Limitierung einer MFA überwindenMöglichkeiten und Grenzen der Multi-Faktor-Authentifizierung
28. März 2023Die Multi-Faktor-Authentifizierung (MFA) wird gilt oftmals als Wunderwaffe in Sachen Cyber-Sicherheit. Früheren Aussagen von Microsoft zufolge könne MFA bis zu 99,9 Prozent der kompromittierenden Angriffe auf Konten abwehren. Die Realität belehrt uns allerdings schnell eines Besseren. Auch die MFA ist weniger Wunderwaffe als Wunschdenken.
Die Multi-Faktor-Authentifizierung ist in der Regel eine Kombination aus etwas, das der Anwender weiß, was er besitzt und was ihn ausmacht. So sind beispielsweise Passwörter und Antworten auf Sicherheitsfragen „etwas, was man weiß“, Geräte-Token oder Einmalpasswörter (OTP) „etwas, das man besitzt“, und Fingerabdrücke und Gesichtsmerkmale „etwas, man ist.“ In der Theorie klingt das plausibel. In der Praxis sieht es leider anders aus, und das aus einer Reihe von Gründen.
MFA weist immanente Schwächen auf
Das Problem bei der derzeitigen Vorgehensweise: Ein Einmalpasswort wird im Grunde zu „etwas, das Sie wissen“, sobald es beim Endanwender ankommt – und es kann gestohlen werden. Wenn ein Anwender ein Einmalpasswort auf seinem Gerät sieht, wird es unmittelbar herabgestuft von „etwas, das Sie haben“ zu „etwas, das Sie wissen“ und das von einem Angreifer kompromittiert werden kann.
Experten wissen, dass Angreifer ausreichend kreativ sind, um Hindernisse zu überwinden. Eine Methode ist es, Anwender mit gefälschten MFA-Anfragen zu bombardieren. Ein Vorgehen, das den Nutzer schnell ermüden kann. Die Folge: Er akzeptiert eine der falschen Anfragen.
Eine andere Möglichkeit, MFA zu hacken, sind Phishing-Angriffe. Hier kapern die Angreifer das Einmalpasswort des Opfers, indem sie mehrfach OTP-Anforderungen verwenden. Oder sie infizieren das Mobilgerät mit einer Malware zur SMS-Weiterleitung oder zum Diebstahl von Session-Cookies, mit denen sich authentifizierte Sessions abspielen lassen.
Und natürlich sind auch MFA-Lösungen wie jede andere Software auch nicht vor Schlupflöchern und Sicherheitslücken gefeit. So haben Angreifer bereits Schwächen im Geräte-Registrierungsprozess der Microsoft MFA ausgenutzt, um sich die Kontrolle über Office365-Konten zu verschaffen.
Für manch einen Benutzer sind der MFA-Prozess und dessen Implementierung so lästig, dass sie entweder darauf verzichten oder – schlimmer noch – Wege finden, die MFA komplett zu umgehen. Und das alles ohne jede Intervention oder Social Engineering seitens eines Angreifers. Allerdings ist die Multi-Faktor-Authentifizierung tief in Unternehmen verankert, und sie hat einen Reifegrad erreicht, der es einem durchschnittlichen User erschwert, sie zu umgehen.
Was sollten Unternehmen tun?
Eine MFA ist sicherlich in der Lage, eher simple Angriffe zu vereiteln. Als alleinige Sicherheitsmaßnahme reicht sie aber bei Weitem nicht aus. Es gilt, zusätzliche Maßnahmen zu implementieren, um die Zugangskontrollen zu verbessern und die laterale Fortbewegung von Angreifern innerhalb der Infrastruktur einzuschränken. Dazu sollte man einige Empfehlungen beherzigen:
- Verabschieden Sie sich von unübersichtlichen Methoden zur Identifikation, Authentifizierung und Autorisierung – die Begriffe Identifikation, Authentifizierung und Autorisierung werden häufig synonym verwendet, sind aber von Natur aus unterschiedlich. Usernamen und Passwörter können einen Anwender „identifizieren“, was sie nicht können, ist ihn wirksam zu „authentifizieren“. Zudem sind sie leicht zu hacken, zu stehlen oder im Darknet zu kaufen. Ganz ähnlich bietet MFA eine bessere „Authentifizierung“. Was ihr jedoch fehlt, ist die erforderliche kontextabhängige Sensibilisierung, um festzustellen, ob ein Anwender tatsächlich „autorisiert“ ist, auf eine Ressource zuzugreifen. Mit anderen Worten: Nur weil ein Anwender authentifiziert ist, heißt das noch lange nicht, dass er Zugriff auf alle Netzwerkressourcen nebst den erforderlichen Berechtigungen haben sollte. Unternehmen sollten sich deshalb für ein Zero-Trust-Modell entscheiden, bei dem sämtliche Zugriffsanforderungen geprüft werden. Ein Anwender kann dann nur auf die Ressourcen zugreifen, für die er im Einzelnen autorisiert wurde.
