Hardware-Authenticator statt Smartphone-App nutzen!
2FA-App

Warum ein Hardware-Authenticator sicherer ist als eine 2FA-App

Die Zwei-Faktor-Authentisierung ist ein Sicherheitsgurt gegen Identitätsdiebstahl und Datenverlust. Durch ausgefeilte Phishing-Kits und die aktuellen politischen Entwicklungen droht Unternehmen aber eine regelrechte 2FA-Angriffswelle. Höchste Zeit also, die eigenen Verfahren auf den Prüfstand zu stellen und unsichere Smartphone-Apps gegen einen Hardware-Authenticator zu tauschen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt angesichts der weltweiten politischen Entwicklungen eine erhöhte Bedrohungslage für Deutschland fest. Unternehmen, Organisationen und Behörden sollten demnach ihre IT-Sicherheitsmaßnahmen überprüfen und der gegebenen Bedrohungslage anpassen. Das gilt auch für die Zwei-Faktor-Authentisierung, denn nicht jedes 2FA-Verfahren bietet ausreichende Sicherheit. Im schlimmsten Fall steckt der Trojaner sogar direkt in der Authenticator-App auf dem Smartphone!

Wieso 2FA mit TOTP sicherer ist als mit Anrufen oder SMS

Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.

Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.

Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitl

Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.

Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.

Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitlich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.ich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.

Wie riskant Authenticator-Apps auf dem Smartphone sind

Laut dem Mobile Security Index 2021 von Verizon haben 40 Prozent der befragten Firmen erkannt, dass mobile Geräte die größte IT-Sicherheitsbedrohung für ihr Unternehmen darstellen. Trotzdem setzen viele Unternehmen bei der Zwei-Faktor-Authentisierung weiterhin auf Smartphone-Apps. Das kann durchaus fatale Folgen für die Vertraulichkeit der Secret-Keys und anderer Login-Daten haben:

Diese Beispiele zeigen deutlich, dass die Zwei-Faktor-Authentisierung zwar eine sinnvolle, zusätzliche Sicherheitsebene bietet, aber Unternehmen nicht per se vor Hackerangriffen schützt. Das gilt insbesondere dann, wenn Mitarbeitende die für den 2FA-Login benötigten TOTP-Einmalkennwörter auf kompromittierbaren Geräten generieren, die Daten über eine Internet-Verbindung in Echtzeit an den Angreifer weiterleiten können.

Warum ein Hardware-Authenticator deutlich besser schützt

Deutlich sicherer als eine Authenticator-App auf dem Smartphone sind TOTP-Generatoren mit dedizierter Hardware, die ohne Internet-Verbindung arbeiten. Eine handliche und intuitiv bedienbare Lösung ist beispielsweise der REINER SCT Authenticator, der bis zu 60 Benutzerkonten verwaltet. Das kompakte Gerät lässt sich über QR-Codes ebenso leicht konfigurieren wie eine Smartphone-App und bietet Unternehmen höchste Sicherheit:

Angesichts der Smartphone-Gefahren stellen sich selbst private Anwender die Frage, ob eine Authenticator-App noch eine ausreichende „Sicherheit nach dem Stand der Technik“ garantiert. Unternehmen hingegen müssen sich diese Frage stellen – nicht nur, um die eigene IT-Infrastruktur zu schützen, sondern auch, um die strengen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen. Gegebenenfalls kann es dabei sogar Sinn machen, für Mitarbeitende die ausschließliche Verwendung der Zwei-Faktor-Authentisierung und Nutzung eines Hardware-Authenticators durch eine entsprechende Verpflichtungserklärung zu regeln.

Welche Vorteile ein Hardware-Authenticator für die IT hat

Neben den Sicherheitsaspekten bieten unternehmensweit einheitliche, hardwarebasierte Endgeräte für die Zwei-Faktor-Authentisierung auch diverse Vorteile für die IT-Administration. Denn: Lösungen wie der REINER SCT Authenticator sind „Easy to Use – Easy to Integrate – Easy to Support“. Die intuitive Bedienung reduziert Support-Anfragen beim Ausrollen der Geräte. Eine geschäftliche und private Nutzung des Hardware-Authenticators stellt keinerlei Risiko dar, sondern erhöht eher das Bewusstsein für IT-Sicherheit. Und die Pflege verschiedener Geräteversionen oder gar verschiedener Smartphone-Welten (iPhone/Android) entfällt komplett.

Letztlich entlasten einheitliche Lösungen für 2FA und TOTP die unternehmenseigene IT, und so schaffen sie mehr Zeit für Mitarbeiterschulungen – Schulungen, die angesichts voll automatisierter Cyberangriffe und ausgefeilter Phishing-Kits dringend notwendig sind. Denn hier drohen die nächsten Angriffswellen: Mindestens 1.200 Phishing-Kits, die 2FA-Sicherheitscodes durch Man-in-the-Middle-Angriffe erfassen oder abfangen, haben Wissenschaftler der Stony Brook University und der Palo Alto Networks bereits identifiziert.

Weitere Beiträge