mit individuellen und messbaren Mustern im Verhalten einer Person. Ein Beispiel dafür sind Tastaturanschläge, deren Geschwindigkeit, Rhythmus und Druck während des Tippens analysiert wird.

Expert Tip

Adaptive Multifaktor-Authentifizierung und KI: Adaptive Multifaktor-Authentifizierung, auch bekannt als risikobasierte Authentifizierung, macht einen zusätzlichen Schritt bei der Authentifizierung von Benutzern, indem sie Kontext- und Verhaltensfaktoren berücksichtigt. Anschließend berechnet sie das Risikolevel für jeden einzelnen Benutzer. Basierend auf diesem Risikowert entscheidet das System, ob es Ihnen sofort Zugriff gewährt, ob eine zusätzliche Authentifizierungsmethode erforderlich ist (z. B. eine Antwort auf eine Sicherheitsfrage) oder ob Sie nicht weitermachen können. Die adaptive Multifaktor-Authentifizierung verwendet KI und Machine Learning (ML), um diese Verhaltens- und Kontextfaktoren zu analysieren und eine Ausgangsbasis für jeden einzelnen Benutzer zu erstellen. Dadurch können spezifische Benutzertrends ermittelt und ungewöhnliche oder verdächtige Aktivitäten umgehend erkannt werden, um die Ausnutzung von Sicherheitslücken oder Angriffe zu verhindern. Zu den berücksichtigten Verhaltens- und Kontextfaktoren gehören unter anderem:

  • verwendetes Gerät
  • geografische Lage
  • Anzahl fehlgeschlagener Anmeldeversuche
  • Zeitabstand zwischen den Anmeldeversuchen
  • IP-Adresse
  • Datum und Uhrzeit des Versuchs
  • Privatsphäre-Einstellungen des Netzwerks

Vorteile der Multifaktor-Authentifizierung

MFA bietet Unternehmen viele wichtige Vorteile:
VorteileBeschreibung
1. Stärkere SicherheitObwohl MFA genau genommen kein Sicherheitstool ist, ist sie eine wichtige Schutzmaßnahme für Unternehmen, da damit nur vollständig authentifizierten Benutzern Zugriff auf Systeme und Netzwerke gewährt wird. Wenn die Benutzer gezwungen werden, sich mit einem oder mehreren MFA-Faktoren (z. B. OTP, biometrische Merkmale oder physische Hardware-Schlüssel) zu verifizieren, haben es Hacker und andere Cyberkriminelle deutlich schwerer, sich als legitime Benutzer auszugeben und Zugriff zum System zu erlangen. Das bedeutet nicht nur, dass sich Cyberkriminelle auf anderen Wegen Zugriff verschaffen müssen, sondern dass solche Aktivitäten auch sehr viel häufiger von herkömmlichen Sicherheitsmaßnahmen erkannt und gestoppt werden können.
2. Nahtlose Zugänglichkeit für Remote-MitarbeiterDer flächendeckende Wechsel zur Hybrid- und Remote-Arbeit hat Unternehmen deutlich anfälliger für Cyberangriffe und Kompromittierungen gemacht, da die Mitarbeiter über private Netzwerke und Geräte auf die Anwendungen, Dokumente und Daten der Unternehmen zugreifen. Gleichzeitig sind die Mitarbeiter gestresst, wenn sie sich in einer einzigen Arbeitssitzung bei einer Reihe von Konten anmelden müssen. MFA sorgt in Kombination mit hochentwickelten Anmeldetechniken wie SSO für eine zusätzliche Sicherheitsebene und vereinfacht den Anmeldeprozess für legitime Benutzer. Sobald die Benutzer per SSO verifiziert wurden, meldet das System sie automatisch an und gewährt ihnen Zugriff auf Anwendungen und Dokumente, ohne dass sie sich für die jeweiligen Anwendungen nochmals anmelden müssten.
3. Bessere Einhaltung gesetzlicher VorgabenDaten- und Identitätssicherheit ist vor allem für Unternehmen in Branchen wichtig, in denen es vermehrt zu Angriffen kommt, z. B. Gesundheitsdienstleister, Bildungseinrichtungen, Medizintechnikunternehmen, Finanzdienstleister und Militäreinrichtungen. Obwohl viele Untersuchungen das Gegenteil zeigen, sind die meisten IT-Teams in Unternehmen davon überzeugt, dass sie führende Cybersicherheitsstandards einhalten. Häufig ist Multifaktor-Authentifizierung eine Voraussetzung für die Einhaltung von Branchenbestimmungen. Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Beispiel für eine gesetzliche Vorgabe für Unternehmen, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln. Er schreibt die Implementierung von MFA vor, um nicht autorisierten Systemzugriff zu verhindern. Selbst wenn Anwendungsupdates zu Systeminstabilität führen, gewährleistet die MFA-Compliance, dass die Systeme mit einer Sicherheit von bis zu 99 % unüberwindbar bleiben.

