Multi-Faktor-Authentifizierung gehört heute zum guten Ton. Wir zeigen Ihnen die besten Lösungen und sagen Ihnen, auf welche Kriterien es bei der MFA-Lösungswahl ankommt. [...]
Cyberangriffe werden immer raffinierter und zielen immer öfter auf Logindaten ab. Egal, ob es dabei um fortschrittliche Phishing-Techniken, Credential Stuffing oder Social Engineering geht: Zugangsdaten sind mit Abstand die größte Schwachstelle, wenn es darum geht, die IT-Systeme von Unternehmen abzusichern. Einen bewährten Weg, die Zugriffssicherheit zu optimieren, bietet die Multi-Faktor-Authentifizierung (MFA).
MFA-Lösungen: Auswahlkriterien
Das Diffizile an jeder Sicherheitsmaßnahme ist, sie für die Endbenutzer komfortabel oder zumindest effizient zu gestalten. Das Schlimmste, was Sie dabei tun können: Die Sicherheitsanforderungen so hochzuschrauben, dass Benutzer entweder nicht mehr auf Unternehmensressourcen zugreifen können oder Wege finden, die von Ihnen eingezogenen Maßnahmen zu umgehen.
Die Faktoren einer MFA-Lösung sind ein wichtiges Kriterium bei der Wahl der richtigen Lösung. SMS- und E-Mail-basierte Sicherheitscodes stellen das Security-Minimum dar – sie sind zwar besser als nichts, dennoch sollten Sie abwägen, ob dies das richtige Maß an Sicherheit für Ihr Unternehmen bietet. Schließlich sind sowohl E-Mails als auch SMS potenziell anfällig, kompromittiert zu werden. MFA-Standards wie zeitbasierte Einmalpasswörter (TOTP) werden häufig von Authentifizierungsanwendungen wie Google Authenticator und anderen unterstützt.
TOTPs hängen aber letztlich von einem einzigen Authentifizierungs-Token ab, der sowohl dem Authentifizierungsdienst als auch dem Authentifizierungsgerät des Benutzers bekannt ist. Viele MFA-Anbieter setzen auf proprietäre Protokolle, die sowohl starke Sicherheit als auch einen bequemen Authentifizierungsfluss mit Push-Benachrichtigungen an ein registriertes Mobilgerät bieten.
MFA-Anbieter im Unternehmensumfeld bieten zusätzliche Tools und Funktionen zur Verbesserung der Authentifizierungssicherheit. Richtig implementiert, können MFA-Dienste Sie dabei unterstützen, bei einer Vielzahl von Anwendungen und Unternehmensressourcen einen zentralen Punkt für die Authentifizierung zu schaffen. So können Sie zusätzliche Funktionen wie verbesserte Protokollierung und Analyse, Authentifizierungsrichtlinien und sogar KI und risikobasierte Zugangskontrollen implementieren.
Ein weiterer Aspekt, den es bei der Auswahl einer MFA-Lösung zu berücksichtigen gilt, ist die Art der Unternehmensressourcen, die Sie schützen möchten. Cloud-Anwendungen wie Office 365, Google Workspaces oder Salesforce sind attraktive Ziele für Cyberkriminelle. Unternehmens-VPNs sind ein weiterer häufiger Anwendungsfall für MFA. Multi-Faktor-Authentifizierung mit internen oder benutzerdefinierten Unternehmensanwendungen zu nutzen, gestaltet sich etwas diffiziler – abhängig von der Reife der Anwendung, die Sie schützen möchten. Darüber hinaus macht es im Remote- und Hybrid-Work-Zeitalter Sinn, MFA auch für die Authentifizierung an Firmenrechnern oder -servern zu implementieren.
Eng verwoben mit den Ressourcen, die Sie mit Multi-Faktor-Authentifizierung absichern, ist die Infrastruktur, die erforderlich ist, um diese Ressourcen mit Ihrem bestehenden Identity Repository zu verknüpfen. Häufig zieht dieses Vorhaben die Integration in ein lokales LDAP-Verzeichnis (Lightweight Directory Access Protocol). Viele MFA-Anbieter erledigen das entweder per Softwareagent, der in Ihrem lokalen Netzwerk installiert wird, oder über LDAPS (LDAP over SSL).
Was die anwendungsspezifische Infrastruktur betrifft, so haben Sie mit Cloud-Anwendungen oft leichtes Spiel, da diese sich oft nahtlos über Standards wie SAML integrieren lassen. Die meisten VPN-Lösungen unterstützen die Integration mit RADIUS. So kann die Authentifizierung an einen vorhandenen RADIUS-Server und dann an Ihren MFA-Anbieter weitergeleitet werden.
In einigen Fällen erfolgt die Kommunikation auch direkt mit Ihrem MFA-Anbieter über Standardprotokolle. Bei benutzerdefinierten oder intern gehosteten Unternehmensanwendungen kann eine Interaktion mit dem MFA-Anbieter über eine API erforderlich sein – oder SAML genutzt werden. Multi-Faktor-Authentifizierung für Desktops und Server erfordert eine auf jedem Endpunkt installierte Software, die sich in den Authentifizierungs-Workflow einfügt.
