Multi-Faktor-Authentifizierung: Mehrfachschutz gegen Hacker

Multi-Faktor-Authentifizierung: Mehrfachschutz gegen Hacker

Beitrag teilen

Die hohe Zahl an Angriffen, bei denen kompromittierte Anmeldedaten missbraucht werden, zeigt, dass Passwörter allein nicht mehr als vertrauenswürdige Identifikation legitimer Benutzer ausreichen, sondern der Einsatz von Multi-Faktor-Authentifizierung (MFA) ein grundlegender Baustein für die Unternehmenssicherheit geworden ist.

MFA verlangt von Benutzern zusätzlich zu ihren Anmeldedaten einen weiteren überzeugenden Nachweis ihrer Identität. Laut Microsoft kann MFA zu 99,9 Prozent identitätsbasierte Angriffe auf Basis gestohlener Anmeldedaten verhindern. Denn selbst wenn Anmeldeinformationen eines Benutzers kompromittiert werden, macht es MFA Angreifern äußerst schwer, die Authentifizierungsanforderungen zu umgehen.

Anzeige

Wie funktioniert Multi-Faktor-Authentifizierung?

MFA ergänzt den Authentifizierungsprozess um weitere Schritte. Die Anzahl dieser Schritte variiert je nach Konfiguration und Kontext. Die drei grundlegenden MFA-Kategorien sind:

1. Etwas, das man weiß

Das einfachste Beispiel dieser Kategorie ist ein Passwort oder eine beliebige Variation von einprägsamen Daten, die vom oder für den Benutzer eingerichtet werden. Zu dieser Kategorie gehören unter anderem persönliche Hintergrundfragen, die vermutlich nur der Benutzer beantworten kann. Generell gilt diese Kategorie als die am wenigsten sichere, da sowohl Passwörter als auch private Informationen von Angreifern kompromittiert oder erraten werden können.

2. Etwas, das man besitzt

Diese Kategorie ist wesentlich schwieriger zu kompromittieren. Sie umfasst verschiedene physische Einheiten, die nur der Nutzer besitzt – beispielsweise Mobiltelefone, physische Token, Schlüsselanhänger oder Smartcards. Die physische Entität kann entweder als Träger des Verifizierungsschritts dienen – zum Beispiel ein Mobiltelefon, das ein Einmal-Passwort anzeigt – oder selbst Authentifizierungsgegenstand sein, wie etwa ein physisches Token. Letzteres gilt als sicherer, da bei der Authentifizierung weniger Daten ausgetauscht werden, sodass ein Angreifer diese nicht so leicht abfangen kann.

3. Etwas, das man ist

Dies gilt als die sicherste Faktor-Kategorie und umfasst physische Identifikatoren. Am häufigsten wird ein Fingerabdruck auf dem Mobiltelefon oder auf einem Hardware-Token genutzt, aber auch Stimme, Gesichtserkennung und andere einzigartige biometrische Merkmale kommen zum Einsatz. Jede Kombination dieser drei Authentifizierungs-Faktor-Kategorien erhöht die Sicherheit erheblich und verringert die Wahrscheinlichkeit einer Kompromittierung des Kontos.

Beispiele für traditionelle MFA-Lösungen

In Unternehmensumgebungen wird MFA oft in Verbindung mit einer Single Sign On (SSO)-Lösung eingesetzt, um die Sicherheit des von der Belegschaft verwendeten Einzelpassworts zu erhöhen.

Statische vs. risikobasierte MFA

Bei einer statischen MFA ist jedes Mal, wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, eine MFA erforderlich. Dies kann umständlich sein und die betrieblichen Abläufe stören. Um solche Unterbrechungen zu vermeiden und MFA mit den geschäftlichen Anforderungen in Einklang zu bringen, entscheiden sich viele Unternehmen für eine oder beide der folgenden Möglichkeiten:

Statische MFA wird nur auf Benutzer angewendet, wenn diese auf sensible Ressourcen zugreifen. Dies kann immer noch sehr umständlich und störend für Administratoren sein, die täglich mit vielen sensiblen Ressourcen arbeiten.
Bei einem risikobasierten Ansatz ist MFA nur dann erforderlich, wenn der Risikograd hoch ist. Dies wird als adaptive Authentifizierung oder risikobasierte Authentifizierung (RBA) bezeichnet. Dabei wird eine Risiko-Engine verwendet, die verschiedene Faktoren auswertet. Sie verlangt zusätzliche Überprüfungsfaktoren nur dann, wenn der Risikograd vermuten lässt, dass die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.

