13. Dezember 2022 DI Wolfgang Fiala, DI Dr. Peter Gelber

Multi Faktor Authentifizierung

Im letzten Kapitel von 2022, wird MFA generell bearbeitet und die Notwendigkeit von Multi Faktor Authentifizierung gegenüber 2FA besprochen. [...]

Tagebuch eines Datenschutz-Beauftragten (c) ITW

Multi-Faktor-Authentifizierung (MFA) ist heute die zeitgemäße Authentifizierungsmethode, bei der der Benutzer zwei oder mehr Verifizierungsfaktoren angeben muss. Erst dann erlangt er Zugang zu einer Ressource wie einer Anwendung, einem Online-Konto oder einem VPN.

MFA ist eine Kernkomponente einer starken Richtlinie für Identity Access Management (IAM). Anstatt nur nach einem Benutzernamen und einem Kennwort zu fragen, erfordert MFA einen oder mehrere zusätzliche Überprüfungsfaktoren, wodurch die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs sinkt.

1. Multi-Faktor-Authentifizierung

1.1 Benutzernamen und Kennwörter nicht zeitgemäß

Benutzernamen und Kennwörter sind zwar wichtig, aber sie sind anfällig für Brute-Force-Angriffe und können von Dritten relativ einfach gestohlen werden.

1.2 MFA ist Industriestandard

Die Verwendung einer Anmeldung – gepaart mit einer Handy-App, deren PIN bei der Anmeldung erforderlich ist, ist eine weit verbreitete Variante der MFA. Eine weitere Variante ist die Verwendung von biometrischen Identifikationsmerkmalen, wie eines Daumenabdrucks, Face-ID Merkmale oder auch eines physischen Hardwareschlüssels.

MFA erhöht den Schutz Ihres Unternehmens gegenüber Cyberkriminellen und stärkt das Vertrauen bei Ihren Kunden.

1.3 Wie funktioniert die MFA?

MFA basiert auf zusätzlichen Überprüfungsinformationen (Faktoren), die verlangt werden. Einer der am häufigsten genutzten MFA-Faktoren sind Einmalkennwörter (One-Time Passwords, OTP). OTPs sind 4- bis 8-stellige Codes, die Sie oft per E-Mail, SMS oder über eine mobile Anwendung (zB Handy-App) erhalten.

Bei jeder Authentifizierungsanfrage wird ein neuer Code generiert. Diese Generierung basiert auf einem Startwert und einem anderen Faktor, der einfach ein fortlaufender Zähler oder ein Zeitwert sein kann.

2. Drei Haupttypen von MFA-Authentifizierungsmethoden

Die meisten MFA-Authentifizierungsmethoden beruhen auf einer von drei Arten von Zusatzinformationen:

  • Dinge, die Sie haben (Besitz), z. B. ein Ausweis oder ein Smartphone
  • Dinge, die Sie wissen (Wissen), z. B. ein Kennwort oder eine PIN
  • Dinge, die Sie ausmachen (Inhärenz), z. B. biometrische Daten wie Fingerabdrücke oder Stimmerkennung

2.1 Authentifizierung versus Authentisierung

Beide Begriffe beschreiben Prozesse während eines Anmeldevorgangs. Da die beiden Begriffe Authentifizierung und Authentisierung häufig verwechselt werden, soll auf den Unterschied zwischen Authentifizierung und Authentisierung erläutert werden.

Authentisierung – das Nachweisen einer Identität
Im Rahmen einer Authentisierung erbringt eine Person einen Beweis dafür, dass sie ist, wer sie zu sein vorgibt. Im Alltag geschieht dies z. B. durch die Vorlage des Personalausweises. In der IT wird hierfür häufig ein Passwort in Kombination mit einem Benutzernamen genutzt, was aber nicht dem Industriestandard entspricht.

