Warum grundsätzlich eine MFA einsetzen?
Durch Phishing oder Brute Force Angriffe entwendete Passwörter sind eines der Haupteintrittstore für Cyber Angriffe auf Unternehmen. Phishing-Angriffe können trotz Sensibilisierungstrainings und Schulungen schwer zu erkennen sein, und sind für 90% der Datendiebstähle verantwortlich (Cisco, Cyber Security Threat Trends, 2021).
Deshalb bieten viele Onlinedienste werden viele Systeme inzwischen mit einer eine Zwei-Faktor-Authentifizierung (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) an abgesichert, mit der sich NutzerInnen beim Login in ein Online Konto zusätzlich zum Passwort identifizieren.
Um zu verhindern, dass unbefugte Dritte sich Zugang zu Nutzerdaten oder Accounts verschaffen, nur weil sie im Besitz des Passwortes sind, werden beim Login zwei dieser Faktoren miteinander kombiniert und abgefragt:
– Wissen des Benutzers (z.B. ein Passwort)
– Besitztum des Benutzers (z.B. ein Token oder Handy)
– Eigenschaften des Benutzers (z.B. der Fingerabdruck)
Herausforderung MFA
Da selbst komplexe Passwörter mithilfe von Brute Force Angriffen leicht entwendet sind, entscheiden sich immer mehr Unternehmen, eine MFA einzuführen. Im deutschen Markt nutzen jedoch nur 5 bis 10% der Unternehmen eine MFA. Das zeitintensive Ausrollen einer MFA und die Logistik eines teilweise benötigten zweiten Gerätes in Form eines Tokens oder eines Mobiltelefons pro Nutzer stellen eine Herausforderung dar. Hinzu kommt, dass MFA zwar ist einer der grundlegendsten Schutzmechanismen für die Cybersicherheit gegen Brute Force Angriffe ist, jedoch nicht in jedem Fall vor Phishingangriffen schützt.
Die meisten MFAs können nicht gegen Phishing schützen
Durch die Verwendung eines zweiten Faktors soll also im Falle eines kompromittierten Passwortes der unbefugte Zugriff an der Abfrage dieses zusätzlichen Faktors scheitern. So weit die Theorie. Jedoch entwickelt sich die Bedrohungslandschaft stets parallel zu neuen IT-Security Technologien weiter. Hacker sind immer auf der Suche nach neuen Wegen, um neue Sicherheitsmaßnahmen zu umgehen und Zugang zu Systemen zu erhalten.
Es gibt inzwischen gangbare Wege, die die meisten 2FA und MFA Lösungen mit relativer Leichtigkeit aushebeln. Selbst Bestätigungen mithilfe einer einer Push Nachricht oder via Code per SMS können von Cyberkriminellen ausgenutzt werden. Cisco, Microsoft, Twilio und Uber wurden alle gehackt – und das trotz MFA. Mehr Komplexität und Ebenen in der Lösung bedeutet nicht automatisch mehr Sicherheit.
Gibt es eine MFA die phishproof ist?
Bleibt also die Frage: Welche Lösungen sind die Ausnahme und können zuverlässig auch Phishingangriffen standhalten? Das Münchner Unternehmen IDEE hat sich mit der Lösung AuthN auf Security and Privacy by Design spezialisiert. AuthN ist die einzige passwortlose MFA, die alle Phishing- und passwortbasierten Angriffe verhindert und Insider-Bedrohungen stoppt. Um Phishingangriffe abzuwehren, nutzt die Lösung Kryptographie, den Sicherheitschip des Endgerätes und Blockchain-Technologie in Kombination, was ihr ein Alleinstellungsmerkmal auf dem Markt gibt. Sprechen Sie uns an, wenn Sie mehr über MFA erfahren möchten.
