Freund oder Feind: Die Bedeutung der Multi-Faktor-Authentisierung

Längst vorbei sind die Zeiten, in denen nur festangestellte Büromitarbeiter mit vom Unternehmen genehmigten Geräten per Remote Access über Virtual Private Networks (VPNs) auf Unternehmensressourcen zugreifen konnten. Heutzutage ist es genauso wahrscheinlich, dass es sich bei denjenigen, die einen Fernzugriff benötigen, um Telearbeiter, Fremdunternehmen oder externe Benutzer handelt, die von unterwegs aus mit ihrem eigenen Smartphone oder Tablet eine Verbindung aufbauen.

Ein VPN macht es Mitarbeitern aller Art leicht, vertrauliche Unternehmensinformationen geheim zu halten, wenn sie aus der Ferne mit dem Unternehmensnetzwerk kommunizieren. Wie aber können Unternehmen in der heutigen Zeit – in der der Zugriff jederzeit von überall aus über Remote-Verbindungen und Cloud-basierte Anwendungen möglich ist – mit Sicherheit wissen, ob die Person am anderen Ende Freund oder Feind ist?

Bislang bestand die Lösung aus einem Nutzername/Passwort-Ansatz. Allerdings ist in einer Welt, in der ein hoher Anteil von Datenpannen auf schwache oder gestohlene Passwörter zurückzuführen ist, etwas mehr erforderlich.

Aus diesem Grund gewinnen VPNs mit Zwei-Faktor- oder Multi-Faktor-Authentisierung (2FA oder MFA) als zuverlässige Methode zur Reduzierung des Identitätsrisikos an Bedeutung.

Passwortprobleme

Für eine Branche, die für ihren schnellen Wandel bekannt ist, ist es eine erstaunliche Tatsache, dass die Login/Passwort-Kombination für den Zugriff auf privilegierte Informationen schon so lange Bestand hat.

Laut dem Verizon Data Breach Investigations Report 2018 sind „... Passwörter allein, unabhängig von ihrer Länge oder Komplexität, nicht ausreichend.“ Im Jahr 2017 geht der gleiche Bericht noch weiter und verweist darauf, dass 81 Prozent der Hacking-bezogenen Datenverstöße mit schwachen oder gestohlenen Passwörtern zusammenhängen.

Böswillige Bedrohungsakteure sind inzwischen höchst versiert im Diebstahl von Passwörtern und verfügen über eine ganze Reihe von automatischen Tools. Ein kostenlos erhältlicher, auf einem Standard-PC installierter Brute-Force-Passwort-Cracker kann acht Millionen Passwörter pro Sekunde probieren.

Dies würde keine Rolle spielen, wenn man sich stets darauf verlassen könnte, dass Unternehmen sensible Daten sicher speichern. Leider sind bei Datenangriffen bereits so viele Passwörter gestohlen worden, dass mittlerweile ein ganzer Schwarzmarkt entstanden ist, auf dem Kreditkartendaten und andere personenbezogene Daten (PII) routinemäßig gehandelt werden.

Ablehnende Haltung der User gegenüber Sicherheitsmaßnamen

Ein weiteres Problem im Zusammenhang mit Passwörtern ist ihre Unbeliebtheit bei den Nutzern. Laut Umfragen haben acht von zehn Amerikanern von der ganzen Passwort-Praxis die Nase voll.

Diese Einstellung ist keineswegs auf Passwörter beschränkt. Anwender empfinden Sicherheitsmaßnahmen generell als Ärgernis, das ihnen ihre Arbeit erschwert. Denken Sie etwa daran, was Präsident Trump mit Hillary Clinton und Barack Obama verbindet.

Barack Obamas Beharren bei seinem Amtsantritt darauf, sein Blackberry zu behalten, die E-Mail-Probleme von Hillary Clinton und Donald Trumps Entschlossenheit, seinen eigenen Twitter-Account zu behalten, sind in der Tat verschiedene Erscheinungsformen derselben Sache – Menschen, die lediglich versuchen, im Rahmen einer großen Organisation ihre Arbeit möglichst effektiv zu erledigen. Wenn Cybersecurity und Compliance den Einsatz von Technologie einschränken, kann dies die Mitarbeiter vor den Kopf stoßen und sie dazu bringen, eine Möglichkeit zu suchen, diese Kontrollen zu unterlaufen.

Authentifizierungslayer

Viele Institutionen sind dazu übergegangen, zuverlässigere Methoden zur Identifizierung von Remote-Benutzern einzuführen. Online-Banking-Systeme beispielsweise verwenden heute häufig 2FA-Verfahren, bei denen Kunden ihr Login/Passwort zusammen mit einem Einmalcode eingeben müssen, der über einen Sicherheitstoken erzeugt oder per SMS versendet wird.

Solche 2FA-Systeme sind zwar sicherer, jedoch sind sie keineswegs absolut sicher. Es besteht immer die Gefahr, dass der Token gestohlen oder die SMS abgefangen wird. Aus diesem Grund erfreuen sich andere Komponenten zur Fernidentifizierung, darunter die biometrische Identifikation sowie Fingerabdruck-, Sprach- und Gesichtserkennung, zunehmender Beliebtheit, da die entsprechenden Technologien ausreifen.

MFA-Lösungen beginnen mit einem hochsicheren Endpunkt und sind für große und kleine Unternehmen verfügbar. Gleichwohl ist der Einsatz von MFA-Lösungen bei kleineren Unternehmen (KMUs) tendenziell recht niedrig. Einer aktuellen Umfrage von WatchGuard zufolge sind 61 Prozent der KMUs der Auffassung, MFA-Dienste kämen nur für große Unternehmen in Frage.

Bei der Integration von Remote Access mit MFA sollten Sicherheitsunternehmen die beste Lösung in Bezug auf Gerät, Anwendung, Service, Netzwerk und geografischen Standort erwägen. Um das Nutzererlebnis so unbeschwert wie möglich zu belassen, wird der MFA-Zwang am besten den risikoreichsten Umgebungen vorbehalten – beispielsweise wenn Remote-Benutzer an öffentlichen Plätzen wie in Cafés oder im Zug arbeiten.

Für optimale Sicherheit – insbesondere dann, wenn Mitarbeiter einen Laptop oder ein Smart Device nutzen, das vom Unternehmen ausgehändigt wurde – sollte eine „Always On“-VPN-Richtlinie für alle Remote-Verbindungen obligatorisch sein.

Zusammenfassend lässt sich sagen: VPNs mit MFA sind ein zunehmender Bestandteil des modernen Unternehmensumfelds, die Mitarbeitern jederzeit und überall einen sicheren Fernzugriff auf Unternehmensressourcen ermöglichen.

MFA-Verbindungen sind eine wirksame Alternative zu Passwörtern und beeinträchtigen bei korrekter Implementierung das Nutzererlebnis nicht. MFA ermöglicht es Unternehmen, die Frage nach Freund oder Feind sicher zu beantworten und erfüllt die doppelte Zielsetzung „Schutz sensibler Unternehmensinformationen bei gleichzeitiger Minimierung der Auswirkungen auf die Benutzerfreundlichkeit“.