Traditionelle MFA reicht nicht als Sicherheitsnetz gegen Phishing
15. Mai 2023Passwörter werden in der IT seit mehr als 60 Jahren verwendet, doch mittlerweile sind sie selbst zur Schwachstelle geworden – Kriminelle knacken sie, greifen sie ab und stehlen sie tagein tagaus. Phishing zählt hierbei zu einer der beliebtesten Angriffsmethoden von Cyber-Kriminellen, um an Anmeldedaten zu gelangen. In der Praxis hat sich gezeigt, dass traditionelle Multi-Faktor-Authentisierung (MFA) kein Sicherheitsnetz gegen Phishing-Angriffe bietet, man aber dennoch einen vernünftigen Schutz gegen diese Bedrohung aufbauen kann.
Phishing-Angriffe erfolgen in der Regel in Form betrügerischer Nachrichten per E-Mail oder SMS, bei denen Angreifer ihren Opfern mittels realistischer, vertraut klingender Szenarien ihre persönlichen Daten, Geld oder Anmeldedaten entlocken. Die Multi-Faktor-Authentisierung (MFA) wird oft als Antwort auf die grundlegenden Schwächen der passwortbasierten Sicherheit angeführt.
Bei der MFA handelt es sich um ein Sicherheitssystem, das mehrere Authentisierungsmethoden aus einer Reihe von Anmeldeinformationen erfordert, um die Identität eines Benutzers zu überprüfen. Der Grundgedanke lautet, dass durch das Einziehen mehrerer Verteidigungslinien mittels weiterer Authentisierungsfaktoren Angreifer, denen es gelingt, ein Kennwort zu stehlen, nicht alleine damit auf Informationen zugreifen können. Hierdurch soll das Risiko anschließender Datenlecks verringert werden.
MFA besteht in der Regel aus einer Kombination mehrerer Legitimationsverfahren, die in Summe den Benutzer identifizieren. Die drei üblichen Bausteine sind
- etwas, das der Benutzer “weiß”, zum Beispiel ein Passwort, eine Sicherheitsfrage oder eine PIN,
- etwas, das der Benutzer “hat”, wie ein Einmalpasswort oder Magic-Link, der per E-Mail oder SMS gesendet wird, ein physischer Schlüsselanhänger oder eine Smartphone-Authentisierungs-App, und
- etwas, das der Benutzer „ist“, wie Gesichts-, Stimm- oder Fingerabdruckerkennung.
Obwohl die Implementierung von MFA in die Unternehmenssicherheit Standard sein sollte, ist es notwendig, zwischen MFA der ersten Generation, die Angreifer mittlerweile mit geübter Leichtigkeit umgehen, und der widerstandsfähigeren, so genannten “Phishing-resistenten” MFA der nächsten Generation zu unterscheiden.
Traditionelle MFA versus Phishing-resistente MFA
Bei MFA der ersten Generation werden zwar mehrere Faktoren verwendet, aber oft werden unter anderem einzelne Bausteine gewählt, die Phishing-anfällig sind. Zum Beispiel ein Passwort und ein Einmalcode aus einer Zusatz-App, oder ein Passwort und ein Magic-Link per SMS.
Passwörter sind für Cyber-Kriminelle leicht zu stehlen oder im Darkweb zu kaufen, und die weiteren Faktoren sind technisch nicht geschützt gegen Angreifer, die sie entweder gleich vorneweg auf der gleichen Phishing-Webseite abgreifen oder sich anschließend mittels Social Engineering erschleichen.
Push-Nachrichten insbesondere, obwohl sie sich intuitiv hochsicher anfühlen, haben sich beispielsweise durch „Push-Müdigkeit“ als besonders anfällig für MFA-Bombing-Angriffe erwiesen. Bei dieser Art von Social-Engineering-Angriff unternimmt der Angreifer immer wieder Zugriffsversuche, bis das Opfer einmal einen Fehler macht. Bei der Menge an Genehmigungsanfragen geht es oftmals unter, dass der Zugriff gestattet wurde.