Herausforderungen bei der Multifaktor-Authentifizierung

Wie bei jeder technischen Lösung kann es auch bei der Implementierung und Umsetzung von MFA zu Herausforderungen kommen. Ein Beispiel:

  • Wenn Mitarbeiter Telefone oder andere private Geräte verlieren, die Teil des mehrschichtigen Schutzsystems sind, kann dies kurzfristig ihren Zugriff auf das System und dadurch ihre Produktivität beeinträchtigen.
  • Biometrische Daten, die für MFA-Algorithmen genutzt werden, müssen sorgfältig und präzise eingegeben werden. Wenn es bei der Eingabe der Ausgangsdaten zu Fehlern kommt, kann das System falsch positive oder falsch negative Erkennungen produzieren.
  • Unter Umständen kann die MFA vorübergehend nicht verfügbar sein, wenn es im Unternehmen zu einem Netzwerkausfall kommt.

Die Zukunft der Multifaktor-Authentifizierung

MFA bietet keineswegs hundertprozentigen Schutz. So wie Cyberkriminelle rund um die Uhr daran arbeiten, neue Techniken zu entwickeln, um Netzwerke zu durchbrechen, arbeiten sie auch daran, Wege zu finden, MFA-Sicherheitsmaßnahmen zu umgehen, Token abzufangen oder sekundäre Anmeldeinformationen zu fälschen. Diese potenziellen Schwachstellen müssen durch die kontinuierliche Verbesserung von MFA-Techniken beseitigt und durch andere Sicherheitstools und -lösungen abgesichert werden, damit sich Unternehmen vor diesen neuen Bedrohungen schützen können.

Neben der Implementierung der MFA sollten Unternehmen auch ihre Sicherheit durch die folgenden Best Practices der Identitätssicherheit verbessern. Im Falle einer Kompromittierung sollen damit Netzwerkzugriffe sowie Kontoberechtigungen eingeschränkt und die Bewegungen der Hacker eingedämmt werden.

  • Least-Privilege-Prinzip (Principle of Least Privilege, POLP): Das POLP ist ein Konzept und Verfahren zur Gewährleistung der Computersicherheit, bei dem Benutzern nur die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen. Mit diesem Ansatz wird sichergestellt, dass nur autorisierte Benutzer, deren Identität verifiziert wurde, über die Berechtigungen zum Ausführen verschiedener Tätigkeiten innerhalb bestimmter Systeme, Anwendungen, Daten und anderer Ressourcen verfügen. POLP gilt weithin als eines der effektivsten Verfahren zur Stärkung der Cybersicherheit von Unternehmen, da es ihnen die Kontrolle und Überwachung des Netzwerk- und Datenzugriffs ermöglicht.
  • Zero Trust: Zero Trust ist ein Sicherheits-Framework, bei dem alle Benutzer innerhalb und außerhalb des Unternehmensnetzwerks authentifiziert, autorisiert und permanent validiert werden müssen, bevor sie Zugriff auf Anwendungen und Daten erhalten. Dabei kommt eine Kombination aus hochentwickelten Technologien wie risikobasierte Multifaktor-Authentifizierung (MFA), Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Zero Trust erfordert zudem die Verschlüsselung von Daten, die Absicherung des E-Mail-Verkehrs sowie die Überprüfung des Sicherheitsstatus von Systemen und Endgeräten, bevor diese eine Verbindung zu Anwendungen herstellen.
  • Privileged Access Management (PAM): PAM ist eine Cybersicherheitsstrategie, die sich auf die Aufrechterhaltung der Sicherheit privilegierter Anmeldedaten konzentriert.
  • Identitätssegmentierung: Bei der Identitätssegmentierung handelt es sich um eine Methode, den Benutzerzugriff auf Anwendungen oder Ressourcen auf Basis von Identitäten einzuschränken.
  • IT-Hygiene: Ein IT-Hygiene-Tool bietet einen Überblick über die Nutzung von Anmeldedaten im Unternehmen, um potenziell schädliche Administratoraktivitäten zu erkennen. Mithilfe der Kontenüberwachungsfunktion kann das Sicherheitsteam nach Konten suchen, die die Angreifer angelegt haben, um langfristigen Zugang zu erhalten. Die Funktion trägt zudem dazu bei, dass Kennwörter regelmäßig geändert werden, damit gestohlene Anmeldedaten nur zeitlich begrenzt einen Nutzen haben.

