Identitätsmanagement: Was Sie wissen. Was Sie haben. Was Sie sind.

Ungezählte Anwender sind schon Opfer von Cyberkriminellen geworden, die ihre Anmeldedaten aus den Datenbanken grosser Unternehmen gestohlen haben. Betroffen waren in den letzten Jahren unter anderem Kunden von Adobe, Ebay, Equifax, LinkedIn, Marriot International oder Yahoo[ii]. In jedem einzelnen dieser Fälle wurden Daten von Millionen Accounts geklaut. Die jährlichen globalen Kosten im Zusammenhang mit Datenschutzverletzungen und Cybercrime erreichten im letzten Jahr fast eine Billion Dollar[iii] – das ist eine Zahl mit 12 Nullen. 70 Prozent der Hacker dringen mittlerweile über Endpunkte in Unternehmenssysteme ein. Bei diesen Endpunkten handelt es sich um private Geräte, Firmen-Laptops oder ungesicherte Heimverbindungen und Cloud-basierten Anwendungen. Erst der Zugang über diese Endpunkte macht bösartige Attacken auf IT-Infrastrukturen möglich.

Zugriffsicherung wird immer schwieriger

Der sichere Zugriff auf Daten, Anwendungen und andere Ressourcen kann besonders problematisch werden, wenn jemand von aussen auf interne IT-Infrastrukturen und Daten zugreifen will. Für mobile Unternehmen und Kunden ist dies oft der Fall. Da immer mehr Prozesse und Daten in die Cloud verlagert werden und sowohl Arbeit als auch Handel überall stattfinden, wo es eine Internetverbindung gibt, wird es immer wichtiger aber auch schwieriger, den Zugriff zu sichern. Genau das hat MFA in den letzten Jahren populär gemacht. Ausserdem hat der Homeoffice-Boom zusammen mit dem enormen Fortschritt der Cloud-Technologien die MFA-Implementierung gefördert. In den letzten Jahren ist der MFA-Markt deshalb rapide gewachsen[iv]. Mit Multi-Faktor-Authentifizierung kann die Identität von Benutzern bestätigt werden, um ihnen den digitalen Zugriff zu ermöglichen. Die Zwei-Faktor-Authentifizierung (2FA) wird am häufigsten eingesetzt.

Ein geknacktes Passwort reicht noch lange nicht

Weltweit wurde MFA schon vor Jahrzehnten unter anderem für die Absicherung von privatem Internetbanking eingesetzt – mit dem Einsatz von sogenannten RSA-Tokens[v]. Zu einem allgemein bekannten Begriff mutierte MFA allerdings erst als grosse Marken wie Facebook, Google, Apple, oder eBay mitmachten. Da wird dann neben einem Benutzernamen und einem Passwort (etwas das Sie wissen) ein Code verlangt, der per E-Mail, SMS oder Token generiert wird (etwas das Sie haben). Biometrische Faktoren, wie Gesichtserkennung oder Fingerabdruck können  zusätzlich implementiert werden (wer Sie sind). Wenn sich also ein unbefugter Nutzer Zugang zu einem Passwort verschaffen kann, reicht das noch lange nicht aus, um Zugang zu einem Account zu bekommen, solange er keinen Zugriff zum aktuellen Sicherheitscode hat, der per E-Mail, Telefon oder Token abgerufen wird.

Sicher ist sicher – oder doch nicht immer?

Auch MFA ist kein Wundermittel; schliesslich wird die Technologie von Menschen eingesetzt – und Menschen machen Fehler. Weil  auf verschiedenen Systemen unterschiedliche Arten von MFA eingesetzt werden, müssen Benutzer mit verschiedenen Authentifizierungsarten klar kommen, genauso wie das mit Passwörtern der Fall ist. Experten wissen, dass es User gibt, die MFA-Anfragen akzeptieren, auch wenn sie gar nicht versucht haben, sich irgendwo anzumelden. Was wiederum beweist, dass der Mensch das schwächste Glied in der Sicherheitskette darstellt. Es gibt aber auch technische Angriffe, die MFA verwundbar machen. SIM-Swapping[vi] zum Beispiel: Cyberkriminelle nutzen diese Funktion, um in Nutzerkonten einzubrechen. Dafür erschleichen sie sich die Mobiltelefonnummer eines Benutzers. Twitter-CEO Jack Dorsey verlor kürzlich durch SIM-Swapping die Kontrolle über sein eigenes Twitter-Konto. Was das Problem verschärft: Kriminelle sind nach einem MFA-Einbruch oft in der Lage, auf andere Konten der betroffenen Benutzer zuzugreifen.
MFA ist also nicht perfekt – aber Organisationen, die sich nur auf Passwörter verlassen, tragen ein viel grösseres Risiko. Ausserdem kann MFA durch begleitende Massnahmen, zum Beispiel die Schulung der Mitarbeiter, effizienter gemacht werden.

Die populärste MFA-Lösung der Welt

Die am weitesten verbreitete MFA-Lösung der Welt ist SecurID. Diese Identitätsplattform von RSA wird von 13‘000 Organisationen auf der ganzen Welt genutzt, die damit 50 Millionen Identitäten verwalten und 30 Millionen Anwendern sicheren Zugriff auf ihre Systeme bieten. Sicherheit muss praktisch und einfach in der Anwendung sein, sonst kommt sie bei den Anwendern nicht an. SecurID bietet deshalb eine Vielzahl von Authentifizierungsoptionen, um die Bedürfnisse verschiedenster Benutzer zu erfüllen, zum Beispiel Token, Schlüsselanhänger, Apps und Push-Benachrichtigungen, biometrische Geräte und Wearables sowie Unterstützung für FIDO-basierte Authentifikatoren.

Multifaktor-Authentifizierung ist heute entscheidend, um das Risiko zugriffsbasierter Angriffe zu reduzieren, aber die Herausforderungen bei der Integration und Implementierung können diese Bemühungen bremsen. SecurID und UMB können Ihnen dabei helfen, diese Herausforderung erfolgreich zu meistern. UMB ist ein RSA Secureworld Titanium Partner. Wir machen Ihre IT-Umgebung sicher. Kontaktieren Sie uns.

UMB Cyber Security Services bieten modularen Schutz für eine digitale Welt.

[i] https://www.zdnet.com/article/gates-the-password-is-dead/

[ii] https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html

[iii] https://www.washingtonpost.com/politics/2020/12/07/cybersecurity-202-global-losses-cybercrime-skyrocketed-nearly-1-trillion-2020/

[iv] https://renewableenergyzone.com/news/109384/multifactor-authentication-mfa-market-size-and-share-2021-global-industry-analysis-by-trends-future-demands-growth-factors-2027/

[v] RSA SecurID Hardware Tokens

[vi] Was ist SIM‑Swapping und wie können Sie sich schützen | WeLiveSecurity