Das Opfer weiß nur, dass die Flut an Push-Nachrichten auf seinem Mobiltelefon aufgehört hat. Es gibt auch bekannte, öffentliche Breaches, bei denen der Angreifer sein Opfer einfach angerufen und nett darum gebeten hat, auf “ja” zu drücken. Ob mit oder ohne Push-Nachrichten, ist jede MFA, die sich auf Passwörter, beziehungsweise überhaupt auf gemeinsame Geheimnisse, wie die oben genannten, stützt, ein Sicherheitsrisiko.
Eindringlich zu empfehlen ist daher mittlerweile die Verwendung sogenannter “Phishing-resistenter” Authentisierung. Dahinter verbergen sich MFA-Verfahren, die ausschließlich starke Authentisierungsfaktoren, wie zum Beispiel Biometrie, FIDO-basierte kryptografische Passkeys und Hardware-Sicherheitsschlüssel einsetzen., Diese sind selbst für den sehr erfahrenen Cyber-Kriminell bzw. staatlich geförderte Angreifer sehr schwierig anzugreifen.
Der Mensch gilt in der Cyber-Sicherheit immer noch als das schwächste Glied in der Kette. Daher sollten bei einer Phishing-resistenten Authentisierung ausschließlich Methoden angewandt werden, die den Benutzer von der Erwartungshaltung befreien, komplett fehlerfrei agieren zu müssen. Die Eliminierung von Phishing-anfälligen Faktoren und damit des Risikos, dass ein Benutzer etwas preisgibt, bildet den Kern jeder Authentisierung, die den Zero-Trust-Ansatz verfolgt.
Es ist zudem wichtig, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu schaffen. Wenn ein Unternehmen ein Authentisierungsverfahren einführt, das umständlich ist und den Prozess übermäßig verkompliziert, werden Mitarbeiter, insbesondere Führungskräfte mit viel Einfluss und wenig Zeit, verlangen, dass sie für ihre Konten deaktiviert wird, oder sie anderweitig umgehen, wodurch der Zweck ihrer Implementierung zunichte gemacht wird.
Zero-Trust-Prinzipien umsetzen
Auch wenn Phishing-resistente MFA eine wichtige Säule für den Schutz vor Cyberangriffen ist, gehen viele Unternehmen aktuell einen Schritt weiter und suchen Authentisierungslösungen, die aktiv Zero-Trust fördern. Phishing-resistente MFA ist ein guter Anfang, um die Mechanik abzusichern. Dazu muss ein hohes Maß an Vertrauen in sowohl die Identität des Benutzers als auch die Identität des Endpunkts und dessen Unversehrtheit geschaffen werden, damit Zugriff auf Systeme, Netzwerke und Daten gewährt wird. So wird sichergestellt, dass nur autorisierte Benutzer Zugang erhalten, die sich von autorisierten Geräten anmelden, die im Augenblick des Zugriffs gemäß Sicherheitsrichtlinien verwendet werden dürfen.
Um dem Zero-Trust-Authentisierungsansatz gerecht zu werden, muss darüber hinaus kontinuierlich anhand der aktuellen Risikolage überprüft werden, ob der gestattete Zugriff fortbestehen darf. Dazu gehört, Verhaltenssignale kontinuierlich zu aktualisieren und zu überwachen, die Sicherheitslage verwendeter Geräte häufig neu zu bewerten und Risikosignale von Detection-and-Response-Tools wie EDR oder MDM bei der Risikoanalyse einzubeziehen.
Zu einem vollständigen Zero-Trust-Ansatz gehört am Ende auch die Fähigkeit, bei Nichteinhaltung des erforderlichen Sicherheitsniveaus geeignete Maßnahmen zu ergreifen. Typischerweise wird, um einen Angreifer zu stoppen oder zu blockieren, nicht nur seine Session beendet, sondern beispielsweise auch das gekaperte Gerät unter Quarantäne gestellt oder die Netzwerkverbindung getrennt.
Der Übergang zu einer Zero-Trust-Strategie sollte für Unternehmen hohe Priorität haben, um sich gegen die Flut an Cyber-Angriffen angemessen zu verteidigen. Die Einführung einer Zero-Trust-Authentisierungslösung ist hierfür ein wichtiger Ausgangspunkt. Denn dies ist der effektivste erste Schritt, um sicherzustellen, dass kritische, nachgelagerte Daten, Systeme und Netzwerke gut geschützt sind.
Chris Meidinger ist Technical Director für die Region EMEA bei Beyond Identity.