Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Wie der Schutz vor Angriffen auf die MFA funktioniert
Angreifer haben verschiedene Methoden entwickelt, um die Multi-Faktor-Authentifizierung nicht direkt zu knacken, sondern zu umgehen. Doch es gibt Mittel und Wege, um sich davor zu schützen.
Die Multi-Faktor-Authentifizierung (MFA) gilt als die beste Methode, um Log-ins zu Geschäftsanwendungen und -diensten zu sichern. Wie der Blog-Beitrag „Warum selbst die Multi-Faktor-Authentifizierung angreifbar ist“ zeigt, bieten auch MFA-Lösungen keine hundertprozentige Sicherheit.
Dabei geht es nicht um Schwachstellen in der Multi-Faktor-Authentifizierung selbst. Sie stellt nach wie vor einen soliden Schutz gegen Cyber-Angreifer dar. Das Problem ist, dass sie sich relativ leicht umgehen lässt. Kriminelle schleusen zum Beispiel Malware ein und stehlen damit die Session-Cookies auf den Arbeits-PCs der Angestellten und locken sie auf Proxies, die ebenfalls an die Cookies wollen. Oder sie nerven sie so lange mit MFA-Anfragen, bis sie eine davon akzeptieren. All diese Methoden schaffen es zwar nicht, die MFA direkt zu knacken, aber sie können sie aushebeln.
Wie sich Ihr MFA-Log-in vor Cyber-Attacken schützen lässt
Die beschriebenen Angriffe und möglicherweise weitere, bislang noch nicht bekannte Methoden stellen keinen Grund dar, auf die Multi-Faktor-Authentifizierung zu verzichten. Sie ist jedoch kein Allheilmittel gegen Cyber-Angriffe, sondern erfordert eine korrekte Implementierung.
Der erste Faktor
Schon der erste Faktor (das Passwort) kann Probleme bereiten. Zusammen mit dem Benutzernamen schützt es den Zugang zumindest rudimentär. Es darf aber auch bei aktivierter MFA nicht leicht zu erraten oder zu knacken sein. Für jeden Dienst sollte ein anderes sicheres Passwort zum Einsatz kommen. Da sich dies kaum jemand merken kann, empfiehlt sich die Verwendung eines Passwort-Managers. Welchen Sie wählen, bleibt Ihnen überlassen. Die Grundfunktionen zur Verwaltung und Erstellung sicherer Passwörter sind bei allen weitgehend identisch.
Der zweite Faktor
MFA ist aber nicht gleich MFA. Es gibt viele verschiedene Methoden, um einen zweiten Faktor zu integrieren. Am einfachsten ist es, MFA-Codes per SMS an die Mobiltelefone der Beschäftigten zu senden. SMS eignen sich jedoch nicht optimal, auch wenn sie in der Regel keine zusätzliche Hard- oder Software erfordern. Kurznachrichten sind nicht an ein bestimmtes Endgerät gebunden, sondern an eine Telefonnummer. Dies ermöglicht sogenannte Simjacking-Attacken.
Da Mobiltelefone beziehungsweise SIM-Karten verloren gehen oder gestohlen werden können, bietet jeder Mobilfunkanbieter die Möglichkeit, Telefonnummern auf andere Geräte zu portieren. Angreifer missbrauchen dies, um sich zumindest kurzfristig Zugriff auf eine Rufnummer zu verschaffen. Dann spähen sie die per SMS verschickten MFA-Codes aus. Aus diesem Grund gilt der SMS-Versand als unsicherste MFA-Methode. Sie ist aber immer noch besser, als komplett auf die Multi-Faktor-Authentifizierung zu verzichten.
Manche Anbieter stellen eigene Smartphone-Apps als zweiten Faktor zur Verfügung. So zeigt Microsoft bei der Anmeldung an den Outlook-Servern teilweise zweistellige Zahlenkombinationen an, die der Nutzer mit seiner Authenticator-App auf dem Mobiltelefon bestätigen muss. Welches Verfahren dabei zum Einsatz kommt, legt der Hersteller allerdings nicht offen. Anwender müssen Microsoft vertrauen, dass der Konzern es sicher ohne Schwachstellen implementiert. Angesichts des kürzlich gestohlenen Masterkeys für die Microsoft-Cloud ist das nicht immer einfach.
Sicherheitsexperten warnen zudem davor, dass sich die Nutzer durch solche Verfahren zu sehr an das Abnicken und Bestätigen von Log-in-Anfragen gewöhnen. Sollte ein Angreifer eine Fatigue-Attacke gegen sie durchführen, besteht die Gefahr, dass sie die Anfrage aus reiner Gewohnheit bestätigen.
Welche MFA-Verfahren ein hohes Schutzniveau garantieren
Einen besseren Schutz bietet das TOTP-Verfahren (Time-based One-time Password), das auch NCP mit seiner Authenticator-App unterstützt. Dabei generiert die App einen nur für kurze Zeit gültigen Code, den der User nach der Anmeldung mit Benutzername und Passwort zusätzlich eingeben muss. Im Gegensatz zu Passwörtern funktionieren diese Codes nur einmal und nicht beliebig oft. Sie verlieren also unmittelbar nach einmaliger Verwendung ihre Gültigkeit. Da sich Server und Client bei diesem Verfahren ein einziges Secret teilen, muss dieses besonders geschützt sein. Andernfalls könnte ein Angreifer, der sich Zugang zum Secret verschafft, ebenfalls entsprechende TOTP-Codes erzeugen.
Das FIDO2-Verfahren verwendet deshalb eine asynchrone Verschlüsselung mit je einem öffentlichen und einem privaten Schlüssel. Während der öffentliche Schlüssel auf dem Server liegt, befindet sich der private Key nur auf der Hardware des Nutzers. Über ein Challenge-Response-Verfahren authentifiziert sich der Nutzer gegenüber dem Server. Dabei wird auch die Domain des Servers berücksichtigt, sodass Phishing-Attacken mit minimal veränderten Domainnamen nicht mehr möglich sind. In leicht abgewandelter Form nutzen auch die neuen Passkeys dieses Verfahren.
Wie sich verbleibende Risiken minimieren lassen
Auch das sicherste MFA-Verfahren kann nicht verhindern, dass ein Angreifer die Session-Cookies des Benutzers stiehlt und sich damit Zugang zu fremden Diensten verschafft. Daher sollte sich jeder Anwender angewöhnen, nach der Nutzung eines sensiblen Dienstes auf den Abmelde- oder Log-out-Button zu klicken. Damit verlieren auch eventuell gestohlene Session-Cookies ihre Gültigkeit.
Fazit
Die Multi-Faktor-Authentifizierung bietet einen hohen, aber keinen hundertprozentigen Schutz vor Cyber-Angriffen. Dessen muss sich jeder User bewusst sein. Zudem unterscheiden sich die verschiedenen MFA-Verfahren. Aber selbst das schwächste Verfahren bietet immer noch mehr Schutz als der völlige Verzicht auf MFA und die ausschließliche Verwendung von Passwörtern.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.