Authentifizierung

Darunter versteht man die Prüfung des o. g. Identitätsnachweises auf seine Authentizität. Im Alltag geschieht dies z. B. durch die Prüfung des Personalausweises auf Urkundenfälschung und durch den Abgleich mit der Person. In der IT wird z. B. überprüft, ob die Kombination von Benutzernamen und Passwort im System existiert.

2.2 MFA-Ziele

Das Ziel von MFA ist es, eine mehrschichtige Verteidigung zu schaffen, die es einer unbefugten Person erschwert, auf ein Ziel zuzugreifen. Beispiele dafür sind Zugriff auf einen physischen Standort, ein Computergerät, ein Netzwerk oder eine Datenbank.

Falls ein Faktor kompromittiert oder gebrochen wird, muss der Angreifer immer noch mindestens eine oder mehrere Barrieren überwinden, bevor er erfolgreich in das Ziel eindringen kann.

Die Multifaktor-Authentifizierung ist eine Kernkomponente eines Identitäts- und Zugriffsverwaltungssystems (IAM, Identity Access Management).

2.3 MFA-Authentifizierungsmethoden

Die drei gebräuchlichsten Authentifizierungsfaktoren gehören zu folgenden Kategorien:

  • „etwas, das Sie wissen“ oder der Wissensfaktor,
  • „etwas, das Sie haben“ oder der Besitzfaktor und
  • „etwas, das Sie sind“ oder der Inhärenz Faktor beschrieben.

Finden zwei oder mehr Faktoren aus diesen Kategorien Anwendung, spricht man von MFA.

  • Wissensfaktor

Das Prinzip der wissensbasierten Authentifizierung besteht darin, dass der Benutzer eine persönliche Sicherheitsfrage beantworten muss. Zu den Wissensfaktor -Technologien gehören im allgemeinen Passwörter kombiniert mit mehrstelligen persönlichen Identifikationsnummern (PINs) und einmal Passwörter (OTPs).

Typische Benutzerszenarien sind:

  • das Anmelden mit einem Kennwort und einer Kennung,
  • das Beantworten einer typischen Sicherheitsfrage, die man in einem System hinterlegt hat,
  • das Durchziehen einer Debitkarte wie beispielsweise einer girocard und die Eingabe einer PIN an der Supermarktkasse,
  • Besitzfaktor

Das Prinzip des Besitzfaktors besteht darin das der Benutzer im Besitz von eines Besitzfaktors ist, wie zum Beispiel eines Ausweises, eines Tokens, eines Schlüsselanhängers oder eine SIM-Karte. State of the Art ist die Mobilauthentifizierung in Verbindung mit einem Smartphone und mit einer OTP-App.

Technologien mit dem Faktor Besitz sind zB:

  • Herunterladen eines Clients für ein virtuelles privates Netzwerk mit einem gültigen digitalen Zertifikat und Einloggen in das VPN, bevor man Zugang zu einem Netzwerk erhält.
  • Sicherheits-Token sind kleine Hardware-Geräte, die die persönlichen Daten eines Benutzers speichern und zur elektronischen Authentifizierung der Identität dieser Person verwendet werden. In Frage kommt dafür eine Smartcard, einen in einen Gegenstand eingebetteten Chip (zum Beispiel ein USB-Speichermedium) oder ein Wireless Tag.
  • Eine softwarebasierte Sicherheits-Token-Anwendung stellt das Gerät selbst – zum Beispiel ein Smartphone – den Besitzfaktor Authentifizierung dar. Dieses Gerät generiert eine einmalige Anmelde-PIN. Soft-Tokens werden häufig für die mobile Multifaktor-Authentifizierung verwendet, Typische Benutzerszenarien für den Faktor Besitz sind u.a.:
  • mobile Authentifizierung, bei der die Nutzer über ihr Smartphone einen Code erhalten, um Zugang zu erhalten oder zu gewähren. Zu diesen Varianten gehören Textnachrichten und Telefonanrufe, die als Out-of-Band-Methode an einen Nutzer gesendet werden, Smartphone-OTP-Apps, SIM-Karten und Smartcards mit gespeicherten Authentifizierungsdaten,
  • Anschließen eines USB-Hardware-Tokens an einen Desktop, der ein Einmalpasswort (OTP) generiert, und Verwendung dieses Tokens zur Anmeldung bei einem VPN-Client.
  • Inhärenz-Faktor

