Let´s talk about MFA

Let´s talk about MFA

Die Zwei-Faktor-Anmeldung, das Zwei-Faktor- oder Multi-Faktor-Verfahren zur Authentifizierung, kurz 2FA und MFA, sollten im Jahr 2021 bereits jedem bekannt sein: MFA als das Nonplusultra der IT-Sicherheit. Nicht erst seit der Entdeckung von Cyberangriffen auf Lieferketten, zwecks Ransomware oder Spionage, sondern generell ist in den Medien zu hören: Ein wesentlicher Angriffsvektor hätte durch eine bessere Absicherung der Benutzerkonten verhindert werden können – es fehlten 2FA/MFA.

Lesen Sie hier den gesamten Artikel oder laden Sie sich das PDF hier herunter.

Ist MFA das Nonplusultra der IT-Sicherheit?

Der bekannte US-amerikanischer Experte für Kryptographie und Computersicherheit Bruce Schneier berichtete erst vor Kurzem von einem besonders interessanten Fall: Ein US-Unternehmen wurde mit Ransomware angegriffen und um USD 10 Mio. erpresst. Möglich war dieser Ransomware-Angriff, weil ein hochrangiger Funktionsträger des Unternehmens die Push-Nachrichten am Smartphone zur Zwei-Faktor-Authentifizierung mehrfach bestätigt hatte – genau genommen zehnmal hintereinander. Warum? Die Antwort des Betroffenen überrascht: „Die IT-Abteilung sagte mir damals, ich müsse auf „Genehmigen“ klicken, wenn die Meldung erscheint![1]

Dieser Fall, mutmaßlich kein Einzelfall, zeigt ein Grundproblem der Informationstechnologie: Die Werkzeuge sind vorhanden, aber es benötigt auch AWARENESS, damit Anwenderinnen und Anwender diese korrekt einsetzen. IT-Sicherheit und Benutzerfreundlichkeit sind zwei sich abstoßende Gegenpole, denn wer will schon jeden Morgen seine Passwörter und SMS-PIN eingeben, nur um endlich seine Arbeit erledigen zu können?

 

WAS IST EIN MULTI-FAKTOR-VERFAHREN ZUR AUTHENTIFIZIERUNG?

Am Anfang war das Passwort: Mit der Entwicklung von mehrbenutzerfähigen Betriebssystemen wie MULTICS, VAX/VMS und Unix wurde das Konzept eines Benutzerkontos plus dem damit assoziierten Passwort entwickelt und etabliert. Expertinnen und Experten bezeichnen dies als Zugriffsberechtigungskonzept, wenn in der IT-Welt bestimmte Tätigkeiten mit Rollen (Administrator, Benutzer, usw.) vergeben werden. Im Laufe der Jahre setzte sich dieses Berechtigungskonzept ebenfalls auf immer leistungsfähigeren PCs durch und die Betriebssysteme wie MacOS und Windows wurden in späteren Versionen mehrbenutzerfähig. Auch hier dauerte es Jahre bis zur Akzeptanz, denn viele Benutzerinnen und Benutzer deaktivierten anfänglich ihren Passwortschutz.

Mit ersten professionellen Onlinediensten wurden weitere Sicherheitsmerkmale notwendig. So wurden neben dem Passwort zusätzliche Faktoren abgefragt. Man erinnere sich an die ausgedruckte TAN-Liste bei den ersten Versionen des Telebankings. Erst mithilfe dieser ausgedruckten TAN-Liste konnte die Überweisung im Telebanking freigegeben werden. Der Grund für diesen zweiten Faktor lag damals in einer noch geläufigen Wiederverwendung von Passwörtern für Standardbenutzer und der Absicherung der Bank gegenüber Missbrauch.

