Sie haben also eine MFA... aber ist sie auch Phishing-sicher?

Das Problem mit einmaligen Codes und Push-Benachrichtigungen 

MFA-Methoden wie Einmalcodes und Push-Benachrichtigungen wurden eingeführt, um die Risiken im Zusammenhang mit kompromittierten oder gehackten Passwörtern zu verringern. MFA fügt eine zweite Sicherheitsebene in Form eines zusätzlichen Authentifizierungsfaktors hinzu, der zusammen mit dem Benutzernamen und dem Passwort eingegeben werden muss. Die gebräuchlichsten Formen von MFA sind zeitlich begrenzte Einmalcodes (die per E-Mail oder SMS versandt oder von einer Authentifizierungs-App zum Zeitpunkt der Anmeldung generiert werden können) und Push-Benachrichtigungen, die an ein vertrauenswürdiges Gerät (z. B. ein Smartphone) gesendet werden. Diese telefonbasierten MFA-Methoden dienen dazu, die Identität der Person zu bestätigen, die die Anmeldedaten eingibt; der Benutzer muss Zugang zu einem vertrauenswürdigen Smartphone/Gerät haben, um die Anmeldung abzuschließen.

Theoretisch verhindert dies unbefugte Anmeldungen durch Personen, die durch eine Datenverletzung oder Brute-Force-Hacking in den Besitz von Benutzeranmeldeinformationen gelangt sind. Wenn sie nicht im Besitz des Telefons des Benutzers sind, können sie den einmaligen Code oder die Push-Benachrichtigung nicht erhalten, um den Anmeldeversuch abzuschließen. Cyberkriminelle sind jedoch zu hochentwickelten Formen von Phishing und anderen Angriffen übergegangen, die speziell auf diese Formen der MFA abzielen. Zum Beispiel: 

• Eine Mitarbeiterin erhält eine Push-Benachrichtigung auf ihrem Smartphone, in der sie aufgefordert wird, eine Anmeldung zu autorisieren. Gleichzeitig erhält sie einen Anruf von jemandem, der behauptet, von ihrer IT-Abteilung zu sein, und ihr mitteilt, dass man ungewöhnliche Aktivitäten in ihrem Benutzerprofil festgestellt hat und ihr Konto zurücksetzen wird. Der Anrufer scheint viel über sie und ihr Unternehmen zu wissen, und als er ihr sagt, sie solle die Benachrichtigung akzeptieren, tut sie das. Da der Anmeldeversuch nun auf dem vertrauenswürdigen Gerät bestätigt wurde, können die Cyberkriminellen nun ihr Konto übernehmen, die Sicherheitseinstellungen ändern und sie aussperren. 
• Ein Mitarbeiter erhält eine E-Mail, die scheinbar von seiner IT-Abteilung stammt und ihm mitteilt, dass er sein Passwort für das Unternehmensnetzwerk aktualisieren muss. Der Link in der E-Mail führt ihn zu einer Seite, die genauso aussieht wie seine normale Anmeldeseite, und wenn er seine Anmeldedaten eingibt, wird er auch aufgefordert, den von seiner Authentifizierungs-App generierten Einmalcode einzugeben, wie immer. Der Code ist nur eine Minute lang gültig... aber lange genug für Hacker, um ihn auf der echten Website einzugeben. 
• Ein Hacker ruft den Mobilfunkanbieter einer Zielperson an und überredet ihn mit gestohlenen Kontodaten, den Dienst auf eine neue SMS-Karte in einem von ihm kontrollierten Telefon zu übertragen. Nun werden alle per SMS gesendeten Einmalcodes vom Hacker abgefangen, wodurch er Zugang zu mehreren Anwendungen erhält. 

Dies sind nur einige der Methoden, mit denen Hacker herkömmliche MFA-Methoden aushebeln oder umgehen. Neben Phishing und Social Engineering sind Push-Benachrichtigungen und Einmal-Codes, die an ein Mobiltelefon gesendet oder dort generiert werden, anfällig für SIM-Swapping, Tastaturprotokollierung und andere Formen des Abfangens, die Schwachstellen in der Kommunikationsarchitektur von Mobiltelefonen ausnutzen. Außerdem sind Einmalcodes für die Benutzer sehr umständlich, was zu mehr fehlgeschlagenen Anmeldeversuchen und mehr Zeitverlust führt, was die Einhaltung der MFA-Anforderungen beeinträchtigen kann. 

