MFA alleine reicht nicht aus: Schützen Sie Ihre Passwörter und Anmeldedaten

Jedes nur durch Benutzername und Passwort gesicherte System ist einem erhöhten Risiko ausgesetzt. Laut Forschungsergebnissen von Microsoft lassen sich schätzungsweise mehr als 99 % der Kontoübernahmeangriffe stoppen, wenn der Endbenutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert hat. Die MFA wird im Wesentlichen von allen Cyberexperten und Regelungen wie NIST empfohlen, ohne dass es, abgesehen von einem geringfügigen Mehraufwand für die Benutzer, ernstzunehmende Nachteile gäbe (vorausgesetzt, dass die richtige Art von MFA ausgewählt wurde!).  

Für die Cybersicherheit ist allerdings ein mehrschichtiger Schutz von entscheidender Bedeutung. Sich alleine auf die MFA zu verlassen und die Passwortsicherheit zu vernachlässigen, kann zu Sicherheitsschwachstellen führen.  

Lohnt es sich dennoch, die MFA zu aktivieren? 

Selbstverständlich! Wir raten stets dazu, die Anmeldung für Windows, VPN und RDP durch eine zuverlässige MFA-Lösung wie Specops Secure Access abzusichern. Es ist zwar wichtig, nicht alles auf eine Karte zu setzen, doch das ändert nichts an den vielen Vorteilen, die aus dem Hinzufügen von MFA in das Anmeldeverfahren Ihrer Organisation resultieren:  

1. Zusätzliche Sicherheitsschicht: Die MFA fügt eine weitere Sicherheitsschicht hinzu, da Benutzer dazu aufgefordert sind, sich auf verschiedene Weise zu verifizieren. Hierdurch können unbefugte Benutzer selbst dann, wenn sie über das jeweilige Benutzerpasswort verfügen, weitaus schwerer Zugriff erlangen. MFA kann das Risiko von Datenschutzverletzungen deutlich reduzieren, da Angreifern der unbefugte Zugriff erschwert wird. 
2. Phishing-Schutz: MFA kann das Risiko von Phishing-Angriffen senken. Selbst wenn Angreifer Benutzer dazu verleiten sollten, ihr Passwort offenzulegen, bräuchten Sie immer noch den zweiten Authentifizierungsfaktor, um Zugriff zu erlangen. 
3. Compliance: In vielen Branchen gelten strikte Vorschriften und Compliance-Anforderungen in Bezug auf die Datensicherheit. Die MFA-Implementierung kann Organisationen bei der Erfüllung dieser Standards helfen und potenzielle Strafzahlungen oder Rechtsstreitigkeiten verhindern. 
4. Größeres Benutzervertrauen: Die Gewissheit, dass ihre Daten und Konten besser geschützt sind, kann das Vertrauen der Benutzer in Ihre Organisation erhöhen. Dies ist vor allem bei kundenorientierten Anwendungen wichtig. 
5. Kostenersparnisse: Ungeachtet der anfänglichen Kosten im Zusammenhang mit der MFA-Implementierung, können aus der Prävention von Datenschutzverletzungen und der damit verbundenen Kosten (wie Rechtskosten, Kundenbenachrichtigungen und Reputationsschäden) langfristig erhebliche Ersparnisse resultieren. 
6. Flexibilität und Benutzerfreundlichkeit: Moderne MFA-Lösungen mit Methoden wie Push-Benachrichtigungen, SMS-Codes oder biometrischer Verifizierung sind auf Benutzerfreundlichkeit ausgelegt. Für den Fall, dass der Zugriff auf Mobiltelefone nicht möglich ist, können Sie außerdem benutzerfreundliche Hardware-Tokens einrichten. Dies gewährleistet, dass die Sicherheit nicht auf Kosten der Benutzerfreundlichkeit geht. 