Multi-Faktor-Authentifizierung: Die besten Apps
In Sachen Multi-Faktor-Authentifizierungslösungen gibt es viele sehr solide Optionen, die jeweils über ein umfassendes Funktionsspektrum und ein hohes Maß an Flexibilität verfügen. Die folgenden Produkte gehören zu den besten am Markt:
Duo ist einer der großen Namen im Bereich der Multi-Faktor-Authentifizierung. Die Lösung wird als Integrationspunkt für Produkte von Wettbewerbern angeboten und bietet mit Duo Push eines der beliebtesten Push-basierten MFA-Produkte. Duo bezieht bei Bedarf auch biometrische Faktoren mit ein. Das bietet zusätzliche Sicherheit, da damit bestätigt wird, dass der registrierte Benutzer im Besitz des Geräts ist.
Der Sicherheitsanbieter ESET ist vor allem für seine Anti-Malware- und Endpoint-Protection-Produkte bekannt. Mit ESET Secure Authentication hat das Unternehmen jedoch auch eine vollwertige MFA-Lösung im Angebot, deren Funktionsumfang den Konkurrenzlösungen in nichts nachsteht. Secure Authentication bietet Support für VPN und RADIUS, eine Browser-basierte Management-Konsole, integriert mit vorhandenen LDAP-Verzeichnissen und hat auch Cloud-basierte Identity Stores an Bord. Ebenfalls unterstützt werden Push-Benachrichtigungen und Hardware-Tokens – ESET bietet sogar eine API und ein SDK für Unternehmen, die ihre Anwendungen enger mit dem Dienst integrieren möchten.
Neben RSA gehört HID Global zu den renommiertesten Anbietern im Bereich Enterprise Security. Bevor Multi-Faktor-Authentifizierung ein Thema wurde, war HID bereits mit physischen Sicherheitslösungen am Markt vertreten. Neben seinen Hardware- und Smartcard-Lösungen verfügt HID mit HID Approve über eine solide, softwarebasierte MFA-Lösung, die eine schnelle Bereitstellung ohne Investitionen in Hardware ermöglicht. HID Approve unterstützt Push-Authentifizierung sowie Sicherheitsrichtlinien und verfügt darüber hinaus über Runtime Application Self-Protection (RASP) – eine Technologie, die Authentifizierungsversuche überwacht und Angriffe im laufenden Betrieb verhindern soll.
Geht es um Passwortmanager, ist LastPass einer der bekanntesten Anbieter. Da Multi-Faktor-Authentifizierung ebenfalls in diesen Bereich hereinspielt, bietet das Unternehmen auch eine MFA-Lösung an. Der LastPass MFA-Service unterstützt alle bereits genannten Anwendungsfälle (VPN, Webanwendungen, Desktop, lokale Anwendungen) und lässt sich eng mit gängigen Identity-Management-Plattformen wie Azure AD und Okta integrieren.
Apropos Okta: Der Sicherheitsanbieter zählt seit einiger Zeit zu den angesagtesten Namen in der Authentifizierungs-Welt – vornehmlich wegen seines Tool-Portfolios. Okta Adaptive MFA setzt auf einer sicheren Plattform auf, die automatisch vor Identitätsangriffen schützt, indem sie Daten aus früheren Angriffen mit Bedrohungsdaten von Drittanbietern kombiniert. Okta kann diese Bedrohungsdaten auch nutzen, um das Risikopotenzial legitimer Authentifizierungsversuche zu bewerten und den Bedarf an robusteren Authentifizierungsfaktoren dynamisch zu steuern. Zusätzlich zu den proaktiven, Analytics-basierten Verteidigungsmaßnahmen ermöglicht Okta den Usern auch vereinfachtes Threat Reporting. Diese können im Ernstfall Administratoren benachrichtigen oder automatische Maßnahmen zur Schadensbegrenzung auslösen.
Ein weiterer Pionier auf dem Gebiet der Multi-Faktor-Authentifizierung ist RSA. Die RSA-Hardware-Tokens mit ihren rotierenden numerischen Schlüsseln zählten zu den ersten MFA-Lösungen überhaupt. RSA SecurID unterstützt nicht nur mobile und hardwarebasierte Authentifizierungsfaktoren, sondern auch einen nahtlosen Authentifizierungspfad – selbst wenn Sie einmal keinen Internetzugang haben (etwa in einem Flugzeug). RSA unterstützt außerdem dynamische, risikobasierte Authentifizierungsrichtlinien, um Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen.
Die Wahrscheinlichkeit ist groß, dass sie den Namen Silverfort noch nie zuvor gehört haben. Das MFA-Angebot des Unternehmens erfüllt allerdings eine ganze Reihe von MFA-Must-Have-Kriterien und erkennt unter anderem anormales Verhalten, Bedrohungsmuster und abgestufte Authentifizierungsfaktoren auf der Grundlage von Risikobewertungen. Mit Silverfort lässt sich darüber hinaus eine Multi-Faktor-Authentifizierung für gängige Verwaltungstools wie PowerShell, Remote Desktop und SSH erzwingen.
Wie bei einem von Twilio angebotenen Authentifizierungsdienst nicht anders zu erwarten, liegt das Hauptargument für Authy in der API-getriebenen Flexibilität, die durch eine umfangreiche Dokumentation und Community unterstützt wird. Authy ist definitiv keine Plug-and-Play-Lösung, aber hochflexibel und skalierbar.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
*Tim Ferrill ist IT-Experte und beschäftigt sich in erster Linie mit Windows und Windows Server. Er schreibt für unsere US-Schwesterpublikation CSO Online.
Be the first to comment