Benutzername und Passwort allein sind nicht mehr ausreichend, um Ihr Unternehmen vor Cyber-Attacken zu schützen. Eine Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authetifizierung (MFA) wird immer häufiger verwendet. Diese Massnahme hätte jeden zweiten Incident verhindert, bei dem unser Incident Response Team einen Einsatz hatte. Warum diese simple Schutzmassnahme so effektiv ist und welchen üblichen Angriffsszenarien Sie dadurch entgegenwirken, lesen Sie in diesem Beitrag.

Was ist Multi-Faktor-Authentifizierung (MFA)?

MFA erlaubt Benutzern erst Zugriff auf ein Netzwerk, wenn sie (zusätzlich zu Benutzer-ID und Kennwort) ihre Identität mit zwei oder mehreren Faktoren nachgewiesen haben – aufgeteilt in die Merkmale Wissen, Haben und Sein. Bei der Zwei-Faktor-Authentifizierung (2FA) sind lediglich zwei Faktoren erforderlich.

Etwas, das man weiß: PIN, Passwort, Benutzername, Antworten auf Sicherheitsfragen

Etwas, das man besitzt: SecurID-Token, mTAN-Code, Badge, Smartphone, Kreditkarte

Etwas, das man selbst ist: Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Warum sollten Sie MFA aktivieren?

Für Cyber-Kriminelle ist es deutlich schwerer, sich als legitime Benutzer auszugeben und Zugriff auf Systeme und Netzwerke zu erlangen, wenn Sie MFA aktiviert haben. Zudem werden dank MFA solche Angriffs-Aktivitäten auch sehr viel häufiger von herkömmlichen Sicherheitsmassnahmen erkannt und unterbunden.

Nach einer Studie von Microsoft und dem SANS Software Security Institute werden durch die Verwendung von MFA 99.9% aller Angriffe auf Benutzeraccounts blockiert. Spezifische Beispiele, welche Incidents durch MFA verhindert werden können, lesen Sie im folgenden Abschnitt.

Angriffs-Szenarien, die Sie mit MFA verhindern können

Unser Incident Response Team bestätigt: Jeder zweite Incident Case hätte verhindert werden können, wenn es eine Multi-Faktor-Authentifizierung gegeben hätte. Hier nur zwei Beispiele von vielen:

Falsche Rechnungen dank fehlender MFA kaum erkennbar

Ohne MFA ist es für Angreifer leichter, sich Zugriff auf ein E-Mail-Konto zu verschaffen, beispielsweise auf das Ihres Finanzverantwortlichen. Dieser erhält nämlich so nach einem fehlgeschlagenen Anmeldeversuch keine Aufforderung, sich zusätzlich z. B. mittels SMS-Code zu verifizieren und erkennt den Angriff nicht. Mit der Angriffsmethode «Business Email Compromise (BEC)» kann der Angreifer nun nach erfolgreichem Zugriff eine E-Mail-Regel für einen Ihrer Geschäftspartner einrichten, die besagt, dass E-Mails mit diesem Absender in Ordner XY verschoben werden.

Sobald die Rechnung eintrifft, hat er alles, was es braucht, um eine perfekte Kopie zu erstellen: Rechnungssteller, Logo, vereinbarte Betragshöhe usw. Wenn die gefälschte Rechnung im E-Mail-Posteingang Ihres Finanzverantwortlichen landet, weist nichts auf ein Phishing hin – bis vielleicht auf eine einzige veränderte Bankziffer. Der Angreifer könnte von diesem E-Mail-Konto aber auch Rechnungen an Ihre Kunden versenden oder sensible Daten abfragen.

Gehackte Passwörter für Angreifer nur nutzbar bei fehlender MFA

Sollte Ihr Passwort geleakt, gephisht oder erraten (z. B. mit der oft erfolgreichen Brute-Force-Methode) werden, ist MFA ein zusätzliches, schwer überwindbares Hindernis für den Angreifer.

Dennoch können die kompromittierten Zugangsdaten erfolgreich in einer anderen Anwendung verwendet werden, wenn Sie dort kein MFA aktiviert haben und dasselbe Passwort nutzen. Leider werden 73% aller Passwörter mehrfach verwendet.² Zudem verwenden 50% der Mitarbeitenden Anwendungen, welche nicht durch das Unternehmen genehmigt sind.³

MFA: Einfacher denn je

Früher waren zusätzliche Authentifizierungs-Faktoren eine teure und zeitaufwändige Investition. Heute sind kostenlose Softwares Wie Mobile Apps für den Einsatz auf Mobiltelefonen verfügbar, die OTPs (One-Time-Passwords oder Einmal-Passwörter) generieren. Zusätzlich steigt die Akzeptanz von Nutzern, da diese die Anwendung intuitiver und einfacher denn je finden. Minimieren Sie die Angreifbarkeit Ihres Unternehmens, indem Sie die Multi-Faktor-Authentifizierung aktivieren – eine simple, aber effektive Massnahme.

Sie möchten wissen, wie Sie Ihr Unternehmen noch besser vor Cyber-Angriffen schützen können? Gerne beraten wir Sie unverbindlich. Kontaktieren Sie uns noch heute.

---

² 2016 Telesign Consumer account security report, aka.ms/tcasr2016
³ 2019 Igloo State of the Digital Workplace report, aka.ms/isdwr2019