1996 wurde das „Transaction Authorization And Alert System“ von drei AT&T Mitarbeitern patentiert, das von Anwenderinnen und Anwendern eine zusätzliche Bestätigung/Genehmigung bei Transaktionen erforderte. Heute kennen viele dieses und ähnliche Systeme als Anwendung am Smartphone, wie beispielsweise die „Handy-Signatur“ für digitale Amtswege in Österreich. Nach einer Anmeldung auf einer entsprechenden Webseite liefert die Handy-Signatur standardmäßig eine Benachrichtigung, wonach ein weiterer Faktor angefordert wird, über den die Freigabe erfolgt.

Der wohl berühmteste zweite Faktor, mit dem viele aufgewachsen sind, ist die klassische Bankomatkarte. Mit dem auf der Karte fixierten Magnetstreifen plus PIN kann Geld vom eigenen Konto über Bankomat-Terminals abgehoben werden – ein einfaches und vor allem schnelles Multi-Faktor-Verfahren zur Authentifizierung. Allerdings alles andere als sicher[2].

 

Die Definition eines weiteren Faktors[3] umfasst:

  • Besitz – Ein Faktor, den nur der Benutzer besitzen kann. Dazu zählen meist hardwarebasierte Gegenstände wie Schlüssel, Karten mit Chips/Magnetstreifen oder USB-Sticks.
  • Wissen – Ein Faktor, den nur der Benutzer wissen kann. Dazu zählen PIN, TAN, oder die „Lieblingsfarbe des ersten Lehrers in der Volksschule“.
  • Inhärenz – Ein Faktor, der den Benutzer eindeutig auszeichnet. Dazu zählen vor allem biometrische Faktoren, wie ein Fingerabdruck oder Iris-Scan.
  • Präsenz – Zuletzt ein Faktor, der einen Benutzer örtlich/zeitlich auszeichnet. Das Paradebeispiel ist „Geofencing“, das nur Benutzerinnen und Benutzer innerhalb einer bestimmten geografischen Region zulässt. Bestimmte Onlineportale lassen beispielsweise nur Zugriffe über eine inländische oder Unternehmens-IP-Adresse zu. Ältere Semester kennen einen zeitlichen Faktor bei Banktresoranlagen, die erst untertags ab einer bestimmten Uhrzeit geöffnet werden konnten.

Besonders wichtig ist für Anwenderinnen und Anwender daher zu verstehen, dass 2FA/MFA ein zusätzlicher Schutzmechanismus ist, der ebenfalls angegriffen werden könnte. In einer Analogie ist dies wie mit Türschlössern: Ein zusätzliches Balkenschloss an einer Wohnungstür stellt einen zweiten Faktor zum primären Türschloss dar, wird aber von einem Einbrecher mit Mehraufwand genauso geöffnet werden können. Ziel eines Balkenschlosses ist es, den Mehraufwand für Einbrecher unangenehm zu erhöhen und schnelle Angriffe auf das primäre Türschloss abzuwehren.

 

ANGRIFFE AUF DEN ZWEITEN FAKTOR

Im Jahr 2021 gilt unter Sicherheitsexpertinnen und -experten die inoffizielle Devise: „Everything is compromised until proven otherwise“ bzw. überwiegt in der weltweiten IT-Branche bis dato der wirtschaftliche Nutzen, bevor komplexere Sicherheitsmaßnahmen aufwendig umgesetzt werden. Beispielsweise verzichtete Twitter lange auf zusätzliche (sicherere) MFA-Methoden und erlaubte nur SMS-PIN. Dies änderte sich, als die Telefonnummer des CEOs geklont und sein Benutzerkonto von jugendlichen Hackern übernommen wurde. Seit diesem Vorfall ist es für alle Anwenderinnen und Anwender möglich, SMS-basierte MFA durch spezielle Anwendungen wie Google Authenticator, Microsoft Authenticator, Twilio Authy, u.v.a. zu ersetzen.

