on

Ohne geht`s leider nicht mehr:

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifzierung:

Was ist es und warum braucht man es?

In den letzten Jahren waren sehr viele Unternehmen von Hacker-Angriffen betroffen. Neben dem Haupt-Einfallstor “Phishing-Mails”, bei denen die Anwender auf Anhänge oder Links in präparierten Angriffsmails klicken, gibt es eine weitere Schwachstelle:

Von außen erreichbare Unternehmens-Anwendungen und insbesondere Microsoft365. Die Anwendungen selbst sind zwar nicht unsicher. Aber Hacker haben in vielen Fällen die Möglichkeit, Passwörter herauszufinden oder mit Hilfe automatisierter Tools zu erraten. D.h. sie melden sich einfach an.

Um diese Schwachstelle zu schließen, empfehlen wir den Einsatz der sogenannten Multi-Faktor-Authentifizierung. Worum es sich handelt und warum dies sinnvoll ist, erläutern wir in den folgenden Absätzen:

hacker-gd82af5db3_small

Was ist eine Multi-Faktor-Authentifizierung?

 

Wenn man sich an einem Rechner, einer Anwendung oder an einem Internet-Dienst anmeldet – also authentifiziert – gibt man schon immer zwei “Faktoren” ein: Seine Mailadresse (oder den Benutzernamen) und ein Passwort.

Wenn für den Login nun ein dritter Faktor notwendig ist, so spricht man von Multifaktor-Authentifizierung oder kurz “MFA”.

Durch das Online-Banking dürfte nahezu jeder mit MFA-Methoden vertraut sein, auch wenn ihm das nicht unbedingt bewusst ist: Neben der Kontonummer und der PIN gab es früher die TAN, heutzutage sind dynamische Verfahren vorgeschrieben (z.B. SMS-TANs, PhotoTAN oder Barcodes).

 

 

mfa_example

Warum sollte man eine Multifaktor-Authentifizierung verwenden?

Weil Passwörter unsicher sind und daher nicht mehr ausreichen.

 

Warum gelten Passwörter als nicht sicher? ​

 

Einerseits verwenden auch heutzutage noch erstaunlich viele User sehr einfache Passwörter wie “12345678”. Und auch wenn die Passwortrichtlinie der Anwendung, an der man sich authentifiziert, ein komplexeres Passwort verlangt, wird oft z.B. “Berlin1!” gewählt – alles leicht zu erraten.

Und es gibt einen noch einfacheren Weg: Seit Jahren passiert es, das große und kleine Webseiten gehackt werden und die Datenbank mit Anmeldeinformationen im Darknet landet. Große Hacks kamen z.B. bei Yahoo, Dropbox, Linkedin und Adobe vor. Wenn Sie auf solch einer Seite einen Account hatten, stehen Ihre Anmeldeinformationen – also Mailadresse und oft auch das Passwort – im Darknet!

Diese Anmeldeinformationen kann dann quasi jedermann kaufen. Und damit wissen Hacker z.B., dass hans.mustermann@gmx.de bei Dropbox das Passwort Hamburg20532! verwendet. Aus anderen Quellen wissen sie, dass Hans Mustermann bei der Cortana Gmbh arbeitet, weshalb man die Arbeits-Mailadresse leicht zusammensetzen kann. Entsprechende Tools, um das als Massenverarbeitung durchzuprobieren gibt es übrigens auch im Darknet zu kaufen.

Der springende Punkt ist nun: Es ist ein bekanntes Verhaltensmuster, dass Menschen private Passwörter auch bei der Arbeit verwenden.

Daher wird einfach der Login mit dem Benutzernamen hans.mustermann@cortana.de und dem Passwort Hamburg20532! zum Beispiel bei Microsoft365 versucht.

Wer wissen möchte, ob seine Anmelde-Informationen und Passwörter im Darknet bekannt sind, kann das übrigens prüfen. Zum Beispiel hier: https://haveibeenpwned.com/ oder beim Hasso Plattner Institut.

