Multi-Faktor-Authentifizierung: Definition, Faktoren & Schwachstellen

Um Accounts vor missbräuchlichen Anmeldungen zu schützen, zählen mehrstufige Login-Verfahren zu den Grundlagen der IT-Sicherheit. Multi-Faktor-Authentifizierung, also der Nachweis der eigenen Identität über mehrere, unterschiedliche Kriterien, hindert Hacker an der Übernahme von Konten. In unserem Beitrag erklären wir, wie Multi-Faktor-Authentifizierung funktioniert und mit welchen Methoden Cyberkriminelle MFA hacken.

Was ist Multi-Faktor-Authentifizierung?

Multi-Faktor-Authentifizierung bzw. MFA bezeichnet Anmeldeverfahren, die neben der Eingabe von Benutzername und Passwort weitere Kontrollen umfassen, etwa E-Mail-PINs oder den Code aus einer Smartphone-App. Die zwei- oder mehrstufige Anmeldung erschwert den Diebstahl von Konten, da Angreifer neben den Login-Daten ihres Ziels z.B. auch dessen Handy oder E-Mail-Adresse in Besitz bringen müssten.

MFA kann durch unterschiedliche Verfahren implementiert werden, zu den gebräuchlichsten Faktoren bei der zweistufigen Anmeldung zählen:

  • Etwas, das ich weiß: Passwort, Geburtsdatum, Antwort auf Sicherheitsfragen

  • Etwas, das ich habe: Keycard, E-Mail-Zugang, Smartphone mit Authenticator-App

  • Etwas, das ich bin: Fingerabdruck, Gesichtserkennung, Spracherkennung, biometrische Daten

Für die sichere Anmeldung sollten unterschiedliche Faktoren zum Einsatz kommen. Mehrere Passwörter abzufragen bietet zum Beispiel kaum zusätzliche Sicherheit, da Angreifer diese auf dem selben Weg ausforschen könnten. Ziel der Multi- oder Zwei-Faktor-Authentifizierung ist es, den Aufwand für Cyberkriminelle deutlich zu erhöhen.

Weitere Faktoren: Zeit & Standort

Neben Wissen, Besitz und Inhärenz (Eigenschaften einer Person) führen einige Quellen auch Standort und Uhrzeit als Faktoren für Multi-Faktor-Authentifzierung an. Nach Ansicht von Experten sind diese aber nicht aussagekräftig genug, um die Identität eines Benutzers verlässlich zu verifizieren. Der Kontext eines Anmeldeversuchs lässt sich jedoch heranziehen, um verdächtige Aktivität zu identifizieren (Login von anderem Kontinent) oder Sicherheitsrichtlinien festzulegen (keine Anmeldungen außerhalb der Bürozeiten).

Warum ist Multi-Faktor-Authentifizierung so wichtig?

Die Frage nach der Relevanz von MFA lässt sich mit einer klaren Statistik beantworten: Nach Angaben von Microsoft machen Accounts ohne MFA 99,9% aller kompromittierten Konten aus, die der Software-Konzern in Diensten wie Azure AD und Microsoft 365 beobachtet. Bei einstufigen Login-Verfahren ist das Risiko, dass sich Kriminelle Zugang zu einem Konto verschaffen also um ein Vielfaches höher als bei der zweistufigen Anmeldung.

Das Passwort-Problem

Der Grund für diese Verteilung ist relativ einfach: Obwohl Passwörter in unserem Alltag allgegenwärtig sind, bieten diese viel weniger Schutz, als den meisten Anwendern klar ist. Wegen des Aufwands, sich eine Vielzahl an Passwörtern zu merken, verwenden die meisten Menschen sehr schwache Passwörter: kurz, simpel und aus gängigen Wörtern zusammengesetzt. Mit Brute-Force-Methoden wie dem Durchprobieren häufiger Passwörter lassen sich solche Zugangsdaten in Windeseile knacken.

Doch auch ein komplexes Passwort lässt sich vergleichsweise einfach umgehen, etwa wenn es in einem Passwort-Leak zu finden bzw. kaufen ist oder man den Besitzer mittels einer Phishing-Kampagne davon überzeugt, es freiwillig einzugeben. Oder die Eingabe des Passworts mit einem Keylogger aufzeichnet. Wie Microsoft es ausdrückt: Passwort-Stärke spielt (in den meisten Fällen) keine Rolle. Die mehrstufige Authentifizierung bietet im Vergleich deutlich mehr Schutz.

Mitarbeiter bei Eingabe von Zugangsdaten auf Tastatur.
Wenn es um Passwörter geht, wählen die meisten User den Weg des geringsten Widerstands. Adobe Stock, (c) khunkorn

Wie sicher ist MFA wirklich?

Wie sicher Multi-Faktor-Authentifizierung in der Praxis ist hängt von der Implementierung ab. Fehler bei der Einbindung von MFA können zu erheblichen Sicherheitslücken führen. Grundsätzlich gilt dennoch, dass (fast) jede Form der Multi-Faktor-Authentifizierung einem einfachen Login-Verfahren vorzuziehen ist.

Ein wichtiger Punkt ist die Verwendung unterschiedlicher Faktoren, da die Kombination verschiedener Methoden den größten Sicherheitsvorteil beim Identitätsnachweis bietet. Mehrere Faktoren derselben Kategorie (Wissen, Besitz, etc.) lassen sich oft auf dem gleichen Weg in Besitz bringen.

Darüber hinaus müssen Organisationen auf den richtigen Umgang mit Zugangsdaten achten: Recovery Codes als Textdatei auf dem Desktop zu speichern ist keine gute Idee. Verwendet man physische Sicherheitsschlüssel wie FIDO-Keys müssen diese sicher verwahrt und ein genaues Inventar geführt werden.

Zuletzt ist es wichtig zu wissen, dass nicht alle Faktoren gleich sicher sind. Sicherheitsfragen sind etwa eine eher schwache Kontrolle, da sich die Antworten oft mit wenig Recherche oder durch Social Engineering ausforschen lassen. Auch von MFA per SMS raten Experten ab, da sich diese abfangen oder durch SIM-Swapping umgehen lässt.

Sicherheit vs. Benutzerfreundlichkeit

Angriffe auf Benutzerkonten nehmen stetig zu und es ist wichtiger denn je, Zugänge angemessen abzusichern. Bei der Suche nach sicheren Login-Verfahren müssen Organisationen aber auch darauf achten, Benutzer durch den zusätzlichen Aufwand nicht zu verärgern. Zum einen soll die Multi-Faktor-Authentifizierung im Alltag die Arbeit nicht behindern.

Zum anderen ist bei komplexen Sicherheitsmaßnahmen die Verlockung umso größer, diese zu umgehen, Codes auf Papier zu notieren, Kollegen um das Zuschicken von Zugangsdaten zu bitten, etc. Die richtige Balance aus Sicherheit und Benutzerfreundlichkeit trägt zur Einhaltung der Richtlinien und reibungslosen Abläufen bei.

MFA Schwachstellen: So tricksen Hacker MFA aus!

Auch wenn Multi-Faktor-Authentifizierung eine deutliche Verbesserung zu simplen Login-Verfahren darstellt, bietet die Methode keine hundertprozentige Sicherheit. Da sich MFA mit zunehmender Verbreitung zum Standard für alle Anmeldungen entwickelt, arbeiten Cyberkriminelle fieberhaft an neuen Techniken, um Multi-Faktor-Authentifzierung zu knacken (MFA Hacking) oder auf anderem Weg zu umgehen (MFA Bypass).

Die Methoden der Hacker reichen dabei von Manipulation und psychologischem Druck über das Ausnutzen technischer Schwachstellen und Zero Day Exploits, die Kompromittierung von Geräten und Auspionieren von Logins, bis hin zu Angriffen über Umwegen. Die häufigsten MFA Angriffe finden Sie in unserer Übersicht.

1

Social Engineering

Social Engineering Angriffe zielen darauf ab, Benutzer zu manipulieren und Ihnen Informationen zu entlocken, die für die Übernahme ihres Kontos genutzt werden können. Eine häufige Form sind etwa Phishing-Mails, die nach Anmeldedaten und persönlichen Informationen fragen oder auf eine nachgebaute Login-Seite verlinken. Um das Opfer dazu zu bringen, sensible Daten preiszugeben, wird dabei meist Druck aufgebaut, etwa durch Formulierungen im Betreff wie “dringende Eingabe erforderlich” oder “Ihr Zugang läuft ab!”

Auf eine andere Form von psychologischem Druck setzen Angriffe nach dem MFA Fatigue Muster: Dabei werden User solange mit Anfragen bombadiert, die Anmeldung auf ihrem Konto zu bestätigen, bis diese aus Frust zustimmen.

2

Spoofing und Fake Logins

Der täuschend echte Nachbau einer vertrauten Login-Seite soll Nutzer dazu bringen, die Multi-Faktor-Authentifizierung für den Angreifer abzuschließen. Meist erfolgt ein solcher Angriff in Kombination mit Phishing-Mails und betrügerischen Nachrichten, welche auf das Imitat verlinken.

Die gefälschte Anmeldemaske leitet Benutzername und Passwort weiter um sich bei dem eigentlichen Anbieter anzumelden. Dort wird die MFA Anfrage kopiert und die Aufforderung anschließend auf die Fake-Seite übertragen. Gibt der User nun den geforderten PIN bzw. Sicherheitscode ein, wird er meist unter dem Vorwand eines technischen Fehlers auf eine andere Seite weitergeleitet.

Währenddessen nutzt der Angreifer die eingegebenen Daten, um sich statt des Besitzers anzumelden. Wegen der Positionierung zwischen dem Benutzer und dem eigentlichen Dienst spricht man auch von Man-in-the-Middle Angriffen.

3

Recovery Angriffe

Eine weitere Schwachstelle, die sich Angreifer beim Umgehen der Multi-Faktor-Authentifzierung zunutze machen, ist die Wiederherstellung der Zugangsdaten. Die Identitätsprüfung vieler Dienste ist beim Zurücksetzen des Zugangs weniger streng als bei einer Anmeldung: Statt des Codes aus einer Smartphone-App genügt hier oft die Antwort auf eine Sicherheitsfrage oder die Eingabe persönlicher Daten.

Das hat auch seinen Grund: Auch für den eigentlichen Besitzer eines Kontos muss es eine Möglichkeit geben, den Zugang wiederzuerlangen wenn er z.B. sein Handy verloren hat. Dennoch machen schwächere Kontrollen die Wiederherstellung zu einem möglichen Sicherheitsrisiko. Auch unsicher verwahrte Recovery Codes oder betrügerische Anrufe beim Support des Dienstleisters können zur Gefahr werden.

Betrüger, der beim Kundendienst anruft.
“Hallo, ich habe mich aus meinem Konto ausgesperrt. Könnten Sie es für mich zurücksetzen?” Adobe Stock, (c) Elnur
4

Session Hijacking

Durch die Übernahme einer aktiven Anmeldung können Angreifer den Login-Prozess vollständig umgehen bzw. so tun, als hätten sie diesen bereits absolviert. Dazu müssen Sie den Session-Cookie stehlen, über den der jeweilige Online-Service die aktive Anmeldung des Benutzers identifiziert. Möglich ist dies durch die Überwachung des Netzwerk-Traffics oder Kompromittierung des Endgeräts, etwa weil ein User auf einen infizierten Link geklickt hat. Der Vorteil des Cookie-Diebstahls (aus Sicht des Angreifers) liegt darin, dass er vergleichsweise unauffällig und auch mit niedriger Berechtigungsstufe möglich ist.

Mit dem gestohlenen Cookie können Angreifer die aktive Session auf einem anderen Gerät übernehmen. Das Risiko für derartige Angriffe kann durch Session-Timeouts und die automatische Abmeldung von Benutzern minimiert werden. Üblich ist dies bislang vor allem in sensiblen Bereichen wie dem Online-Banking.

Identity Management: Zugänge sicher verwalten

Viele MFA Schwachstellen lassen sich durch entsprechende Gegenmaßnahmen eingrenzen: Phishing-Filter, Session-Timeouts, Zeitlimits für wiederholte Anmeldeversuche. Dennoch lässt sich der Diebstahl von Konten nie vollständig ausschließen. Im Rahmen der IT-Sicherheit müssen sich Organisationen daher auch auf das Szenario einer missbräuchlichen Anmeldung vorbereiten. Welche Möglichkeiten bietet das jeweilige Konto Angreifern? Welche Daten und Systeme sind damit verknüpft?

Moderne Sicherheitskonzepte wie Zero Trust und Least Privilege bauen darauf auf, jedem Nutzer nur so wenig Zugang wie möglich zu gewähren, um den Schaden im Fall einer Kompromittierung zu begrenzen. Dazu müssen die Berechtigungen aller Nutzer innerhalb einer Organisation an ihren Aufgabenbereich angeglichen und laufend angepasst werden, wann immer sich Rollen, Verantwortungen und Strukturen verändern. Und das in allen verwendeten Systemen.

Möglich machen dies Lösungen für das Identity und Access Management. Eine solche Plattform erlaubt es Admins, die Vergabe von Konten (das sogenannte User Lifecycle Management) zu automatisieren und sich auf wesentliche Aufgaben zu konzentrieren, anstatt Berechtigungen in mühseliger Kleinstarbeit anzupassen. Über ein zentrales Berechtigungs-Reporting lässt sich der aktuelle Stand dabei jederzeit problemlos nachvollziehen.

tenfold im Überblick

Jetzt ansehen: So gelingt die automatische Benutzerverwaltung!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.