Für die Authentifizierte Erziehungsmethode Inferenz-Faktor bieten sich alle biometrischen Merkmale des Benutzers an. Zu den Inhärenz-Faktor-Verfahren gehören die folgenden biometrischen Überprüfungsmethoden:

Für dieses Verfahren benötigen Sie ein Lesegerät, eine Datenbank und Software zur Umwandlung der gescannten biometrischen Daten in ein standardisiertes digitales Format.  Der Vergleich von Übereinstimmungen zwischen den festgestellten Daten und den gespeicherten Daten entscheidet über den Zugang zu Systemen.

Zu den typischen Szenarien für den Inhärenz-Faktor gehören die folgenden:

  • Bereitstellung einer digitalen Unterschrift an einer Einzelhandelskasse.
  • die Verwendung eines Fingerabdrucks oder einer Gesichtserkennung für den Zugriff auf ein Smartphone.

Berücksichtigung des Standortes

Der Standort des Nutzers wird häufig als weiterer Faktor für die Authentifizierung vorgeschlagen. Auch hier kann die Allgegenwärtigkeit von Smartphones dazu beitragen, die Authentifizierung zu erleichtern, dass die Benutzer ihre Telefone in der Regel bei sich tragen, und Smartphones unterstützen in der Regel GPS, was eine glaubwürdige Bestätigung des Anmeldeortes erlaubt.

Berücksichtigung zeitlicher Aspekte

Die zeitbasierte Authentifizierung wird ebenfalls verwendet, um die Identität einer Person nachzuweisen, indem die Anwesenheit zu einer bestimmten Tageszeit festgestellt und der Zugang zu einem bestimmten System oder Ort gewährt wird.

Beispielsweise können Bankkunden ihre Geldautomatenkarte nicht physisch in Deutschland und 15 Minuten später in Kanada benutzen. Diese Art von logischen Sperren kann dazu beitragen, viele Fälle von Online-Bankbetrug zu verhindern.

3. Die Vor- und Nachteile der Multifaktor-Authentifizierung

Ziel der Multifaktor-Authentifizierung war es, den Sicherheitszugang zu Systemen und Anwendungen durch Hardware und Software zu verstärken um die Identität der Benutzer und die Integrität ihrer digitalen Transaktionen zu gewährleisten.

3.1 Vorteile der Multifaktor-Authentifizierung

Die MFA bietet folgende Vorteile:

  • kann von den Nutzern leicht eingerichtet werden;
  • hilft Unternehmen bei der Erfüllung gesetzlicher und regulatorischer Vorschriften;
  • reduziert Sicherheitsverletzungen im Vergleich zur alleinigen Verwendung von Passwörtern erheblich;
  • kann Einmalpasswörter verwenden, die an Telefone gesendet werden, und die nach dem Zufallsprinzip in Echtzeit generiert werden und für Hacker schwer zu knacken sind;
  • hat skalierbare Kosten, da es sowohl teure und hochentwickelte MFA-Tools gibt, aber auch günstigere für kleine Unternehmen.

3.2 Nachteile der Multifaktor-Authentifizierung

Zu den Nachteilen der MFA gehören:

  • Hardware-Token können verloren gehen oder gestohlen werden;
  • Die MFA-Überprüfung kann bei einem Netzwerk- oder Internetausfall fehlschlagen; und
  • Die MFA-Techniken müssen ständig verbessert werden, um vor Kriminellen zu schützen, die unablässig daran arbeiten, sie zu knacken.
  • Üblicherweise wird ein Gerät wie ein Smartphone benötigt, um einen Code zu erhalten;
  • Die biometrischen Daten, die von MFA-Algorithmen für persönliche IDs berechnet werden, wie zum Beispiel Daumenabdrücke, sind nicht immer genau und können zu falsch positiven oder negativen Ergebnissen führen.

3.3 Multifaktor-Authentifizierung vs. Zwei-Faktor-Authentifizierung

Als die ersten Authentifizierungsstrategien eingeführt wurden, bestand die Absicht darin, die Sicherheit zu erhöhen, sie aber auch so einfach wie möglich zu halten. Die Benutzer wurden aufgefordert, nur zwei Formen von Sicherheitsschlüsseln anzugeben, die dem System mitteilen sollten, dass sie authentische und autorisierte Benutzer sind.

Eine gängige Form der 2FA (Zwei-Faktor-Authentifizierung) ist Bankkarte und PIN für den Geldautomaten. In der IT dominierte lange die Ein-Faktor-Authentifizierung (SFA), bei der Anwender sich mit einem Passwort an einem System anmelden können.

Leider entdeckten Kriminelle schnell Möglichkeiten, Passwörter zu kaufen oder zu knacken oder Debitkarten an Geldautomaten abzufischen. Dies veranlasste Unternehmen und Sicherheitsanbieter dazu, nach robusteren Formen der Benutzerauthentifizierung zu suchen, die zusätzliche Sicherheitsfaktoren für die Überprüfung verwenden.

Durch die Hinzufügung von Sicherheitsfaktoren bei MFA wird die Benutzerfreundlichkeit für Benutzer, die sich mehrere Passwörter merken müssen, weiter erschwert. Daher besteht das Ziel von Multifaktor-Authentifizierung darin, die MFA-Techniken für die Benutzer zu vereinfachen.

Hier sind zwei Ansätze, die zur Vereinfachung von Multifaktor-Authentifizierung verwendet werden:

Adaptive MFA

Dabei werden Wissen, Unternehmensregeln oder Richtlinien auf benutzerbasierte Faktoren wie Gerät oder Standort angewendet. Ein Unternehmens-VPN weiß beispielsweise, dass es für einen Benutzer in Ordnung ist, sich von zu Hause aus anzumelden, da es den Standort des Benutzers erkennt und das Risiko eines Missbrauchs oder einer Gefährdung bestimmen kann. Aber ein Mitarbeiter, der von einem Café aus auf das VPN zugreift, löst das System aus und muss MFA-Anmeldedaten eingeben.

Push-Authentifizierung

Hierbei handelt es sich um eine automatisierte Authentifizierungstechnik für mobile Geräte, bei der das Sicherheitssystem automatisch einen dritten, einmalig verwendbaren Identifizierungscode an das mobile Gerät des Benutzers ausgibt. Beispielsweise geben Benutzer, die auf ein gesichertes System zugreifen wollen, ihre Benutzer-ID und ihr Kennwort ein, und ein Sicherheitssystem gibt automatisch einen dritten Einmal-Identifikationscode an ihr mobiles Gerät aus.

Die Benutzer geben diesen Code in das System ein, um Zugang zu erhalten. Die Push-Authentifizierung vereinfacht die MFA, indem sie den Benutzern einen dritten Code zur Verfügung stellt, den sie sich nicht mehr merken müssen.

4. Schlussbemerkung

2-Faktor-Authentisierung entspricht heute nicht mehr dem Industriestandard. Insbesondere bei kritischen Daten gemäß Art. 9 DSGVO sind daher mit einer MFA zu schützen.

Falls das nicht der Fall ist, können Aufsichtsbehörden entsprechende Strafen aussprechen.

Das Tagebuch wird zur Verfügung gestellt von:

DSGVO-ZT GmbH

www.dsgvo-zt.at


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*