Multi-Faktor-Authentifizierung

Die fetten Phishing-Jahre beenden

3. Mai 2023, 7:00 Uhr | Al Lakhani/wg
Ablauf eines Angriffs mit Push Phishing.
© Idee

Vorbei sind die Zeiten, in denen Spam-Mails vor allem unerwünschte Produktwerbung waren, zwischen denen sich schlimmstenfalls der eine oder andere „nigerianische Prinz” mit temporärem Liquiditätsengpass versteckte. 2021 waren laut BSI über zwei Drittel der Spam-Mails Teil von Phishing- oder Erpressungsversuchen. Im Finanzbereich lag dieser Anteil sogar bei 90 Prozent. Deshalb setzen Unternehmen verstärkt auf Multi-Faktor-Authentifizierung (MFA), um den Zugriff auf Benutzerkonten und Unternehmensdaten zu sichern. Doch nicht jede MFA ist gleich – kaum eine bietet vollständigen Schutz vor Phishing.

Muss ein Benutzer bei der Anmeldung E-Mail-Adresse und Passwort eingeben, handelt es sich noch nicht um eine MFA. Den das Passwort ist, wie auch der Nutzername, Teil des Wissensfaktors – Angreifer können ihn damit stehlen, fälschen oder auf andere Weise erlangen. Um das Kriterium einer MFA zu erfüllen, muss eine Authentifizierungsmethode Merkmale abfragen, die mindestens zwei der folgenden Faktoren entsprechen:

Wissensfaktor: Passwörter, PINs und Geheimfragen (etwa nach dem Geburtsnamen der Mutter oder dem Namen des ersten Haustiers) sind klassische Beispiele für den Wissensfaktor. Abgefragt wird also Wissen, über das nur der Benutzer verfügen sollte.

Besitzfaktor: Hier müssen Benutzer im Besitz eines bestimmten physischen Gegenstands sein. Dabei kann es sich zum Beispiel um eine Hardware-Komponente wie einen Security-Token handeln, das bei jedem Login via USB oder anderer Schnittstelle zum Einsatz kommt und in der Regel eine PIN-Eingabe erfordert. Doch auch Authenticator-Apps auf einem Zweitgerät zählen zum Besitzfaktor.

Inhärenzfaktor: Der Inhärenzfaktor umfasst individuelle physische Merkmale, die nur dem Nutzer eigen sind, darunter vor allem biometrische Informationen wie der Fingerabdruck, die Gesichtsform oder die Iris-Struktur. Auch die Stimme gilt als biometrisches Merkmal.

Unterschiede beim Sicherheitslevel

Die genannten Faktoren unterscheiden sich deutlich in Hinblick auf das gebotene Sicherheitsniveau. Wissensmerkmale bieten den schwächsten Schutz: Sie sind besonders anfällig gegen Phishing-Angriffe. Gerade im Finanzbereich lassen sich Phishing-Mails und -Websites immer schwerer auf den ersten Blick identifizieren – ein Umstand, den auch das BSI in seinem Cybersicherheitsreport anerkennt.

Während der Besitzfaktor zwar eine bessere Sicherheit bietet als der Wissensfaktor, ist er nicht ohne eigene Schwachstellen: Was sich besitzen lässt, lässt sich auch stehlen oder verlieren.  Darüber hinaus braucht es in der Regel noch einen Wissensfaktor wie eine PIN, um einen Besitzfaktor zu bestätigen. Und da die PIN anfällig für „ Shoulder-Surfing“ (den heimlichen Blick über die Schulter des Nutzers) ist, kann der Besitzfaktor nicht die beste MFA-Sicherheit bieten. Ein weiterer Nachteil ist wirtschaftlicher Natur: Verlorene Security Tokens muss man ersetzen. Entsprechend aufwendig fällt das unternehmensweite On- und Offboarding neuer Angestellter aus.

Das größte Sicherheitsniveau bietet indes der Inhärenzfaktor: Ein Diebstahl biometrischer Merkmale ist nur schwer möglich. Dabei geht es weniger um abgeschnittene Finger, sondern vor allem um den Fakt, dass biometrische Daten in der Regel auf besonders gesicherten, isolierten Speicherbereichen hinterlegt sind. Eine MFA tut daher gut daran, den Inhärenzfaktor zu unterstützen.

Phishing hat viele Gesichter

Es gibt viele MFA-Methoden mit jeweils eigenen Stärken und Schwächen. Eine Schwäche teilen indes (fast) alle MFA-Ansätze: Credential Phishing. Phishing-Angriffe haben in den vergangenen Jahren deutlich an Raffinesse gewonnen. Augenscheinliche Warnsignale wie Grammatik- und Rechtschreibfehler in der Lock-E-Mail oder amateurhaft aufgesetzte Fake-Websites werden zunehmend zur Ausnahme.

Ebenfalls wichtig: Auch ein zweiter Faktor schützt nicht, wenn man ihn fahrlässig dem Angreifer überlässt. Beim Push Phishing passiert jedoch genau dies: Das Opfer gelangt über eine überzeugende Phishing-Mail auf eine seriös wirkende Website, und gibt – wie gewohnt – seine Anmeldedaten ein. Die Angreiferseite verwendet diese sodann, um sich auf der echten Website einzuloggen, woraufhin Push-Nachricht oder Authenticator-App das Opfer – wie gewohnt – zur Authentifizierung auffordern. Die Daten, die das Opfer in die Fake-Website eingibt, greift der Hacker umgehend ab, um sich selbst in die Original-Website einzuloggen. Der Nutzer wundert sich indessen, warum sein Login nicht funktionieren will.

Beim Prompt Bombing handelt es sich um eine spezielle Form von Push Phishing. Hier setzen die Angreifer auf die Überforderung des Nutzers durch eine große Menge an MFA-Anfragen gesetzt. Die Kriminellen bemächtigen sich hier zunächst einer Nutzer-ID, etwa einer E-Mail-Adresse samt Passwort, vorab erworben auf einschlägigen Darknet-Marktplätzen.

Mit dieser ID starten sie durch wiederholte Login-Versuche auf der Original-Website eine Lawine von MFA-Aufforderungen, die auf dem Smartphone des Opfers landen. Das Kalkül: Das Opfer ist irgendwann derart „MFA-müde“, dass es fahrlässig eine Anmeldung bestätigt, die es gar nicht selbst initiiert hat. Dafür gibt es sogar ein eigenes Wort: „MFA Fatigue“. Schlimmstenfalls bekommt der Nutzer gar nicht mit, dass Angreifer seinen Account – und damit eventuell auch Unternehmensdaten – kompromittiert haben.

Anbieter zum Thema

zu Matchmaker+

  1. Die fetten Phishing-Jahre beenden
  2. Prompt Bombing: „Uber-forderte“ Nutzer

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu IDEE GmbH

Weitere Artikel zu Informationssicherheit

Weitere Artikel zu FROLYT Kondensatoren und Bauelemente GmbH

Weitere Artikel zu Credant

Matchmaker+