Multi-Faktor-Authentifizierung (MFA) ist eine der bekanntesten Sicherheitsmaßnahmen, die Unternehmen implementieren können, um ihre Sicherheitslage drastisch zu verbessern. Microsoft behauptet sogar, dass sich damit 99,9 Prozent der Cyberangriffe verhindern lassen. Mit MFA allein ist es jedoch nicht getan, will ein Unternehmen höchstmögliche Sicherheit erreichen.
MFA funktioniert durch die Implementierung mehrerer Schritte, die ein Benutzer ausführen muss, bevor er Zugriff auf interne Ressourcen, Anwendungen oder Daten erhält. Dies kann in einer Kombination aus den folgenden drei Parametern erfolgen:
Als ergänzende Maßnahme empfiehlt sich das Single-Sign-on-Verfahren (SSO). Dieses ermöglicht Nutzern, sich über die Authentifizierung bei einer einzigen Anwendung gleichzeitig auch bei allen anderen arbeitsrelevanten Applikationen einzuloggen. Ein einziger Anmeldeprozess reicht damit aus.
SSO ist in der Regel hinter MFA angesiedelt: Der Benutzer gibt zwei oder mehr Authentifizierungsfaktoren ein und erreicht dadurch ein Portal, das alle vertrauenswürdigen Anwendungen enthält. Dieser Vorgang basiert auf einem Zertifikat, das zwischen dem SSO-Anbieter und der Anwendung ausgetauscht wird, um sicherzustellen, dass die Person vertrauenswürdig und verifiziert ist.
Einige Unternehmen glauben, dass MFA und SSO allein ihre Probleme mit der Identitätssicherheit lösen werden. Die Logik: Wenn Menschen per Authentifizierung beweisen, dass sie tatsächlich sie selbst sind, und wir davon ausgehen, dass diese Menschen gute Absichten haben, was kann dann noch schiefgehen? Die Antwort: vieles.
Cyberkriminelle passen sich an und versuchen zunehmend, sich mit Einmalpasswörtern Zugang zu verschaffen. Dazu nutzen sie meist sogenannte Brute-Force-Methoden, also das automatisierte Durchspielen möglicher Passwörter, sozusagen mit roher (Rechner-)Gewalt. Alternativ nutzen die Täter Social-Engineering- oder Phishing-Angriffe: Sie bringen einen Benutzer dazu, eine falsche Anfrage zu bestätigen und im Zuge dessen Login-Daten oder persönliche Informationen wie Kreditkartennummern anzugeben. Diese Methoden waren teils Ausgangspunkt für den Uber-Hack Anfang 2022.
Weder eine einzelne Lösung noch ein, zwei Sicherheitskontrollen können alle Probleme lösen – insbesondere bei der Identitätsverwaltung ist ein mehrschichtiger Sicherheitsansatz entscheidend. Zusätzlich zu MFA und SSO gibt es einige Aspekte, die IGA (Identity Governance and Administration) mit sich bringt. Sie können nicht nur die Sicherheit verbessern, sondern auch bei der Einhaltung gesetzlicher Vorschriften (Stichwort Audits) helfen und die Effizienz von Endbenutzern und Administratoren steigern.