Multi-Faktor-Authentifizierung

Kampf gegen den Passwortdiebstahl: Multi-Faktor-Authentifizierung als wirkungsvolle Maßnahme

Der Kampf gegen Cyberkriminalität findet derzeit an vielen Fronten statt. Eine zentrale Angriffsfläche für den unerlaubten Zugriff auf interne IT-Systeme von Unternehmen, Organisationen und Behörden bieten das Kapern von Benutzerkonten und der Diebstahl von Benutzerpasswörtern. Aus diesem Grund reicht es heute nicht mehr aus, den Zugriff auf die Unternehmens-IT über ein einfaches Anmeldeverfahren per Passwort zu schützen: Multi-Faktor-Authentifizierung (MFA) lautet die Devise.

Wie der Bundesverband der Deutschen Industrie e. V. (BDI) Ende Juli 2021 auf Grundlage des aktuellen CRIFBÜRGEL Cyber Reports bekannt gab, liegt Deutschland auf Platz vier der Liste der Länder, die aktuell am stärksten von E-Mail- und Passwortdiebstahl betroffen sind. Und so geben die Autoren der Studie den dringenden Rat, „sofern möglich, die Zwei-Faktor-Authentifizierung zu aktivieren, um so zu verhindern, dass Hacker in Konten eindringen, selbst nachdem sie den Benutzernamen und das Passwort herausgefunden haben“.

MFA: Was ist das?

Bei der Multi-Faktor-Authentifizierung wird die Zugangsberechtigung für den Zugriff auf ein Benutzerkonto (z.B. in einem Firmennetzwerk oder einer Cloud-Anwendung) dadurch erschwert, dass mehrere voneinander unabhängige Faktoren abgeprüft werden. Die derzeit am häufigsten verwendeten Faktoren werden in die drei folgenden Bereiche aufgeteilt:

  1. Wissen

Dazu gehören Passwörter, PINs oder einmalige Transaktionsnummern (TANs).

  1. Besitz

Dabei kann es sich um einen physischen Gegenstand handeln, also einen Token, eine Chipkarte oder einen USB-Stick, oder einen digitalen Schlüssel wie z.B. ein durch eine App generiertes Einmalkennwort, das dem Benutzer dann per SMS auf sein Smartphone gesendet wird.

  1. Person

Darunter versteht man eindeutige physische Merkmale oder biometrische Daten des Benutzers wie den Fingerabdruck, die Stimme, das Iris-Muster oder andere Merkmale der Gesichtserkennung.

Bei der eingangs erwähnten und dringend empfohlenen Zwei-Faktor-Authentifizierung (2FA) handelt es sich um eine mittlerweile sehr häufig verwendete Form der MFA. Bekanntestes Beispiel für 2FA aus der Nicht-IT-Welt: Geld abheben am Bankautomaten. Man benötigt dafür eine PIN (Wissen) und eine EC-Karte (Besitz). Ein weiteres mittlerweile geläufiges 2FA-Verfahren: Für das Entsperren des Bildschirms seines Smartphones kann der Besitzer unter verschiedenen Faktoren wählen: (Fingerabdruck, Muster, PIN), die miteinander kombiniert werden müssen, um Zugriff auf das Mobiltelefon zu erhalten.

Multi-Faktor-Authentifizierung in der Praxis

Auch im kommerziellen Bereich gibt es mittlerweile zahlreiche Beispiele für den Einsatz von MFA. Online-Zahlungsanbieter wie PayPal oder große Online-Händler wie Amazon bieten ihren Kunden die Möglichkeit an, eine Zwei-Faktor-Authentifizierung einzurichten. Grundlage dafür ist die EU-Zahlungsdienstrichtlinie PSD2, die europäische Kreditinstitute, Zahlungsdienstleister und Online-Händler seit 1. Januar 2021 dazu verpflichtet, ihren Kunden eine „starke Kundenauthentifizierung“ in Form einer Zwei-Faktor-Authentifizierung zur Verfügung zu stellen. Für andere Branchen und Unternehmen gibt es derartige Vorgaben derzeit noch nicht. Vor dem Hintergrund der aktuellen Bedrohungslage kann allerdings jedem Unternehmen nur geraten werden, sich schnellstmöglich mit dem Thema zu beschäftigen. Nur so kann es gelingen, zukünftige Cyberattacken, die es auf Benutzerkonten und Passwörter abgesehen haben, zu verhindern.

Multi-Faktor-Authentifizierung: So geht’s

Unternehmen, die Unterstützung bei Konzeption und Umsetzung eines Multi-Faktor-Authentifizierungsverfahrens für ihre Mitarbeitenden benötigen, bietet ITSM ein markterprobtes Service-Angebot. Weitere Informationen zum Thema Multi-Faktor-Authentifizierung stehen auf der ITSM-Webseite zur Verfügung.