Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
22. Februar 2021

Mehr-Faktor-Authentifizierung, aber richtig!

Gratis
Die Mehr-Faktor-Authentifizierung allein garantiert keine unangreifbare Sicherheit
Bild: iStock.com / cnythzl
0,00 (0)
Zugang zu Daten besser schützen
Online-Kriminelle können auch einen verstärkten Zugriffsschutz umgehen. Es kommt deshalb darauf an, die Mehr-Faktor-Authentifizierung (MFA) richtig umzusetzen. Ein Fall für die Beratung durch Datenschutzbeauftragte.

Warnung vor Attacken auf Mehr-Faktor-Authentifizierung

Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) meldete kürzlich, dass Angreifer die Protokolle zur Mehr-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) umgangen haben, um Cloud-Service-Konten zu gefährden.

„CISA sind mehrere erfolgreiche Cyberangriffe gegen Cloud-Dienste verschiedener Organisationen bekannt geworden“, so die US-Cybersicherheitsbehörde.

„Die an diesen Angriffen beteiligten Cyberkriminellen verwendeten eine Vielzahl von Taktiken und Techniken – einschließlich Phishing, Brute-Force-Anmeldeversuchen und möglicherweise einen „Pass-the-Cookie“-Angriff, um zu versuchen, Schwachstellen in den Sicherheitspraktiken der Organisationen auszunutzen.“

Leider ist dies kein Einzelfall. Vielmehr sind solche Cookie-Attacken, die auch MFA-Verfahren gefährden können, häufig.

Der Sicherheitsanbieter Cerberus Sentinel erklärte dazu: „Das Umgehen von MFA über gestohlene Cookies ist weit verbreitet. Cookies stellen die Sitzungspersistenz für Webanwendungen her. Wenn Sie mit einer Webanwendung authentifiziert sind, ob MFA oder nicht, wird das Cookie abgelegt. Das Cookie enthält die Sitzungs-ID und die Zugriffstoken für die Webanwendung. Auf diese Weise müssen Sie sich nicht ununterbrochen erneut bei der Webanwendung authentifizieren. Dies ist ein inhärenter Fehler im HTTP-Protokoll und in der Funktionsweise von Webanwendungen.“

Mehr-Faktor-Authentifizierung: Passwort + SMS-Code o.Ä.

Viele Onlinedienste bieten mittlerweile die Möglichkeit, das Passwort-Verfahren durch eine zusätzliche Zwei-Faktor-Authentifizierung zu ergänzen. Hat der Nutzer sein Passwort eingegeben, muss er beispielsweise darüber hinaus einen SMS-Code eintippen, den er automatisiert auf sein Mobilgerät geschickt bekommt. Darüber hinaus setzen sich biometrische Verfahren wie Fingerabdruck immer mehr durch.

Wann immer sich die Möglichkeit bietet, sollte man diese Optionen aktivieren. Denn sie erhöhten weiter die Sicherheit der Zugänge, so der Sicherheitsanbieter Nevis.

Allerdings führt eine Zwei- oder Mehr-Faktor-Authentifizierung nicht automatisch zu einem sicheren Zugang.

Nicht nur auf Mehr-Faktor-Authentifizierung vertrauen

Die Empfehlung der Sicherheitsexperten lautet: Der Weg, um die MFA-Sicherheitsanfälligkeit bezüglich Pass-the-Cookies zu verringern, besteht darin, die Cookies besser zu verwalten und die Benutzer besser zu schulen.

Insbesondere sollten Website-Betreiber Cookies nur mit einer kurzen Lebensdauer und nur für eine einzelne Sitzung setzen. Schließt ein Besucher den Browser, wird das Cookie ungültig. Nutzer müssen also wissen, dass sie sich von Webanwendungen abmelden und ihren Browser schließen müssen, nachdem sie die Wesite besucht haben.

Viele Benutzer melden sich niemals ab, oder sie schließen einen Browser nicht. Das erhöht jedoch das Risiko für einen Cookie-Diebstahl.

MFA allein ist also nicht automatisch sicher. Denn Angreifer können auch die Mehr-Faktor-Authentifizierung umgehen, indem sie andere Schwachstellen ausnutzen. Bei Online-Zugängen könnten sie etwa die Cookies stehlen, die eine Website als Nachweis für die erfolgreiche Anmeldung setzt.

Mit diesen Cookies könnten die Angreifer die Anmeldung übernehmen und die darüber geschützten Daten stehlen – und das alles trotz einer Anmeldung, die über mehrere Faktoren gesichert ist.

Im Übrigen würde auch ein dritter Sicherheitsfaktor nichts helfen. Denn er führt ebenfalls zu einer erfolgreichen Anmeldung und einem Sitzungscookie für den Online-Dienst. Und diesen Cookie könnten Angreifer übernehmen.

Zusätzliche Maßnahmen

Verantwortliche müssen also zusätzliche Sicherheits-Maßnahmen ergreifen, um Schwachstellen in den Anmeldeverfahren zu minimieren.

Praxis-Tipp
Zu den wichtigsten Maßnahmen gehört, sofern sie selbst Websites anbieten, Sitzungscookies zeitlich zu begrenzen.

Außerdem gilt es, die Mitarbeitenden dafür zu sensibilisieren, wie wichtig es ist, den Browser zu schließen, nachdem sie sich von einer Anwendung abgemeldet haben.

Diese zwei Maßnahmen sollten Datenschutzbeauftragte als Ergänzung empfehlen, wenn eine Unterweisung zum Zugangsschutz und zur Zwei-Faktor-Authentifizierung stattfindet.

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

Kommentar abgeben

0 Kommentare