Was ist Phishing-resistente MFA? 

Aus diesem Grund empfehlen Organisationen wie die U.S. Cybersecurity & Infrastructure Security Agency (CISA), dass Unternehmen phishing-resistente MFA implementieren. Dabei handelt es sich um Formen der MFA, die den anfälligsten Teil des Prozesses eliminieren: den Benutzernamen und das Passwort. Stattdessen melden sich die Benutzer über eine Benutzerberechtigung an, die auf einem physischen Objekt (z. B. einem Hardware-Sicherheitsschlüssel oder einer ID-Karte) oder einem Smartphone gespeichert ist. Die zweite Form der Authentifizierung kann eine einfache Benutzer-PIN sein. 

Zu den derzeit verfügbaren Authentifizierungsmethoden, die den Standard für Phishing-Resistenz erfüllen, gehören FIDO2-Hardware-Sicherheitsschlüssel, RFID-Karten (Radio Frequency Identification) oder mobile Anmeldeinformationen auf dem Smartphone mit Nahfeldkommunikation (NFC) in Kombination mit einer PIN oder biometrischen Daten als zweitem Faktor. Hier erfahren Sie, was diese Methoden phishing-resistent macht: 

• Die Benutzer kennen ihre Anmeldedaten nicht, so dass sie sie bei einem Phishing- oder Social-Engineering-Angriff nicht preisgeben können. 
• Die Authentifizierung erfolgt lokal zwischen der physischen Karte, dem Anhänger oder dem Telefon des Benutzers und einem in das Gerät eingebetteten oder daran befestigten Lesegerät, so dass die Anmeldedaten des Benutzers nicht abgefangen oder aus der Ferne verwendet werden können. 
• Die zweite Form der Authentifizierung, die Benutzer-PIN, kann nur von jemandem verwendet werden, der auch die Karte oder das Smartphone in der Hand hat - selbst wenn sie aufgedeckt wird, ist sie also für einen Hacker nutzlos. 

RFID/NFC+PIN als Phishing-resistente MFA-Lösung

RFID/NFC+PIN ist die einfachste Möglichkeit, eine phishing-resistente MFA zu implementieren. In den meisten Unternehmen tragen die Mitarbeiter bereits einen RFID-Mitarbeiterausweis, den sie für den Zutritt zum Gebäude verwenden. Dieselbe Karte kann für die sichere Benutzeranmeldung bei Geräten, Netzwerken und Anwendungen des Unternehmens genutzt werden. Alternativ können sich die Mitarbeiter auch mit einem auf dem Smartphone gespeicherten mobilen Berechtigungsnachweis authentifizieren. In Kombination mit einer Benutzer-PIN oder einer biometrischen Authentifizierung auf dem Smartphone entsteht so eine hochsichere Form der MFA. 

RFID/NFC+PIN bietet mehrere Vorteile für Mitarbeiter und Unternehmen. 

• Einfach zu benutzen: Die Anmeldung mit einer ID-Karte oder einem Smartphone und einer PIN ist schneller als die Eingabe eines Benutzernamens und eines Passworts und erspart den Ärger mit einmaligen Codes. 
• Sicher: RFID/NFC+PIN ist sicherer als ein Passwort mit einer Push-Benachrichtigung oder einem einmaligen Code. 
• Einfach zu implementieren: Da die Karte oder das Telefon, das die Mitarbeiter bereits bei sich tragen, genutzt wird, ist die Implementierung einfach. 
• Kostengünstig: Durch die Abschaffung von Passwörtern lassen sich auch Zeit und Kosten für den IT-Support einsparen. 
• Flexibel: RFID/NFC+PIN kann für die Anmeldung an Geräten wie Computern und Druckern verwendet und mit Single-Sign-On-Software (SSO) für die sichere Anmeldung an Unternehmensnetzwerken und -anwendungen kombiniert werden. 
• Konform: Als eine der einzigen MFA-Methoden, die vollständig mit den neuen Cybersecurity-Empfehlungen übereinstimmt, kann sie Unternehmen dabei helfen, neue Cyberversicherungsanforderungen und Industriestandards/Regelungen zum Datenschutz und zur Cybersicherheit wie NIS2 zu erfüllen.