- Kontext und Telemetrie berücksichtigen – über Mechanismen zur Authentifizierung hinaus sollte man Lösungen implementieren, die Telemetriedaten zum Aufbau einer kontextabhängigen Sensibilisierung nutzen. Dazu gehört das Sammeln und Analysieren aller Arten von Telemetriedaten hinsichtlich von Anwendern und Endpoints, wie z. B. Geräte-ID und Position, Standorthistorie, typische Verhaltensmuster des Anwenders und viele weitere mehr. Anhand dieser Datenkombinationen lässt sich besser verifizieren, ob ein Anwender wirklich der ist, der er vorgibt zu sein. Ein System sollte beispielsweise einen Alarm generieren und den Zugriff verweigern, wenn ein Anwender versucht, sich innerhalb eines denkbar kurzen Zeitraums von unterschiedlichen Ländern aus anzumelden.
- Kontinuierliche Authentifizierung – sie ist wesentlicher Bestandteil des Zero-Trust-Modells. Sie erweitert die MFA durch die Autorisierung eines Anwenders bei jedem Schritt. Zusätzlich werden die Zugriffsmuster über Systeme und Anwendungen hinweg auch nach der ursprünglichen Authentifizierung überwacht. Wenn beispielsweise ein Mitarbeiter der Personalabteilung kritische Systemdateien oder Konfigurationseinstellungen ändert, sollten alle Alarmglocken schrillen und die Zugriffsrechte sofort entzogen werden. Parallel sollte eine Benachrichtigung an die Sicherheitsabteilung gehen, um den Vorfall eingehender untersuchen zu können.
- Vermeiden von fragmentierten Lösungen zugunsten von konsolidierten Systemen – einer der größten Fehler innerhalb der Cyber-Sicherheit besteht darin, Vorfälle einem Single Point of Failure zuzuordnen und sich nur darauf zu konzentrieren. Angriffe laufen immer in mehreren Phasen ab: von der Sondierung über den erstmaligen Zugriff bis hin zum Datendiebstahl und dem eigentlichen Angriff. In diesem Prozess stößt ein Angreifer immer wieder auf Hindernisse. Jede Sicherheitsebene bietet die Chance, eine Attacke zu unterbinden, bevor sie schlussendlich erfolgreich verläuft. Häufig arbeiten die einzelnen Sicherheitstools allerdings isoliert und kommunizieren nicht untereinander. Das erschwert es, die betreffenden Punkte rechtzeitig miteinander zu verbinden.
Eine Methode, das Problem in den Griff zu bekommen, ist ein Single-Pass-Netzwerk und eine Sicherheitsarchitektur, wie sie ein Kernmerkmal des Secure Access Service Edge (SASE) ist. Eine Single-Pass-Architektur erlaubt Sicherheitsanwendungen und -services, jedweden Kontext gemeinsam zu nutzen. Dies liefert End-to-End-Transparenz aus einer Hand über eine einheitliche Managementkonsole für On-Premises- und Cloud-Netzwerke sowie Services. So kann man Endpoints und Cloud-Netzwerke zentral überwachen und den Status mit der Makro-Cyber-Sicherheits-Umgebung abgleichen (neueste Schwachstellen, aufkommende Bedrohungen usw.).
MFA ist ohne Zweifel ein Muss. Es lässt sich aber nicht ausschließen, dass gleichermaßen kenntnisreiche wie entschlossene Angreifer auch einen MFA-Mechanismus kompromittieren oder umgehen. Statt sich auf die vermeintliche Wunderwaffe zu verlassen, sollte man auf ein konsolidiertes System setzen.
Ein System, das auf Zero-Trust, kontextbezogener Sensibilisierung, Transparenz und Kontrolle aus einer Hand basiert, Risiken in Echtzeit identifiziert, die laterale Bewegung von Angreifern begrenzt und verhindert, dass aus Sicherheits-Alerts schwerwiegende Sicherheitsvorfälle werden.
Etay Maor ist Senior Director Security Strategy bei Cato Networks.