Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Die Zwei-Faktor-Authentisierung ist ein Sicherheitsgurt gegen Identitätsdiebstahl und Datenverlust. Durch ausgefeilte Phishing-Kits und die aktuellen politischen Entwicklungen droht Unternehmen aber eine regelrechte 2FA-Angriffswelle. Höchste Zeit also, die eigenen Verfahren auf den Prüfstand zu stellen und unsichere Smartphone-Apps gegen einen Hardware-Authenticator zu tauschen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt angesichts der weltweiten politischen Entwicklungen eine erhöhte Bedrohungslage für Deutschland fest. Unternehmen, Organisationen und Behörden sollten demnach ihre IT-Sicherheitsmaßnahmen überprüfen und der gegebenen Bedrohungslage anpassen. Das gilt auch für die Zwei-Faktor-Authentisierung, denn nicht jedes 2FA-Verfahren bietet ausreichende Sicherheit. Im schlimmsten Fall steckt der Trojaner sogar direkt in der Authenticator-App auf dem Smartphone!
Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.
Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.
Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitl
Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.
Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.
Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitlich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.ich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.
Laut dem Mobile Security Index 2021 von Verizon haben 40 Prozent der befragten Firmen erkannt, dass mobile Geräte die größte IT-Sicherheitsbedrohung für ihr Unternehmen darstellen. Trotzdem setzen viele Unternehmen bei der Zwei-Faktor-Authentisierung weiterhin auf Smartphone-Apps. Das kann durchaus fatale Folgen für die Vertraulichkeit der Secret-Keys und anderer Login-Daten haben:
Diese Beispiele zeigen deutlich, dass die Zwei-Faktor-Authentisierung zwar eine sinnvolle, zusätzliche Sicherheitsebene bietet, aber Unternehmen nicht per se vor Hackerangriffen schützt. Das gilt insbesondere dann, wenn Mitarbeitende die für den 2FA-Login benötigten TOTP-Einmalkennwörter auf kompromittierbaren Geräten generieren, die Daten über eine Internet-Verbindung in Echtzeit an den Angreifer weiterleiten können.
Deutlich sicherer als eine Authenticator-App auf dem Smartphone sind TOTP-Generatoren mit dedizierter Hardware, die ohne Internet-Verbindung arbeiten. Eine handliche und intuitiv bedienbare Lösung ist beispielsweise der REINER SCT Authenticator, der bis zu 60 Benutzerkonten verwaltet. Das kompakte Gerät lässt sich über QR-Codes ebenso leicht konfigurieren wie eine Smartphone-App und bietet Unternehmen höchste Sicherheit:
Angesichts der Smartphone-Gefahren stellen sich selbst private Anwender die Frage, ob eine Authenticator-App noch eine ausreichende „Sicherheit nach dem Stand der Technik“ garantiert. Unternehmen hingegen müssen sich diese Frage stellen – nicht nur, um die eigene IT-Infrastruktur zu schützen, sondern auch, um die strengen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen. Gegebenenfalls kann es dabei sogar Sinn machen, für Mitarbeitende die ausschließliche Verwendung der Zwei-Faktor-Authentisierung und Nutzung eines Hardware-Authenticators durch eine entsprechende Verpflichtungserklärung zu regeln.
Neben den Sicherheitsaspekten bieten unternehmensweit einheitliche, hardwarebasierte Endgeräte für die Zwei-Faktor-Authentisierung auch diverse Vorteile für die IT-Administration. Denn: Lösungen wie der REINER SCT Authenticator sind „Easy to Use – Easy to Integrate – Easy to Support“. Die intuitive Bedienung reduziert Support-Anfragen beim Ausrollen der Geräte. Eine geschäftliche und private Nutzung des Hardware-Authenticators stellt keinerlei Risiko dar, sondern erhöht eher das Bewusstsein für IT-Sicherheit. Und die Pflege verschiedener Geräteversionen oder gar verschiedener Smartphone-Welten (iPhone/Android) entfällt komplett.
Letztlich entlasten einheitliche Lösungen für 2FA und TOTP die unternehmenseigene IT, und so schaffen sie mehr Zeit für Mitarbeiterschulungen – Schulungen, die angesichts voll automatisierter Cyberangriffe und ausgefeilter Phishing-Kits dringend notwendig sind. Denn hier drohen die nächsten Angriffswellen: Mindestens 1.200 Phishing-Kits, die 2FA-Sicherheitscodes durch Man-in-the-Middle-Angriffe erfassen oder abfangen, haben Wissenschaftler der Stony Brook University und der Palo Alto Networks bereits identifiziert.
Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Jetzt kaufen Sicherheit auf ein neues Level: Warum 2FA in
Jetzt kaufen (2FA) Zwei-Faktor-Authentisierung bzw. Authentifizierung an Universitäten: Ein umfassender
DNS-Spoofing: Definition und Schutzmaßnahmen In der IT-Sicherheit ist DNS-Spoofing ein
Inkognito-Modus richtig nutzen Der Inkognito-Modus klingt im ersten Moment für
Jetzt kaufen 2FA in öffentlichen Verwaltungen Warum Sicherheit unerlässlich ist!
Proxy-Server und die Gefahr durch Hacker Proxy-Server dienen als Vermittler
Adversary-in-the-Middle-Angriff: Gefahr für alle Daten Ein Adversary-in-the-Middle-Angriff ist eine Form
Man-in-the-Middle-Angriff erkennen und verhindern Ein Man-in-the-Middle-Angriff ist eine Attacke, bei
Datenschutz bei ChatGPT und anderer KI Mit neuen Entwicklungen und
Zeiterfassung und Datenschutz Durch die Entscheidung des Bundesarbeitsgerichts im September
Vishing und was man dagegen tut Beim Vishing handelt sich
Daran erkennt man, dass das Handy gehackt wurde Das Handy
Eine hacksichere Webseite erstellen Die eigene Webseite hacksicher zu machen,
Cybersecurity im Urlaub Urlaubszeit. Endlich Entspannung. Fern von der Arbeit.
Qualifikationen von Datenschutzbeauftragten Ein Datenschutzbeauftragter sorgt dafür, dass in einem
Umgang mit gehackten E-Mails Die E-Mail ist als Kommunikationsmedium nicht
Betrügerische Webseiten und Fake Shops Dass Hacker alles versuchen, um
So kann man Spam verhindern Spam ist uns allen sehr
Statistiken zur Zwei-Faktor-Authentifizierung Statistiken zur Zwei-Faktor-Authentifizierung Die Zwei-Faktor-Authentifizierung gibt es