Das Hinzufügen von MFA kann sich lohnen 

Falls Sie die MFA-Authentifizierung nicht bereits aktiviert haben, sollten Sie sich die folgenden Fragen stellen und darüber nachdenken, welchen Ausgang die Worst-Case-Szenarien nehmen könnten: 

• Verfügen Sie über Systeme, auf die mit nur einem Passwort zugegriffen werden kann?  
• Auf welche Daten könnten Dritte Zugriff erlangen, wenn ein Laptop Ihrer Endbenutzer gestohlen wird, der bei der Anmeldung ausschließlich auf PIN oder Passwort setzt?  
• Welche Daten sind lokal auf Ihren Workstations, Laptops und Servern gespeichert (z. B. zwischengespeicherte Dateien, zwischengespeicherte E-Mails, MFA-Tokens)? 

Kontaktieren Sie uns noch heute, falls Sie Ihre Anmeldung für Windows, RDP, RADIUS sowie VPN-Authentifizierungen um eine wirksame MFA-Schicht ergänzen möchten und testen Sie Specops Secure Access.  

Warum MFA alleine nicht reicht und nicht die einzige Verteidigungslinie bilden sollte  

Auch wenn MFA eine starke Sicherheitsmaßnahme darstellt, sollten Passwörter nicht völlig unberücksichtigt bleiben und das Vertrauen nicht ausschließlich in eine Authentifizierung ohne Passwort mittels PIN oder biometrischer Daten gesetzt werden. Das sind die Gründe dafür warum MFA alleine nicht reicht: 

1. Mehrere Sicherheitsschichten: Eine mehrschichtige Sicherheit ist am wirksamsten – doch bereits eine schwache Schicht (wie ein schwaches, leicht zu erratendes Passwort) können die gesamte Sicherheit gefährden. Erst durch das Zusammenwirken von Passwörtern und MFA entsteht eine stabile Cyberabwehr. Falls eine Sicherheitsschicht versagt, kann immer noch die andere Sicherheitsschicht Schutz gewährleisten. 
2. Erster Zugriff: Passwörter sind üblicherweise die erste Verteidigungslinie. Sie sind erforderlich, um das MFA-Verfahren einzuleiten. Ohne starkes Passwort können Angreifer den ersten Anmeldeschritt einfacher umgehen und sich voll und ganz auf die MFA konzentrieren. 
3. Benutzerunterweisung: Es ist erforderlich, dass Benutzer in der Wichtigkeit starker Passwörter und einer einwandfreien Passworthygiene unterwiesen werden. Falls allein auf die MFA gesetzt wird, könnten sich Benutzer aus einem trügerischen Gefühl der Sicherheit heraus für schwache oder leicht zu erratende Passwörter entscheiden.
4. Sicherheit und Wiederherstellung: Welches Wiederherstellungsverfahren greift bei einem Verlust der MFA? Für den Fall, dass die MFA-Authentifizierung versagt (z. B. falls Benutzer ihr Mobiltelefon verlieren oder das MFA-Gerät einer Datenschutzverletzung ausgesetzt ist), kann ein starkes Passwort als Sicherheit fungieren, um den Kontozugriff zurückzuerlangen.  
5. MFA-Schwachstellen: Die MFA-Authentifizierung ist nicht unfehlbar. Bekannte Schwachstellen wie SIM-Swapping-Angriffe für die SMS-gestützte MFA oder Social-Engineering-Angriffe können Benutzer zur Genehmigung von MFA-Aufforderungen verleiten. 

Könnte Ihre 2FA/MFA gefährdet sein? 

Die MFA kann auf verschiedene Weisen gehackt werden   – wir haben die gängigsten Methoden hier aufgeführt.  

MFA-Fatigue-Angriffe  

Bei MFA-Fatigue-Angriffen (auch als „Prompt Bombing“ bezeichnet) wird dem Benutzer von Angreifern eine Flut an MFA-Aufforderungen zugesandt, um ihn dazu zu verleiten, aus Frustration oder zum Beenden des „Bombardements“ die Anmeldeaufforderung zu genehmigen. Diese Angriffe machen sich das Verlangen des Benutzers zunutze, die fortwährenden Benachrichtigungen zu stoppen, selbst wenn dies die eigene Kontosicherheit gefährdet.  

„Social Engineering“ im Helpdesk  

Social Engineering im Helpdesk kann dazu führen, dass Personal im Kundensupport dazu verleitet wird, die MFA-Anforderungen zu umgehen oder die Anmeldedaten für Benutzer neu festzulegen. Angreifer geben sich oftmals als berechtigte Benutzer mit einem technischen Problem aus, um unbefugten Zugriff zu erlangen. So geschehen in einem kürzlichen Angriff auf MGM Resorts.  

„Social Engineering“ an der Endbenutzerseite 

Hacker können die MFA austricksen, indem sie Benutzer dazu verleiten, ihre MFA-Codes offenzulegen, oder indem sie Phishing-Verfahren zum Abfangen der Codes verwenden. Wenn der Angreifer über den MFA-Code verfügt, kann unbefugt auf das Benutzerkonto zugegriffen werden.  

„Session Hijacking“ 

Bei diesen Angriffen werden Schwachstellen in der Verwaltung von Internetsitzungen ausgenutzt, um auf die aktive Website- oder Anwendungssitzung eines berechtigten Benutzers zuzugreifen und dessen Identität anzunehmen. Dabei können die Angreifer die Sitzungskennung / -ID (ein eindeutiges Token, das einem Benutzer bei der Anmeldung zugewiesen wurde) abfangen oder erraten und sich innerhalb des Systems als Benutzer ausgeben.  

Ausnutzen des Single-Sign-On-Verfahrens 

Angreifer können die MFA umgehen, indem sie Schwachstellen von Single-Sign-On-(SSO)-Systemen ausnutzen, und durch den Zugriff auf ein Konto Zugang zu verschiedenen Diensten erlangen. Verfahren wie Cookie-Diebstahl oder „Session Hijacking“ können zur Umgehung der MFA-Anforderungen eingesetzt werden.  

Authentifizierungsmethoden als Angriffspunkt 

Schwächere Authentifizierungsmethoden wie z. B. Sicherheitsfragen oder Wiederherstellungscodes, die meistens weniger Sicherheit gewährleisten, können als Angriffspunkt dienen, um die MFA auszutricksen. Falls über diese Methoden Zugriff erlangt wird, können die primären MFA-Mechanismen umgangen werden. Auf das Passwort kann im Falle eines MFA-Fehlers zurückgegriffen werden, sodass eine einwandfreie Passwort Policy und flexible MFA-Lösungen nach wie vor von großer Bedeutung sind. 

Schutz von Passwort und Anmeldedaten  

Zusammengefasst lässt sich sagen, dass die MFA-Authentifizierung ein entscheidender Bestandteil einer starken Sicherheitsstrategie ist und in Kombination mit starken Passwörtern und weiteren Sicherheitsverfahren verwendet werden sollte, um umfassenden Schutz zu gewährleisten. 

Eine starke Passwort- und MFA-Sicherheit für das Windows Anmeldeverfahren sind von herausragender Bedeutung, da sie die mehrschichtige Sicherheit zur Abwehr unbefugter Zugriffe gewährleisten. Ein starkes Passwort kann von Angreifern schwerer erraten oder geknackt werden, während die MFA für einen zusätzlichen Verifizierungsschritt sorgt, der die Gefahr einer Datenschutzverletzung selbst bei einem Diebstahl des Passworts erheblich reduziert. Durch das Zusammenwirken von Passwort und MFA entsteht ein zuverlässiger Schutz gegen eine Vielzahl von Cyberbedrohungen. 

Die gemeinsame Verwendung von Specops Password Policy und MFA ermöglicht es Ihnen, Ihr Active Directory fortwährend vor mehr als 4 Milliarden eindeutig kompromittierten Passwörtern zu schützen. Administratoren können Endbenutzer daran hindern, schwache Passwörter zu erstellen, und kontinuierlich nach Passwörtern scannen, die aufgrund von Data Breaches oder der Wiederverwendung von Passwörtern kompromittiert sind. Möchten Sie mehr darüber erfahren, wie Sie in Kombination mit Specops Secure Access MFA den Schutz für Ihre Passwörter und Anmeldedaten gewährleisten können? Kontaktieren Sie uns fuer eine kostenlose Produktdemo.