Cyberkriminelle und staatliche Angreifer suchen kontinuierlich nach Möglichkeiten, einen zweiten Faktor anzugreifen:

  • Sicherheitsfragen als Risiko: Wer kennt sie nicht, die Sicherheitsfragen zum Zurücksetzen eines Passworts, wie etwa das erste Haustier hieß oder wo der Wohnort während der Schulzeit war. Bei Benutzerkonten in sozialen Medien, die genau solche Details preisgeben, ist ein Erraten der Antworten für Angreifer nicht mehr so schwierig. Wer auf Nummer sicher gehen möchte, erfindet beispielsweise unlogische Antworten und vermerkt diese sicher (z.B. Passwort-Manager, Notizbuch in Safe).
  • Abfangen von SMS-PIN: In den letzten Jahren haben sich vor allem Angriffe auf Kryptobörsen gehäuft. Da viele Börsen in die Sicherheit ihrer Infrastruktur investieren, sehen Angreifer die Benutzerinnen und Benutzer als nächstes schwächstes Glied in der Kette. SMS-basierte Faktoren, wie PIN, werden meistens über Duplikate von SIM-Karten entwendet. Bestechliche Mitarbeiterinnen und Mitarbeiter bei Mobilfunkbetreibern sind hier die Komplizen der kriminellen Angreifer und verkaufen solche Duplikate von SIM-Karten der betroffenen Vertragskunden an die Angreifer. Erst kürzlich wurde bekannt, dass über 6.000 Kundinnen und Kunden der Kryptobörse Coinbase über eine Schwachstelle des SMS-basierten Multi-Faktor-Verfahrens zur Authentifizierung bei Coinbase[4] ausgeraubt worden waren. Experten wie Roger Grimes[5] raten generell von SMS-basierten Faktoren ab, wie dies auch seit dem Jahr 2017 von der amerikanischen Bundesbehörde für Standards und Technologie (NIST) empfohlen wird[6].
  • Betrug mit falschen MFA-Anwendungen: Eine weitere Form des klassischen Phishing-Angriffs. So berichtete unlängst Heather Adkins, Senior Direktorin für Security Engineering bei Google, zu einem Betrugsversuch mit einer falschen MFA-Anwendung via Smishing – besonders perfide ist oder war der Verweis der Betrüger auf den „Cybersecurity Awareness Month“ im Oktober 2021:

Aus dem Tweet on Heather Adkins[7]

  • Sicherheitslücken bei MFA-Verfahren: Hier reicht die Bandbreite von fehlerhaft implementierten Umsetzungen einer MFA-Überprüfung in Software, bis hin zu kritischen Schwachstellen, die ein Klonen von hardwarespezifischen Werten von MFA-Token[8] erlauben. Ein Forscher demonstrierte im Jahr 2019 einen Angriff auf Benutzerkonten des sozialen Netzwerkes Instagram, bei dem über 1.000.000 Kombinationen des sechsstelligen Wiederherstellungs-Faktors ausprobiert wurden. Das klingt im ersten Moment nach einer langwierigen Prozedur, dauert in der heutigen Zeit mit entsprechender Hardware nur mehr wenige Minuten[9].

AWARENESS soll unser Wissen in Bezug auf IT-Sicherheit stärken: Denn trotz potenziell möglicher Angriffe auf Multi-Faktor-Verfahren oder Phishing mit vermeintlichen MFA-Anwendungen überwiegen die Gefahren aus Datenlecks bei weitem, wo Milliarden von Datensätzen unsere präferierten Benutzernamen, E-Mail-Adressen und unverschlüsselte Passwörter verraten. Gerade hier kann der gezielte Einsatz einer Multi-Faktor-Authentifizierung von Apple, Authy, Google, Microsoft u.v.a. einen ersten Angriff abwehren. Auch sollten sich Anwenderinnen und Anwender fragen, ob ein kostengünstiger oder kostenfreier Onlinedienst oder eine Kryptobörse tatsächlich einen Mehrwert bringen, wenn Benutzerdaten bzw. digitale Vermögenswerte über eine SMS-basierte Multi-Faktor-Authentifizierung oder kritische Sicherheitslücken nicht adäquat geschützt werden können[10].

