21. Juli 2010 - Zwei-Faktor-Authentifizierung

Auch die beste Authentifizierung lässt sich austricksen!

Unternehmen, die den Zugangsschutz verbessern wollen, greifen zur Zwei-Faktor-Authentifizierung. Doch der Gewinn an Datensicherheit ist nicht so groß, wie viele Unternehmen glauben. Auch eine Zwei-Faktor-Authentifizierung kann von Datendieben ausgehebelt werden – selbst dann, wenn für die Authentifizierung zwei Kommunikationskanäle genutzt werden.

zugangskontrolle.jpeg
Der Browser kann einer der Schwachpunkte bei der Zwei-Faktor-Authentifizierung sein (Bild: Thinkstock)

Wenn das Passwort nicht mehr ausreicht…

Die Kombination aus Benutzername und Passwort ist zwar der Klassiker unter den Verfahren zur Authentifizierung. Doch klassisch ist auch die Unsicherheit der Passwörter. Deshalb setzen Unternehmen für kritische IT-Systeme auf eine Zwei-Faktor-Authentifizierung. Zum Passwort (Authentifizierungsfaktor „Wissen“) kommt zum Beispiel noch ein Chip (Authentifizierungsfaktor „Besitz“) hinzu. Nur wer das Passwort kennt und den Chip besitzt, kann sich als Benutzer anmelden.

…reichen vielleicht auch zwei Faktoren nicht mehr

Doch nicht jede Zwei-Faktor-Authentifizierungsmethode ist gleich sicher. So ist seit einigen Monaten zu beobachten, dass insbesondere die Verwendung von Einmal-Passwörtern (OTP, One-Time-Password) als Ergänzung zu dem vom Anwender gewählten Passwort nicht immer als sicher eingestuft werden kann.

Dabei greifen die Hacker nicht etwa den Hardware-Token an, der das OTP jeweils automatisch erzeugt. Der Angriff gilt einem anderen System, dem Webbrowser.

Sie möchten bei Datenschut zund Datensicherheit auf dem Laufenden bleiben?
Melden Sie sich einfach für unsere kostenlosen Datenschutz-Newsletter an.

Einmal-Passwörter werden abgefangen

Insbesondere beim Online-Banking und Online-Shopping kommen OTPs zum Einsatz. Der Anwender gibt neben seinem Benutzernamen und dem eigenen Passwort noch das Einmal-Passwort an, das ihm sein Hardware-Token zeigt. Diese Eingabe findet in einem Browserfenster statt. Wenn hier eine Unsicherheit besteht, kann dies auch der Hardware-Token nicht ändern.

Trojaner stört Browser und kopiert Zugangsdaten

Kann sich ein darauf spezialisierter Trojaner in den Browser einnisten, also eine Browser-Schwachstelle ausnutzen, dann lässt sich die Zwei-Faktor-Authentifizierung austricksen.

Unter dem Einfluss des Trojaners meldet der Browser eine Störung, zum Beispiel dass der gewünschte Dienst (wie das Online-Banking) zurzeit nicht erreichbar ist. In Wirklichkeit kopiert der Trojaner die Zugangsdaten des Nutzers und überträgt sie sofort an den Online-Banking-Server. Für den Server ist damit erst einmal alles in Ordnung, die Zwei-Faktor-Authentifizierung ist erfolgt. Nun kann der Datendieb seine Transaktionen zulasten des Opfers ausführen.


Download:


Selbst eine zweite Prüfung kann fehlschlagen

Wenn nun die Bank eine Bestätigung der Transaktion durch ein weiteres OTP wünscht, ist der Datendieb unter Umständen immer noch erfolgreich.

So berichteten zum Beispiel Analysten von Gartner, dass Trojaner die Anzeige der Transaktion im Browser derart manipulieren, dass das Opfer glaubt, mit dem nächsten OTP seine gewollte Transaktion zu bestätigen, während in Wirklichkeit eine Bestätigung der kriminellen Transaktion durchgeführt wird. Der Browser wird hier für das Vorspiegeln falscher Tatsachen genutzt, die Browseranzeige wird manipuliert.

Nicht nur Browser sind fehleranfällig

Aber nicht nur für die Zwei-Faktor-Authentifizierungen, die für beide Faktoren den Webbrowser nutzen, besteht erhöhte Gefahr. Auch eine Identitätsprüfung über einen automatischen Kontrollanruf lässt sich überlisten.

Dazu brauchen die Datendiebe nur die Telefonnummer des Opfers, die meist im Profil eines sozialen Netzwerks zu finden ist. Wenn dann noch über die E-Mail-Adresse des Opfers oder über die Abfrage des Webhosters zur Homepage des Opfers der wahrscheinliche Telefonie-Anbieter gefunden ist, könnte der Datendieb eine Umleitung der Anrufe vornehmen.

Angriff statt Störung

Manche Telefonie-Anbieter überprüfen die Identität des Meldenden nur unzureichend, wenn eine Weiterleitung für eine Rufnummer eingerichtet werden soll. Dadurch könnte es dem Datendieb gelingen, die Anrufe für das Opfer auf ein anderes Telefon umzuleiten. Kommt dann der Kontrollanruf zur Prüfung der Berechtigung, landet er dort, wo ihn der Datendieb haben will.

Keine Sicherheit ohne Lücke

Es zeigt sich erneut, dass auch angeblich sichere Verfahren wie die starke Zwei-Faktor-Authentifizierung überlistet werden können, wenn unsichere Kommunikationswege (wie Browser) genutzt oder unsichere Prozesse bei Dienstleistern missbraucht werden.

Checkliste Risiken bei der Zwei-Faktor-Authentifizierung

Informieren Sie deshalb die Administratoren und Mitarbeiter in Ihrem Unternehmen, dass auch bei einer Zwei-Faktor-Authentifizierung mit der notwendigen Vorsicht vorgegangen werden muss. Worauf Sie achten sollten, finden Sie in der Checkliste. Dazu gehören Maßnahmen, die von Dienstleistern verlangt werden sollten, aber auch eine Sensibilisierung der Mitarbeiter.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln