Multi-Faktor-Authentifizierung (MFA): Definition, Faktoren & Schwachstellen

Um Accounts vor missbrรคuchlichen Anmeldungen zu schรผtzen, zรคhlen mehrstufige Login-Verfahren zu den Grundlagen der IT-Sicherheit. Multi-Faktor-Authentifizierung, also der Nachweis der eigenen Identitรคt รผber mehrere, unterschiedliche Kriterien, hindert Hacker an der รœbernahme von Konten. In unserem Beitrag erklรคren wir, wie Multi-Faktor-Authentifizierung funktioniert und mit welchen Methoden Cyberkriminelle MFA hacken.

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung bzw. MFA bezeichnet Anmeldeverfahren, die neben der Eingabe von Benutzername und Passwort weitere Kontrollen umfassen, etwa E-Mail-PINs oder den Code aus einer Smartphone-App. Die zwei- oder mehrstufige Anmeldung erschwert den Diebstahl von Konten, da Angreifer neben den Login-Daten ihres Ziels z.B. auch dessen Handy oder E-Mail-Adresse in Besitz bringen mรผssten.

MFA kann durch unterschiedliche Verfahren implementiert werden, zu den gebrรคuchlichsten Faktoren bei der zweistufigen Anmeldung zรคhlen:

  • Etwas, das ich weiรŸ: Passwort, Geburtsdatum, Antwort auf Sicherheitsfragen

  • Etwas, das ich habe: Keycard, E-Mail-Zugang, Smartphone mit Authenticator-App

  • Etwas, das ich bin: Fingerabdruck, Gesichtserkennung, Spracherkennung, biometrische Daten

Fรผr die sichere Anmeldung sollten unterschiedliche Faktoren zum Einsatz kommen. Mehrere Passwรถrter abzufragen bietet zum Beispiel kaum zusรคtzliche Sicherheit, da Angreifer diese auf dem selben Weg ausforschen kรถnnten. Ziel der Multi- oder Zwei-Faktor-Authentifizierung ist es, den Aufwand fรผr Cyberkriminelle deutlich zu erhรถhen.

Weitere Faktoren: Zeit & Standort

Neben Wissen, Besitz und Inhรคrenz (Eigenschaften einer Person) fรผhren einige Quellen auch Standort und Uhrzeit als Faktoren fรผr Multi-Faktor-Authentifzierung an. Nach Ansicht von Experten sind diese aber nicht aussagekrรคftig genug, um die Identitรคt eines Benutzers verlรคsslich zu verifizieren. Der Kontext eines Anmeldeversuchs lรคsst sich jedoch heranziehen, um verdรคchtige Aktivitรคt zu identifizieren (Login von anderem Kontinent) oder Sicherheitsrichtlinien festzulegen (keine Anmeldungen auรŸerhalb der Bรผrozeiten).

Warum ist Multi-Faktor-Authentifizierung so wichtig?

Die Frage nach der Relevanz von MFA lรคsst sich mit einer klaren Statistik beantworten: Nach Angaben von Microsoft machen Accounts ohne MFA 99,9% aller kompromittierten Konten aus, die der Software-Konzern in Diensten wie Azure AD und Microsoft 365 beobachtet. Bei einstufigen Login-Verfahren ist das Risiko, dass sich Kriminelle Zugang zu einem Konto verschaffen also um ein Vielfaches hรถher als bei der zweistufigen Anmeldung.

Das Passwort-Problem

Der Grund fรผr diese Verteilung ist relativ einfach: Obwohl Passwรถrter in unserem Alltag allgegenwรคrtig sind, bieten diese viel weniger Schutz, als den meisten Anwendern klar ist. Wegen des Aufwands, sich eine Vielzahl an Passwรถrtern zu merken, verwenden die meisten Menschen sehr schwache Passwรถrter: kurz, simpel und aus gรคngigen Wรถrtern zusammengesetzt. Mit Brute-Force-Methoden wie dem Durchprobieren hรคufiger Passwรถrter lassen sich solche Zugangsdaten in Windeseile knacken.

Doch auch ein komplexes Passwort lรคsst sich vergleichsweise einfach umgehen, etwa wenn es in einem Passwort-Leak zu finden bzw. kaufen ist oder man den Besitzer mittels einer Phishing-Kampagne davon รผberzeugt, es freiwillig einzugeben. Oder die Eingabe des Passworts mit einem Keylogger aufzeichnet. Wie Microsoft es ausdrรผckt: Passwort-Stรคrke spielt (in den meisten Fรคllen) keine Rolle. Die mehrstufige Authentifizierung bietet im Vergleich deutlich mehr Schutz.

Mitarbeiter bei Eingabe von Zugangsdaten auf Tastatur.
Wenn es um Passwรถrter geht, wรคhlen die meisten User den Weg des geringsten Widerstands. Adobe Stock, (c) khunkorn

Wie sicher ist MFA wirklich?

Wie sicher Multi-Faktor-Authentifizierung in der Praxis ist hรคngt von der Implementierung ab. Fehler bei der Einbindung von MFA kรถnnen zu erheblichen Sicherheitslรผcken fรผhren. Grundsรคtzlich gilt dennoch, dass (fast) jede Form der Multi-Faktor-Authentifizierung einem einfachen Login-Verfahren vorzuziehen ist.

Ein wichtiger Punkt ist die Verwendung unterschiedlicher Faktoren, da die Kombination verschiedener Methoden den grรถรŸten Sicherheitsvorteil beim Identitรคtsnachweis bietet. Mehrere Faktoren derselben Kategorie (Wissen, Besitz, etc.) lassen sich oft auf dem gleichen Weg in Besitz bringen.

Darรผber hinaus mรผssen Organisationen auf den richtigen Umgang mit Zugangsdaten achten: Recovery Codes als Textdatei auf dem Desktop zu speichern ist keine gute Idee. Verwendet man physische Sicherheitsschlรผssel wie FIDO-Keys mรผssen diese sicher verwahrt und ein genaues Inventar gefรผhrt werden.

Zuletzt ist es wichtig zu wissen, dass nicht alle Faktoren gleich sicher sind. Sicherheitsfragen sind etwa eine eher schwache Kontrolle, da sich die Antworten oft mit wenig Recherche oder durch Social Engineering ausforschen lassen. Auch von MFA per SMS raten Experten ab, da sich diese abfangen oder durch SIM-Swapping umgehen lรคsst.

Sicherheit vs. Benutzerfreundlichkeit

Angriffe auf Benutzerkonten nehmen stetig zu und es ist wichtiger denn je, Zugรคnge angemessen abzusichern. Bei der Suche nach sicheren Login-Verfahren mรผssen Organisationen aber auch darauf achten, Benutzer durch den zusรคtzlichen Aufwand nicht zu verรคrgern. Zum einen soll die Multi-Faktor-Authentifizierung im Alltag die Arbeit nicht behindern.

Zum anderen ist bei komplexen SicherheitsmaรŸnahmen die Verlockung umso grรถรŸer, diese zu umgehen, Codes auf Papier zu notieren, Kollegen um das Zuschicken von Zugangsdaten zu bitten, etc. Die richtige Balance aus Sicherheit und Benutzerfreundlichkeit trรคgt zur Einhaltung der Richtlinien und reibungslosen Ablรคufen bei.

MFA Schwachstellen: So tricksen Hacker MFA aus!

Auch wenn Multi-Faktor-Authentifizierung eine deutliche Verbesserung zu simplen Login-Verfahren darstellt, bietet die Methode keine hundertprozentige Sicherheit. Da sich MFA mit zunehmender Verbreitung zum Standard fรผr alle Anmeldungen entwickelt, arbeiten Cyberkriminelle fieberhaft an neuen Techniken, um Multi-Faktor-Authentifzierung zu knacken (MFA Hacking) oder auf anderem Weg zu umgehen (MFA Bypass).

Die Methoden der Hacker reichen dabei von Manipulation und psychologischem Druck รผber das Ausnutzen technischer Schwachstellen und Zero Day Exploits, die Kompromittierung von Gerรคten und Auspionieren von Logins, bis hin zu Angriffen รผber Umwegen. Die hรคufigsten MFA Angriffe finden Sie in unserer รœbersicht.

1

Social Engineering

Social Engineering Angriffe zielen darauf ab, Benutzer zu manipulieren und Ihnen Informationen zu entlocken, die fรผr die รœbernahme ihres Kontos genutzt werden kรถnnen. Eine hรคufige Form sind etwa Phishing-Mails, die nach Anmeldedaten und persรถnlichen Informationen fragen oder auf eine nachgebaute Login-Seite verlinken. Um das Opfer dazu zu bringen, sensible Daten preiszugeben, wird dabei meist Druck aufgebaut, etwa durch Formulierungen im Betreff wie “dringende Eingabe erforderlich” oder “Ihr Zugang lรคuft ab!”

Auf eine andere Form von psychologischem Druck setzen Angriffe nach dem MFA Fatigue Muster: Dabei werden User solange mit Anfragen bombadiert, die Anmeldung auf ihrem Konto zu bestรคtigen, bis diese aus Frust zustimmen.

2

Spoofing und Fake Logins

Der tรคuschend echte Nachbau einer vertrauten Login-Seite soll Nutzer dazu bringen, die Multi-Faktor-Authentifizierung fรผr den Angreifer abzuschlieรŸen. Meist erfolgt ein solcher Angriff in Kombination mit Phishing-Mails und betrรผgerischen Nachrichten, welche auf das Imitat verlinken.

Die gefรคlschte Anmeldemaske leitet Benutzername und Passwort weiter um sich bei dem eigentlichen Anbieter anzumelden. Dort wird die MFA Anfrage kopiert und die Aufforderung anschlieรŸend auf die Fake-Seite รผbertragen. Gibt der User nun den geforderten PIN bzw. Sicherheitscode ein, wird er meist unter dem Vorwand eines technischen Fehlers auf eine andere Seite weitergeleitet.

Wรคhrenddessen nutzt der Angreifer die eingegebenen Daten, um sich statt des Besitzers anzumelden. Wegen der Positionierung zwischen dem Benutzer und dem eigentlichen Dienst spricht man auch von Man-in-the-Middle Angriffen.

3

Recovery Angriffe

Eine weitere Schwachstelle, die sich Angreifer beim Umgehen der Multi-Faktor-Authentifzierung zunutze machen, ist die Wiederherstellung der Zugangsdaten. Die Identitรคtsprรผfung vieler Dienste ist beim Zurรผcksetzen des Zugangs weniger streng als bei einer Anmeldung: Statt des Codes aus einer Smartphone-App genรผgt hier oft die Antwort auf eine Sicherheitsfrage oder die Eingabe persรถnlicher Daten.

Das hat auch seinen Grund: Auch fรผr den eigentlichen Besitzer eines Kontos muss es eine Mรถglichkeit geben, den Zugang wiederzuerlangen wenn er z.B. sein Handy verloren hat. Dennoch machen schwรคchere Kontrollen die Wiederherstellung zu einem mรถglichen Sicherheitsrisiko. Auch unsicher verwahrte Recovery Codes oder betrรผgerische Anrufe beim Support des Dienstleisters kรถnnen zur Gefahr werden.

Betrรผger, der beim Kundendienst anruft.
“Hallo, ich habe mich aus meinem Konto ausgesperrt. Kรถnnten Sie es fรผr mich zurรผcksetzen?” Adobe Stock, (c) Elnur
4

Session Hijacking

Durch die รœbernahme einer aktiven Anmeldung kรถnnen Angreifer den Login-Prozess vollstรคndig umgehen bzw. so tun, als hรคtten sie diesen bereits absolviert. Dazu mรผssen Sie den Session-Cookie stehlen, รผber den der jeweilige Online-Service die aktive Anmeldung des Benutzers identifiziert. Mรถglich ist dies durch die รœberwachung des Netzwerk-Traffics oder Kompromittierung des Endgerรคts, etwa weil ein User auf einen infizierten Link geklickt hat. Der Vorteil des Cookie-Diebstahls (aus Sicht des Angreifers) liegt darin, dass er vergleichsweise unauffรคllig und auch mit niedriger Berechtigungsstufe mรถglich ist.

Mit dem gestohlenen Cookie kรถnnen Angreifer die aktive Session auf einem anderen Gerรคt รผbernehmen. Das Risiko fรผr derartige Angriffe kann durch Session-Timeouts und die automatische Abmeldung von Benutzern minimiert werden. รœblich ist dies bislang vor allem in sensiblen Bereichen wie dem Online-Banking.

Identity Management: Zugรคnge sicher verwalten

Viele MFA Schwachstellen lassen sich durch entsprechende GegenmaรŸnahmen eingrenzen: Phishing-Filter, Session-Timeouts, Zeitlimits fรผr wiederholte Anmeldeversuche. Dennoch lรคsst sich der Diebstahl von Konten nie vollstรคndig ausschlieรŸen. Im Rahmen der IT-Sicherheit mรผssen sich Organisationen daher auch auf das Szenario einer missbrรคuchlichen Anmeldung vorbereiten. Welche Mรถglichkeiten bietet das jeweilige Konto Angreifern? Welche Daten und Systeme sind damit verknรผpft?

Moderne Sicherheitskonzepte wie Zero Trust und Least Privilege bauen darauf auf, jedem Nutzer nur so wenig Zugang wie mรถglich zu gewรคhren, um den Schaden im Fall einer Kompromittierung zu begrenzen. Dazu mรผssen die Berechtigungen aller Nutzer innerhalb einer Organisation an ihren Aufgabenbereich angeglichen und laufend angepasst werden, wann immer sich Rollen, Verantwortungen und Strukturen verรคndern. Und das in allen verwendeten Systemen.

Mรถglich machen dies Lรถsungen fรผr das Identity und Access Management. Eine solche Plattform erlaubt es Admins, die Vergabe von Konten (das sogenannte User Lifecycle Management) zu automatisieren und sich auf wesentliche Aufgaben zu konzentrieren, anstatt Berechtigungen in mรผhseliger Kleinstarbeit anzupassen. รœber ein zentrales Berechtigungs-Reporting lรคsst sich der aktuelle Stand dabei jederzeit problemlos nachvollziehen.

tenfold im รœberblick

Jetzt ansehen: So gelingt die automatische Benutzerverwaltung!

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.