 

EMPFEHLUNGEN ZU MULTI-FAKTOR-VERFAHREN ZUR AUTHENTIFIZIERUNG

Unsere Empfehlungen zum Thema Multi-Faktor-Authentifizierung lauten:

  • 2FA/MFA sollte in Kombination mit einem Passwort-Manager beruflich und privat immer verwendet werden. Gerade bei privaten Benutzerkonten empfiehlt sich ein regelmäßiger Blick in die Sicherheitseinstellungen, ob eine MFA zur Verfügung steht.
  • Vor der Aktivierung von MFA sollten Sie sich folgende Fragen stellen: Brauchen Kolleginnen und Kollegen oder Familienmitglieder ebenfalls einen Zugriff? Wo verwahre ich meine beruflichen und privaten Backup Codes? Wie habe ich bei Verlust des weiteren Faktors (z.B. verlorenes Smartphone!) weiterhin Zugriff?
  • Weitere Faktoren wie z.B. Backup Codes, die nur auf Papier ausgedruckt werden sollten, ebenfalls sofort ausdrucken und digitale Version vernichten (z.B. überschreiben, „wipen“) oder in einem Passwort-Manager verwahren.
  • Im Rahmen einer Umstellung der Passwortsicherheit von privaten Benutzerkonten auf Multi-Faktor-Authentifizierung empfiehlt sich auch ein prüfender Blick auf eigene Benutzerkonten bei Onlinedienstleistern und damit die einhergehende Frage: Brauche ich diesen Dienst tatsächlich noch? Denn oft sind gerade unbenutzte bzw. vergessene Benutzerkonten eine vermeidbare Gefahrenquelle für weitere Cyberangriffe, wenn Passwörter wiederverwendet werden oder diese Dienste mit anderen verbunden sind.

 

Gerne beraten Sie unsere IT-Sicherheitsexperten, wie die Awareness von/Ihrer Mitarbeiterinnen und Mitarbeitern im Unternehmen gemessen und verbessert werden kann. Zudem unterstützen wir Sie bei der Absicherung Ihrer Netzwerke gegen Angreifer, damit die Angriffsfläche möglichst klein wird und Ihr Unternehmen für potenzielle Angreifer so unattraktiv wie möglich erscheint.

Ewald Kager ist Partner bei der BDO und seit 2016 in den Bereichen Business Analytics, Operational Excellence, IT Compliance und Cybersicherheit tätig. Sein Themenschwerpunkt liegt dabei auf datengetriebenes Prozessmanagement, Datenschutz und der Vermeidung von Cyberrisken bei KMU und ATX-Unternehmen. Er ist u.a. zertifizierter Fraud Manager, geprüfter Datenschutzbeauftragter und zertifizierter Informationssicherheitsexperte.

Lorenz Szabo ist Manager bei BDO. Sein Themenschwerpunkt liegt auf der Informationsbeschaffung zu kritischen Entscheidungen bei Finanzdienstleistern und staatlichen Behördenkunden. Sein Ziel ist es, die Cyber- und Reputationsrisiken seiner Kunden zu minimieren, weswegen mittlerweile auch artverwandte Themen wie Blockchain, Nachhaltigkeit und Resilienz zu seinen Fachgebieten gehören.

 

[1] Im Original: „They (IT) told me that I needed to click on Approve when the message appeared!https://www.schneier.com/blog/archives/2021/10/problems-with-multifactor-authentication.html [21.10.2021]

[2] vgl. https://deviating.net/uncle/ [Datum unbekannt]

[4] „Coinbase’s SMS Account Recovery process“. Vgl. https://s3.documentcloud.org/documents/21073975/09-24-2021-coinbase-customer-notification.pdf [24.09.2021]

[6] NIST SP 800-63-3, Part B: „Use of the PSTN [Public Switched Telephone Network or a phoneline connection in human-speak] for out-of-band [authentication] verification is RESTRICTED.“ [12.1.2017] Vereinfacht ausgedrückt: Der Einsatz von Multi-Faktor-Verfahren zur Authentifizierung über beispielsweise SMS oder Telefonanruf sollte BESCHRÄNKT werden. Vgl. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf [2.3.2020]