Wofür braucht man im Unternehmenskontext eine Multifaktor-Authentifizierung?

 

Die MFA ist bei allen, von außen erreichbaren Anwendungen notwendig, weil ein Angreifer relativ einfach auf diese Anwendungen zugreifen kann.

Dies sind in allererster Linie die Microsoft365-Anwendungen wie Outlook und Sharepoint, sowie VPN-Verbindungen. Sollte es weitere Anwendungen geben, die zwar auf einem internen Server laufen, aber von außen über den Browser erreichbar sind, so ist auch hierfür die MFA notwendig.

Bei Anwendungen, die nur innerhalb des Firmennetzes laufen, ist ein Angriff zwar nicht gänzlich ausgeschlossen, der Aufwand für einen erfolgreichen Hack ist aber um ein Vielfaches höher. Daher wird die MFA – in Abhängigkeit der zu schützenden Daten – in aller Regel im Mittelstand als nicht notwendig angesehen wird.

 

Welche Lösungen bieten sich an?

 

Es gibt eine ganze Reihe Verfahren. Im Unternehmenskontext sind drei Verfahren sehr verbreitet:

Eine sogenannte Authenticator App auf dem Smartphone liefert z.B. einen Zahlencode, der beim Anmelden als dritter Faktor eingegeben werden muss. Oder die Anwendung fragt über diese App nach der Freigabe durch den User.

Für Anwender, die kein Firmen-Smartphone haben gibt es jedoch kostengünstige “Tokens”. In diesem Fall liefert der Token den notwendigen Zahlencode. Eine dritte Variante funktioniert ohne Zahlencode, nur durch Einstecken des Tokens in einen USB-Anschluss.

 

Training-Boxen

Wenn ich schon einen Token anschaffe, kann man damit noch mehr machen?

Ja. Man kann darüber z.B. die Authentifizierung am Drucker realisieren. Sprich: Damit ein Druckauftrag ausgeführt wird, muss der Anwender sich zunächst am Drucker authentifizieren, was am komfortabelsten mit dem Token gelingt.

 

Was ist die beste Lösung für mich?

Diese Frage bespricht Ihr GFAD-Ansprechpartner gerne mit Ihnen!

 

AdobeStock_211755364-©-LIGHTFIELD-STUDIOS-1600-x-900-px-NEU

Der Weg zu einer erfolgreichen
Zusammenarbeit

r Buchen Sie kostenlos ein unverbindliches Kennenlern-Telefonat oder einen ausführlichen 60-Minuten-Termin.
AdobeStock_211755364-©-LIGHTFIELD-STUDIOS-1600-x-900-px-NEU

Der Weg zu einer erfolgreichen
Zusammenarbeit

Kostenloses 15-Minuten-Telefonat

Wir lernen uns in einem ersten, kurzen Telefonat kennen:

Sie erläutern Ihren Bedarf und was Ihnen wichtig ist
Wir finden gemeinsam heraus, ob wir zueinander passen
Wenn ja, vereinbaren wir den nächsten Schritt

Kostenloser Vor-Ort- oder Teams-Termin (ca. 60 Min.)

Im zweiten Gespräch lernen wir uns genauer kennen und gehen technisch etwas in die Tiefe:

Wir bekommen ein besseres Verständnis von Ihrer IT-Infrastruktur und Ihrem Bedarf an IT Service

Auf dieser Basis können wir ein grobes Lösungskonzept oder einen sinnvoll aufgebauten Service-Vertrag anbieten

News

Die GFAD Leitfäden & Whitepaper

Darin erfahren Sie …

wie eine professionelle IT-Infrastruktur aufgebaut ist

wie eine IT-Infrastruktur sicher gestaltet wird

ob eine Cyberversicherung Sinn macht

IT-Security

Best Practice Leitfaden

Cyber-Versicherungen

White Paper

IT-Infrastruktur im Mittelstand

Best Practice Leitfaden