MFA überall: Agentenlose Multi-Faktor-Authentifizierung

Agentenlose Multi-Faktor-Authentifizierung (Bild: Silverfort).

Für einen ganzeinheitlichen Schutz von Identitäten ermöglichen es Unified Identity Protection-Lösungen, MFA auf alle Ressourcen durchsetzen – auch auf solche, die bisher nicht abgedeckt werden konnten, sowohl in On-Prem- als auch in Multi-Cloud-Umgebungen, und das ohne Agenten oder Proxys.

Um dies zu erreichen, wird die traditionelle MFA-Architektur grundlegend verändert. Anstatt sich auf die Agenten auf den Geräten zu verlassen, kommuniziert eine Unified Identity Protection-Lösung direkt mit der Identity and Access Management (IAM)-Lösung selbst, überwacht die Authentifizierungsprotokolle und setzt MFA darauf aufbauend durch. Wann immer ein Benutzer versucht, auf eine Ressource zuzugreifen, authentifiziert er sich bei einer IAM-Lösung (zum Beispiel Active Directory, Okta, Ping Azure AD, etc.). Nach der Authentifizierung an der IAM-Lösung wird die Zugriffsanfrage an die Unified Identity Protection-Plattform weitergeleitet.

Plattform-Analyse bei jeder Zugriffsanfrage

Die Plattform analysiert daraufhin den Kontext jeder Zugriffsanfrage eines Benutzers oder Dienstkontos und nutzt dabei eine KI-gesteuerte Risiko-Engine. Dann wendet sie die entsprechende Zugriffsrichtlinie an. Wenn das Risiko hoch ist, kann die Lösung die Authentifizierungsanforderungen erhöhen und den Benutzer zu einer Multi-Faktor-Authentifizierung auffordern. Wurde die MFA-Aufgabe korrekt gelöst, weist die Unified Identity Protection-Lösung das IAM an, dem Benutzer Zugriff auf die Ressource zu gewähren. Falls die MFA-Aufgabe nicht gelöst wurde oder die Zugriffsrichtlinien es erfordern, kann der Zugriff komplett blockiert werden.

Diese neuartige Architektur ermöglicht es, MFA auf praktisch jede Ressource auszuweiten, die sich an der IAM-Lösung in der Umgebung des Unternehmens authentifiziert, ebenso wie auf jede Zugriffsschnittstelle. Solange sich die Ressource, auf die ein Nutzer zugreifen möchte, am IAM authentifiziert, unterliegt sie auch der MFA durch die Unified Identity Protection-Plattform. Dies ermöglicht eine Echtzeit-Prävention gängiger Angriffsszenarien wie automatisierte Ransomware-Verbreitung und On-Premises-Lateral-Movement.

Cloud ohne Multi-Faktor-Authentifizierung ist gefährlich

Die Entwicklung der IT-Landschaft macht heute eine sichere Authentifizierung wichtiger denn je. Vor der Cloud-Ära mussten Angreifer die Perimeter-Schutzmechanismen umgehen, um im Netzwerk Fuß fassen zu können und Malware auf einem Endpunkt oder Server zu installieren. Heute werden durch den sukzessiven Übergang zur Cloud große Mengen an sensiblen Geschäftsdaten im öffentlichen Internet abgelegt. Ohne den zusätzlichen Schutz durch MFA sind diese Daten nur ein Passwort vom Zugriff durch Cyberkriminelle entfernt.

Mehr bei Silverfort.com

 


Über Silverfort

Silverfort ist Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identitätsbasierte Angriffe abzuwehren. Durch den Einsatz innovativer agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-Lösungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht geschützt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr.


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen