Für den Schutz von Informationen ist es unerlässlich, IT-Systeme wirksam abzusichern. Der Zugriffskontrolle kommt dabei eine entscheidende Rolle zu, da ein erheblicher Teil erfolgreicher Cyber-Angriffe auf kompromittierte Identitäten zurückzuführen ist.

Dennoch bleiben viele Unternehmen bei der einfachen Benutzerauthentifizierung, obwohl die Multi-Faktor-Authentifizierung (MFA) eine deutlich höhere Sicherheit verspricht. Dieser Verzicht birgt ernsthafte Risiken, denn ohne diese zusätzliche Sicherheitsebene sind Daten und Systeme anfälliger für unbefugten Zugriff und potenzielle Cyber-Angriffe. Es ist wichtig zu erkennen, dass die Multi-Faktor-Authentifizierung das Einfallstor für Angreifer verringert.

Prinzip der Multi-Faktor-Authentisierung

Bei der einfachen und immer noch weit verbreiteten Anmeldung meldet sich ein Benutzer ausschließlich mit Benutzername und Passwort an. Da Benutzernamen öffentlich bekannt sein können, ist das Passwort der einzige Sicherheitsfaktor.

Diese Variante der Absicherung wird als schwach eingestuft. Kommt ein Angreifer an das Passwort, z.B. durch Spionage oder Social Engineering, kann er sofort Zugriff auf das System erlangen.

Die Idee hinter der Multi-Faktor-Authentifizierung (auch Mehr-Faktor-Authentifizierung) ist, dass die Verwendung eines einzigen Faktors für die Anmeldung nicht ausreicht. Der Benutzer muss mindestens zwei Faktoren verwenden, um Zugriffsrechte zu erhalten. Mögliche Faktoren sind

  • Biometrische Daten (z.B. Fingerabdruck oder Iris-Scan)
  • Manuelle Freigabe per Authenticator-App (auf einem anderen Gerät, z.B. Smartphone)
  • Passwort
  • Security-Token (z.B. Chipkarte, Smartphone oder USB-Key)
  • Sicherheitscode / Einmalpasswort (z.B. via SMS oder Telefonanruf übermittelt)

Die Verwendung eines zusätzlichen Authentifizierungsfaktors erhöht die Sicherheit erheblich. Denn während ein Passwort relativ leicht ausspioniert werden kann, sind z.B. biometrische Daten schwieriger zu erbeuten.

Bedrohungsszenarien und wie MFA schützt

  1. Phishing-Angriffe
    Phishing ist eine der häufigsten Methoden, um an Zugangsdaten von Benutzern zu gelangen. Dabei täuschen Angreifer vertrauenswürdige Kommunikation vor (z.B. gefälschte E-Mails oder Websites), um Passwörter oder andere sensible Informationen zu stehlen.
  2. Passwortspray-Angriffe
    Bei Passwortspray-Angriffen versuchen Angreifer, häufig verwendete Passwörter über viele Benutzerkonten hinweg auszuprobieren, anstatt einzelne Konten gezielt anzugreifen.
  3. Credential Stuffing
    Angreifer verwenden gestohlene Zugangsdaten aus Datenlecks, um sich in anderen Systemen anzumelden. Da viele Nutzer ihre Passwörter wiederverwenden, sind sie besonders anfällig für diese Angriffe.
  4. Man-in-the-Middle-Angriffe (MITM)
    Angreifer schalten sich zwischen die Kommunikation des Benutzers und der Zielseite, um Anmeldedaten abzufangen.
  5. Brute-Force-Angriffe
    Hierbei probieren Angreifer automatisiert Millionen von Kombinationen von Benutzernamen und Passwörtern aus, um Zugang zu einem Konto zu erhalten.

In allen fünf Szenarien gewährleistet die MFA den notwendigen Schutz, da die Angreifer nicht über den zweiten Faktor verfügen und der Zugang somit blockiert bleibt.

Multi-Faktor-Authentifizierung in der Sprache

Streng genommen ist der Begriff Multi-Faktor-Authentifizierung nicht korrekt. Die Hintergründe können Sie hier nachlesen: Der Unterschied zwischen Authentifizierung und Authentisierung. Im deutschsprachigen Raum hat sich jedoch der Begriff Authentifizierung durchgesetzt, weshalb wir ihn auch in diesem Beitrag verwenden.

Dennoch sollte – insbesondere im Zusammenhang mit der Erstellung von Dokumenten für Audits im Bereich des Datenschutzes und der Informationssicherheit – die Begriffsverwendung überdacht werden. Die meisten Organisationen sind gut beraten, sich an die Terminologie zu halten, die in der zugrundeliegenden Spezifikation (z.B. einem Normtext) verwendet wird.

Ein verwandter Begriff ist Zwei-Faktor-Authentifizierung (2FA). Er wird oft als Synonym für MFA verwendet, beschreibt aber technisch einen speziellen Anwendungsfall. Der Unterschied liegt in der Anzahl der verwendeten Faktoren.

Notwendigkeit des Einsatzes von MFA

Für Entscheidungsträger kann sich die Frage stellen, ob die Einführung einer MFA zwingend erforderlich ist. Auf der einen Seite erhöht sie die Sicherheit, auf der anderen Seite ist die Anmeldung mit einem höheren Aufwand verbunden, was häufig auf wenig Akzeptanz bei den Nutzern stößt.

Ob eine Verpflichtung besteht, hängt von mehreren Einflussgrößen ab. Unter anderem kommt es darauf an, welche Risiken ermittelt und wie diese bewertet wurden. Für die meisten Organisationen ergibt sich aus der Risikobewertung, dass eine MFA zu empfehlen ist.

Multi-Faktor-Authentifizierung (MFA) ist nicht nur eine Empfehlung für mehr Sicherheit, sondern wird in vielen Branchen und Szenarien durch gesetzliche und regulatorische Anforderungen vorgeschrieben.

ISO 27001 legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. Gemäß dem Standard ist MFA nicht direkt verpflichtend, wird jedoch als Best Practice zur Sicherung von Benutzerkonten empfohlen.

Hürden bei der Einführung

Widerstand bei der Einführung von MFA kommt häufig von den Nutzern. Viele empfinden diese Art der Sicherheit als unpraktisch und lehnen sie daher ab. Der zeitliche Mehraufwand beim Login ist jedoch in der Regel gering und beträgt im Vergleich zur herkömmlichen Anmeldung nur wenige Sekunden. Dafür erhöht sich die Sicherheit beim Login erheblich.

Ein weiteres Problem sind mögliche Störungen. Wenn beispielsweise das Mobilfunknetz ausfällt oder ein Mitarbeiter seinen USB-Key verliert, kann er sich nicht sofort anmelden. Glücklicherweise gibt es Möglichkeiten, dieses Risiko zu verringern, z.B. durch einen dritten Faktor für solche Notfälle.

Fazit

Die Einführung einer Multi-Faktor-Authentifizierung ist für Unternehmen sehr empfehlenswert, um die Sicherheit zu erhöhen und sich vor potentiellen Angriffen zu schützen. Der Vorteil der erhöhten Sicherheit überwiegt den Nachteil der etwas langsameren Anmeldung bei weitem.

Wenn Sie mehr über Zugriffskontrollen im Zusammenhang mit Datenschutz oder Informationssicherheit erfahren möchten, sind wir der richtige Ansprechpartner. Gerne stehen wir Ihnen auch beratend zur Seite und unterstützen Sie beispielsweise bei der Entwicklung geeigneter Lösungen. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren. Wir freuen uns auf Ihre Kontaktaufnahme.

Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen