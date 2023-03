Credential Stuffing ist eines der vielen Risiken, denen nur durch Benutzername und Passwort geschützte Applikationen ausgesetzt sind – und auch MFA-geschützte, etwa wenn der Nutzer auf Prompt Bombing hereinfällt.

Das Büro von heute liegt in der Cloud: Immer mehr Unternehmen migrieren auf entsprechende Cloud-Angebote wie Microsoft 365. Doch viele schließen dabei die Bürotür nicht richtig ab. Ein Münchner Startup namens Idee will das ändern: mit einer Phishing-sicheren Mehr-Faktor-Authentifizierung (MFA).

Business-Applikationen in der Cloud nur mit Nutzername und Passwort zu schützen gleicht dem Abschließen des Büros mit einem altmodischen Buntbartschloss, wie man es von Wohnungstüren kennt: Klar, die Tür ist abgesperrt, aber für einen motivierten Kriminellen mit Dietrich kein echtes Hindernis. Im Dark Web kursieren längst Milliarden von Nutzername-Kennwort-Kombinationen – und diese stellen ein Sicherheitsrisiko dar, zumal viele Menschen trotz aller Warnungen ein und dieselbe Kombination für zahlreiche Services nutzen. Unser motivierter Einbrecher muss also nur automatisiert reihenweise Varianten durchprobieren, „Credential Stuffing“ genannt, und voilà: Sesam öffne dich! Schon entsteht ein luftiges kleines Einfallstor für Malware.

Gegen den allzu öffnungsfreudigen Sesam hilft vor allem MFA, also die Authentisierung des Nutzers mit einem zusätzlichen Faktor – der klassische Ansatz sind Token (RSA, YubiKey etc.) oder Soft-Token (One-Time Codes etwa per Google Authenticator App). Doch dabei gibt es zwei Probleme: Erstens ist MFA in der Token-Variante vielen Unternehmen zu umständlich, zweitens können Angreifer – wenn auch mit mehr Aufwand – selbst (Soft-) Token-Codes kompromittieren, etwa per Umleitung des Nutzers auf gefälschte Webpages oder durch Bombardierung des Nutzers mit MFA-Aufforderungen, bis er – in die Irre geführt und genervt – den Code eingibt (Prompt Bombing).

Der Anbieter Idee will hier gleich zwei Fliegen mit einer Klappe schlagen: erstens Applikationen auf einfache, nutzerfreundliche Weise um MFA erweitern, zweitens das Ganze auch noch in Phishing-sicherer Weise implementieren. Das Startup mit Produktteam in München, Sicherheitsteam in Großbritannien und Entwicklung in Belgrad wurde 2015 gegründet und beschäftigt laut seinem Chef Al Lakhani 14 Personen, davon neun Entwickler. Man halte drei Patente, so Lakhani, ein viertes sei eingereicht.

Die Lösung Authn by Idee setzt auf dezentrale Zugangsdaten und ein mandantenfähiges Lifecycle-Management ebenfalls dezentraler Authentifizierung – die Biometriefunktionalität moderner Endgeräte macht’s möglich. Sprich: Als MFA-Faktoren dienen der Besitz des Endgeräts und der biometrische Fingerabdruck oder Gesichtsscan (das Passwort hingegen nur beim Booten zur Aktivierung der Biometrie), weshalb andere Anbieter den Ansatz auch als „passwortlose Authentifizierung“ vermarkten. Die Pointe: Die Authentifizierung ist dabei an das Endgerät des Benutzers gebunden – so entfällt das Umleitungsrisiko.

WebAuthn-Lebenszyklus

Authn by Idee basiert – daher der Name – auf dem Web-Authentifizierungsstandard WebAuthn, den das Startup um eigene Technik ergänzt: „WebAuthn dient ausschließlich zur Authentifizierung“, erläutert Idee-Chef Lakhani, „aber für einen sicheren Zugang sind viele andere Dinge wichtig, zum Beispiel Workflows für das Hinzufügen eines zweiten Geräts, für Backup und Recovery oder für den Verlust des Kontozugangs.“ Idee erweitere den WebAuthn-Lebenszyklus um diese Aspekte, um sicherzustellen, dass Benutzer nicht kompromittierbar sind.

Schutz vor Phishing biete Authn by Idee nicht allein durch den dezentralen Ansatz: „Unsere Software ist Phishing-sicher, nicht nur Phishing-resistent, weil wir uns auf den gesamten Authentifizierungs-Lebenszyklus konzentrieren“, sagt Lakhani. So könne der Administrator zwar ein Konto zurücksetzen, aber kein weiteres Gerät hinzufügen. Er könne ein Gerät sperren, aber nur der Benutzer könne es löschen. Außerdem erfordere das Hinzufügen eines zusätzlichen Geräts den Nachweis durch ein vorhandenes.

Dieses Verfahren eignet sich laut Lakhani nicht nur für Cloud- und Web-Anwendungen, sondern auch für herkömmliche Applikationen. Manche Bestandsanwendungen unterstützen moderne Authentifizierungsmethoden wie SAML oder OIDC, dies decke Idee ab. Andere stellen eine API bereit, die Idee ansprechen kann. Für Legacy-Anwendungen, die beides nicht unterstützen, nutze Idee ein Micro-Tunneling, wie man es beispielsweise von TeamViewer kennt.