Weitere Informationen

Entdecken Sie die benutzerfreundlichen MFA-Funktionen von Falcon Next-Gen Identity Security und erfahren Sie, wie Sie die risikobasierte MFA auf jede Ressource oder Anwendung ausweiten können – einschließlich Altsystemen wie Desktops, die von cloudbasierten MFA-Lösungen nicht abgedeckt werden, Tools wie PowerShell und Protokollen wie RDP über NTLM.

CrowdStrike Falcon® Next-Gen Identity Security

Häufig gestellte Fragen zur Multifaktor-Authentifizierung

F: Wofür steht MFA?

A: MFA steht für „Multifaktor-Authentifizierung“.

F: Was ist Multifaktor-Authentifizierung?

A: Multifaktor-Authentifizierung (MFA) ist ein mehrstufiges Verfahren zur Zugriffskontrolle, bei dem Benutzern der Zugriff auf ein Netzwerk, ein System oder eine Anwendung erst gewährt wird, nachdem sie ihre Identität anhand von mehr als einem Anmelde- oder Authentifizierungsfaktor bestätigt haben. 

F: Worin besteht der Unterschied zwischen MFA und 2FA?

A: Technisch gesehen ist 2FA eine Art der Multifaktor-Authentifizierung, die den Benutzer auf zwei Authentifizierungsdaten beschränkt, wohingegen MFA mindestens zwei Arten der Authentifizierung erfordert. Die meisten MFA-Systeme folgen dem 2FA-Modell.

F: Was ist der Unterschied zwischen SSO und Multifaktor-Authentifizierung?

A: Während MFA die Sicherheit verbessern soll, konzentriert sich Single Sign-On (SSO) auf die Steigerung der Mitarbeiterproduktivität, indem die Anzahl der Eingaben von Anmeldedaten zum Zugriff auf Ressourcen reduziert wird. Im Wesentlichen erhalten sie dadurch einen Satz zentraler Anmeldedaten, mit denen sie auf alle Ressourcen zugreifen können. SSO funktioniert in Verbindung mit MFA, indem MFA zur Authentifizierung eines Benutzers bei der ersten Anmeldung genutzt und diese Authentifizierung an verschiedene Anwendungen weitergegeben wird.

F: Wie funktioniert Multifaktor-Authentifizierung?

A: Bei der MFA wird zusätzlich zu Benutzer-ID und Kennwort mindestens ein weiterer Authentifizierungsfaktor abgefragt. Der Ablauf sieht vor, dass Benutzer mehrere Identitätsnachweise registrieren und diese mit ihren Geräten verknüpfen, sich bei Aufforderung über eines der registrierten Geräte authentifizieren und die Verifizierung entweder durch Klicken auf eine Schaltfläche oder durch Eingabe eines Codes abschließen, der an das registrierte Gerät gesendet wurde. 

F: Welche drei Methoden der Multifaktor-Authentifizierung werden unterstützt?

A: Die meisten Authentifizierungsmethoden lassen sich in diese drei Kategorien einteilen: etwas, das man weiß (z. B. persönliche Sicherheitsfragen), etwas, das man besitzt (z. B. ein Smartphone), und etwas, das man ist (z. B. biometrische Authentifizierung). 

Narendran ist Director of Product Marketing für Identity Protection und Zero Trust bei CrowdStrike. Er hat über 17 Jahre Erfahrung in der Entwicklung von Produktmarketing und GTM-Strategien bei Cybersicherheits-Startups und großen Unternehmen wie HP und SolarWinds. Zuvor war er Director of Product Marketing bei Preempt Security, das von CrowdStrike übernommen wurde. Narendran hat einen Master in Informatik von der Universität Kiel.