Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

06. Dezember 2022

Beratung des Verantwortlichen: Das bringt Mehr-Faktor-Authentifizierung

Beratung des Verantwortlichen: Das bringt Mehr-Faktor-Authentifizierung
Bild: nicescene / iStock / Getty Images
5,00 (1)
Inhalte in diesem Beitrag
Benutzerkonten absichern
Geht es darum, Nutzerzugänge besser abzusichern, kommt meist die Mehr-Faktor-Authentifizierung (MFA) zur Sprache. Doch dürfen Verantwortliche den Schutz durch MFA nicht überschätzen. Weisen Sie als DSB rechtzeitig auf die Gefahren hin.

Was empfiehlt das BSI, um Zugänge abzusichern?

Einzigartige und sichere Passwörter zu verwenden, reicht zumeist aus, um die Konten von Online-Diensten abzusichern, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI empfiehlt darüber hinaus – wenn möglich –, eine Zwei- oder Mehr-Faktor-Authentifizierung (2FA, MFA) einzurichten und zu verwenden.

Neben Passwörtern kommen dabei weitere Sicherheitsfaktoren zum Einsatz wie

  • Einmal-Passwörter (OTP, One Time Password),
  • Chip-Karten und andere Hardware-Token oder
  • biometrische Faktoren wie der Fingerabdruck.

Wo sind die Grenzen der MFA-Sicherheit?

Doch die Sicherheit hat auch bei der Mehr-Faktor-Authentifizierung ihre Grenzen.  Sicherheitsforschende von Knowbe4 zum Beispiel haben auf die Schwächen der MFA beim Schutz vor ausgeklügelten Phishing-Angriffen hingewiesen. So gibt es Angriffe, die selbst dann funktionieren, wenn die Nutzerinnen und Nutzer eine scheinbar extrem sichere MFA verwenden.

Weisen Sie als Datenschutzbeauftragte/-r also auf die folgenden Schwachstellen hin:

So funktionieren Phishing-Angriffe auf MFA-Zugänge

Zunächst erhält das potenzielle Opfer eine Phishing-E-Mail mit einem gefälschten Link. Der Nutzer geht davon aus, dass die Anfrage und der darin enthaltene Link von einer Website oder einem vertrauenswürdigen und rechtmäßigen Dienst stammen. Klickt er jedoch auf den Link, gelangt er auf eine betrügerische Website, die dann alles, was der Nutzer ausführt oder eingibt, an die rechtmäßige Ziel-Website oder den Dienst weiterleitet.

Die betrügerische Website hat sich jedoch zwischen das potenzielle Opfer und die rechtmäßige Website geschaltet. Sie fungiert hierbei als sogenannte Man-in-the-Middle-(MitM-)Proxy-Website. Sie kann alles erfassen, was der Nutzer eingibt, einschließlich des Anmeldenamens, des Kennworts und aller manuell eingegebenen MFA-Anmeldedaten. Die MitM-Proxy-Website kann also alles abfangen, was die legitime Website an den Nutzer zurücksendet, einschließlich persönlicher Informationen und sensibler Daten.

Offensichtlich können Angreifer also nicht nur Passwortdaten ausspähen, sondern auch die Einmal-Passwörter oder andere Sicherheitsfaktoren der Mehr-Faktor-Authentifizierung, die zusätzlich zum Passwort zu einer „belauschbaren“ Datenübertragung führen.

Cybersicherheit für Datenschutzbeauftragte

Cybersicherheit für Datenschutzbeauftragte

So beraten Sie datenschutzkonform bei der Vorbeugung, der Abwehr und bei der Erholung von Cyberangriffen:

  • Cyberbedrohungen für den Datenschutz systematisch ermitteln
  • Angriffe erkennen und Meldepflichten erfüllen – mit zahlreichen Checklisten und Muster-Texten
  • Datenschutz und Cyberschutz wiederherstellen und verbessern

So nutzen Angreifer die „MFA-Müdigkeit“ aus

Doch es gibt weitere Herausforderungen in der Praxis, die die Sicherheit von MFA-Verfahren beeinträchtigen. So berichtet unter anderem der IT-Sicherheitsanbieter SentinelOne von der sogenannten MFA-Müdigkeit, die Angreifende ausnutzen können. Die MFA-Müdigkeit entsteht, indem Internetkriminelle die Authentifizierungs-App und das Gerät eines Benutzers mit einer Flut von Push-Benachrichtigungen überschwemmen.

Der Angriff sieht so aus:

  • Durch Phishing erhalten die Angreifer die Anmeldeinformationen des Benutzers, auf den sie abzielen. Der Internetkriminelle verwendet dann die Anmeldeinformationen, um sich beim Konto des Opfers anzumelden. Das löst die Push-Benachrichtigung für MFA aus.
  • Dies wird mehrmals hintereinander wiederholt.
  • Das Opfer erhält immer wieder alle Push-Benachrichtigungen auf seiner App und seinem Gerät. Manchmal gibt sich der Angreifende als Mitglied der IT-Abteilung aus und ermutigt das Opfer, den Zugriffsversuch zu akzeptieren.
  • Schließlich akzeptiert der Benutzer den Zugriff entweder aus Versehen oder um die Flut von Benachrichtigungen zu stoppen. So erhält der Angreifer Zugriff.

Wie steht es um die Nutzung privater Endgeräte bei MFA?

Ein weiteres Praxisproblem bei der Einführung von MFA: Nicht nur durch die zunehmende Tätigkeit im Homeoffice ist die Nutzung privater Geräte zu betrieblichen Zwecken angewachsen. Das ist schon länger als BYOD (Bring your own Device) bekannt.

Führen Unternehmen nun MFA ein, müssen die Beschäftigten die MFA-App, zum Beispiel für Einmal-Passwörter, auf dem privaten Gerät installieren. Das wollen aber viele Beschäftigte nicht, sodass sie die Einführung von MFA aus diesem Grund verzögern. Raten Sie als DSB also dazu, Alternativen anzubieten, die nicht auf private Geräte zurückgreifen.

Sind die Beschäftigten zu MFA geschult und informiert?

Umfragen zeigen zudem, dass viele Unternehmen die Einführung der Mehr-Faktor-Authentifizierung nicht richtig angehen. Die Global Small Business MFA Study sagt zum Beispiel, dass 20 Prozent der kleinen und mittleren Unternehmen die Beschäftigten nicht darin schulen, wie sie mit der MFA-Lösung umgehen.

Praxis-Tipp
Damit MFA also wirklich die Sicherheit der Zugänge verbessert, muss in vielen Unternehmen noch einiges geschehen. Machen Sie als Datenschutzbeauftragte/-r darauf aufmerksam. MFA-Verfahren müssen sicherer werden, unter anderem

  • durch Phishing-resistente Methoden,
  • durch Lösungen, die nicht auf Privatgeräte der Beschäftigten angewiesen sind, und
  • durch Schulungen zum richtigen Umgang mit der gewählten MFA-Lösung.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.