Laut dem Data Breach Report 2022 von Verizon basieren 82 Prozent der Verstöße auf Social-Engineering-Techniken oder der Ausnutzung menschlicher Schwächen. Um dieser Plage entgegenzuwirken, ist es heutzutage von entscheidender Bedeutung, die Authentifizierungsphase zu stärken. Obwohl Unternehmen des Öfteren die Zwei-Faktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen, hat diese Methode verschiedene Schwächen.
In den letzten Jahren haben Cyberkriminelle ausgefeilte Techniken entwickelt, um die Zwei-Faktor-Authentifizierung zu umgehen. Eine der häufigsten Methoden besteht darin, nachgebildete Websites mit vorgefertigten Phishing-Kits zu erstellen. Diese Websites enthalten gefälschte Login-Seiten, um Benutzeranmeldeinformationen wie Codes oder Session-Cookies zu sammeln. Dies ist eine äußerst effektive Methode, da das Opfer transparent zur legitimen Website umgeleitet wird, ohne den Betrug zu bemerken.
Andere komplexere Techniken wie ausgeklügeltes Social Engineering werden ebenfalls eingesetzt, um ein Opfer dazu zu bringen, seinen Einmalkenncode durch Deep-Fake-Stimmtechniken oder durch die Umleitung von Telefonanrufen auf betrügerische Nummern preiszugeben.
Cyberkriminelle können die Zwei-Faktor-Authentifizierung auch mittels Brute-Force-Angriff umgehen, bei dem automatisch alle möglichen Varianten der Sicherheitscodes ausprobiert werden. In der Praxis sind diese Attacken jedoch selten, da sie Zeit erfordern und durch Firewall-Regeln unwirksam gemacht werden, die wiederholte Verbindungsversuche blockieren.
Noch seltener, aber genauso gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen ausgefeilte Techniken eingesetzt werden, um den 2FA-Code abzufangen, indem man sich in die Kommunikation zwischen dem Benutzer und der Anwendung einschleust. Zum Beispiel nutzen Attacken wie „SIM-Swapping“ die Option der Telefonnummernportierung des Smartphones bei einem Mobilfunkanbieter illegal aus, um die Bestätigungs-SMS mit den 2FA-Parametern des Opfers zu erhalten. Diese Methoden sind Alternativen zum physischen Diebstahl eines Computers oder eines Mobiltelefons.
Bereits im Jahr 2018 warnte Amnesty International vor den Schwachstellen der Zwei-Faktor-Authentifizierung. Amnesty Tech untersuchte damals eine umfangreiche und ausgeklügelte Phishing-Kampagne gegen Journalisten und Menschenrechtsverteidiger im Nahen Osten und Nordafrika. Dabei hatten Cyberkriminelle gefälschte Google- und Yahoo-Authentifizierungsseiten erstellt. Sobald die Benutzer ihre E-Mail-Adresse eingegeben hatten, forderte die bösartige Benutzeroberfläche die Anwender auf, den ihnen gerade per SMS zugesandten sechsstelligen Authentifizierungscode einzugeben. Indem die Cyberkriminellen sowohl die Anmeldedaten als auch den zweiten Authentifizierungsfaktor kannten, hatten die Angreifer vollen Zugriff auf die E-Mail-Konten ihrer Opfer.
Die Zwei-Faktor-Authentifizierung ist tatsächlich deutlich zuverlässiger als ein einfaches Passwort. Um möglichen Umgehungsversuchen entgegenzuwirken, ist es jedoch dringend erforderlich, sie mit zusätzlichen Maßnahmen zu stärken.
Eine Möglichkeit, den Zugriff sicherer zu machen, besteht darin, die Anzahl der Überprüfungsfaktoren durch die Verwendung der Mehr-Faktor-Authentifizierung (MFA) zu erhöhen. Die Mehr-Faktor-Authentifizierung erfordert den Einsatz verschiedener Überprüfungselemente, um einer Person oder einer Maschine Zugriff zu gewähren.
Gemäß den offiziellen Empfehlungen der ANSSI werden diese Faktoren in vier Kategorien eingeteilt, darunter:
Es gibt bereits verschiedene Lösungen, die noch mehr Sicherheit bieten. Dazu gehört die Out-of-band-Authentifizierung (OOBA), bei der Anwender über zwei verschiedene Kommunikationskanäle verifiziert werden. In diesem Fall könnte ein Faktor über ein LAN-Netz kommuniziert werden, während ein anderer über das 4G/5G-Netzwerk übermittelt wird – ergo eine Kanaltrennung für erhöhte Sicherheit. Ein weiterer Ansatz ist die Deep-Voice-Detection-Technologie, die von einer KI erzeugte Stimmen erkennt. Diese Techniken haben jedoch aufgrund hoher Implementierungskosten noch eine nur geringfügige Bedeutung.
Es ist also wichtig zu erkennen, dass die 2FA und in geringerem Maße die MFA anfällig für hochentwickelte Cyberangriffe sein können. Die Hinzufügung eines zweiten, auch schwachen Authentifizierungsfaktors macht den Benutzer aber im Vergleich zur Verwendung eines einzigen Faktors nicht anfälliger. Im Gegenteil! Deshalb sind diese Authentifizierungsmethoden noch nicht veraltet: Sie können die meisten gängigen Cyberangriffe abwehren.
Die korrekte Implementierung der Zwei-Faktor-Authentifizierung bleibt ein Schlüsselfaktor, um ausreichenden Schutz für den Zugriff auf Unternehmensressourcen zu gewährleisten. Die Einführung eines dritten oder sogar vierten Authentifizierungsfaktors für bestimmte Benutzer (Systemadministrator und andere VIPs des Unternehmens) sowie der Einsatz mehrerer Kommunikationskanäle können die Schwachstellen des Authentifizierungsprozesses weiter reduzieren. Wie so oft geht es auch hier um eine angemessene Risikobewertung und die erforderliche Investitionsbereitschaft zur Risikominimierung.
ist Direktor für Cybersicherheit und Produktmanagement bei Stormshield.
Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…
KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.
Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…
KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…
Die hessische Gemeinde plant, bis 2030 klimaneutral zu werden, indem sie einen Digitalen Zwilling von…
Durch Künstliche Intelligenz verändert sich die Infrastruktur von Rechenzentren grundlegend, sagt Anton Chuchkov von Vertiv.