Flexible Security for Your Peace of Mind

MFA: Die versteckten Kosten

Die Multi-Faktor-Authentisierung (MFA) spielt eine immer größere Rolle, wenn es um den Schutz von Netzwerken und sensiblen Daten vor Phishing, Social-Engineering, Man-in-the-Middle-Angriffen und anderen auf Anmeldeinformationen basierenden Angriffsmethoden geht.

Unternehmen können durch die Einführung einer MFA die Cybersicherheitsrisiken bei Active-Directory-Logins und anderen Login-Prozeduren deutlich reduzieren und damit auch gesetzliche Vorgaben etwa der Datenschutzgrundverordnung (DSGVO) oder der NIS-2-Richtlinie der EU erfüllen. Trotzdem zögern viele Unternehmen mit einer Einführung, da die MFA-Technologie als komplex gilt. Zudem wird befürchtet, dass eine MFA mit hohen Kosten verbunden ist – und das nicht immer unbegründet. In diesem Artikel wollen wir einen Blick auf die Ausgaben werfen, die mit MFA einhergehen, insbesondere auch auf die nicht sofort ersichtlichen, versteckten Kosten jenseits der üblichen Aufwendungen für Lizenzen und Implementierung.

Warum überhaupt mehrere Authentisierungsfaktoren?

In ihrem Active Adversary Report 2024 stellen die Sicherheitsspezialisten von Sophos fest, dass 2023 mehr als die Hälfte (55,84 %) von 150 ausgewerteten Angriffen auf kompromittierten Zugangsdaten basierte. Damit führen Angriffe auf Nutzerkonten erstmals die Rangliste der in dem jährlichen Report erfassten Angriffsvektoren an. In der Cybersecurity-Strategie sollte dem Schutz von Nutzerkonten also hohe Bedeutung zugemessen werden.

Bei MFA wird für den Zugriff auf ein Nutzerkonto zusätzlich zu der üblichen Passwort-Benutzer-Kombination mindestens ein weiterer Faktor benötigt, z. B. ein Hard- oder Softwaretoken oder biometrische Daten. Hackern wird damit ein gewichtiger Felsbrocken in den Weg gelegt. Obwohl auch eine Multi-Faktor-Authentisierung keine absolute Sicherheit garantiert, erhöht sie doch die Sicherheit von Nutzerkonten doch erheblich (laut Microsoft sogar um 99,22 %).

Die Akzeptanz von MFA in Unternehmen ist in den letzten Jahren denn auch deutlich gestiegen, zumal sie eine wichtige Maßnahme zur Umsetzung der regulatorischen Anforderungen zum Schutz von Unternehmens-IT und Daten beispielsweise durch die DSGVO oder NIS-2 ist. Zudem können Unternehmen durch Implementierung einer MFA möglichen Kosten und finanziellen Verlusten infolge von Cyberangriffen oder Strafzahlungen wegen unzureichender Schutzmaßnahmen vorbeugen. Aber natürlich gehen mit einer MFA selbst zunächst einmal verschiedene Investitionen einher.

Welche Kosten sind mit MFA verbunden?

Die Kosten für Implementierung und Betrieb einer Multi-Faktor-Authentisierung variieren entsprechend der Unternehmensgröße und den spezifischen Anforderungen. Auch gibt es große Unterschiede je nach gewählter MFA-Methode: Soll etwa eine (lokale) On-Premises-Lösung installiert werden oder eine Cloud-basierte SaaS-Lösung (Software as a Service)?

Die Gesamtkosten setzen sich aus verschiedenen Komponenten zusammen: aus direkten Kosten etwa für Anschaffung und Integration in die bestehende IT-Systemlandschaft, laufenden Kosten für Support und Wartung der MFA-Lösung sowie indirekten Kosten z. B. für Mitarbeiterschulung, Downtime während der Implementierung oder den Helpdesk.

All diese Kostenfaktoren sollten bei Einführung einer MFA-Lösung betrachtet werden. Es empfiehlt sich, vor der Implementierung eine Ist- und Anforderungsanalyse und darauf basierend eine ausführliche Kostenerhebung und -bewertung durchzuführen. Um die Gesamtkosten (TCO) einzuschätzen, gilt es dabei, auch die laufenden Kosten nach der Implementierung zu berücksichtigen, denn diese können sich im Lauf der Zeit deutlich summieren. Betrachten wir einmal die unterschiedlichen Kostenfaktoren etwas genauer.

Reports Übersicht zu Specops Password Auditor
Prüfen Sie mit Specops Password Auditor, ob kompromittierte Kennwörter in Ihrem Active Directory schlummern!

Lizenzkosten

Die Lizenzkosten sind wohl die offensichtlichsten Ausgaben, die mit der Implementierung einer MFA verbunden sind. Trotzdem – auch hier ist eine genaue Betrachtung geboten, denn die Preise variieren stark je nach Lösung, Anbieter und Lizenzmodell.  Neben benutzerbasierten Lizenzmodellen, bei denen monatliche oder jährliche Zahlungen je nach der Anzahl der User-IDs berechnet werden, und gerätebasierenden Lizenzen, deren Preise sich nach der Anzahl der geschützten Geräte richten, werden auch transaktionsbasierte Lizenzen angeboten, bei denen die Kosten nach Anzahl der Authentisierungen berechnet werden. Darüber hinaus gibt es hybride Lizenzmodelle und Anbieter, die für die Einführung ihres Systems nur eine einmalige, entsprechend hohe Rechnung stellen (Updates, Upgrades, Erweiterungen nicht inbegriffen).

Es gibt spezialisierte MFA-Lösungen für eine einzige zusätzliche Faktormethode – beispielsweise Hardwaretoken oder Gesichtserkennung – und flexible Systeme, die eine Vielzahl verschiedener Authentisierungsmethoden abdecken. Häufig sind diese Systeme kaum teurer als die Spezialisten, aber auch hier können zusätzliche Kosten anfallen. Einige Anbieter berechnen beispielsweise Bereitstellungsgebühren für weitere Methoden.

Nicht nur zusätzliche MFA-Methoden können die Lizenzkosten erhöhen, auch Funktionserweiterungen wie etwa spezielle Reporting-Tools oder risikobasierte Authentisierung (RBA), bei welcher je nach dem mit dem Anmeldeversuch verbundenen Risikograd ggf. weitere Sicherheitsmaßnahmen angewendet werden.

Bei der Bewertung der Lizenzkosten sollten Sie darauf achten, ob Lizenzen an Geräte oder Nutzer gebunden sind und ggf. übertragen werden können. In manchen Fällen können transaktionsbasierte Lizenzen die günstigere Lösung sein. Prüfen Sie zudem im Vorfeld, welche Kosten für weitere Lizenzen, zusätzliche MFA-Methoden oder besondere Funktionserweiterungen anfallen.

Kosten für Implementierung und Integration

Die nahtlose Integration einer Multi-Faktor-Authentisierung in bestehende Systeme stellt eine komplexe technische Herausforderung dar. Je nach MFA-Methode und vorhandener IT-Infrastruktur sind APIs erforderlich, müssen AD-Verzeichnisse mit dem MFA-Anbieter synchronisiert und verschiedene MFA-Methoden für verschiedene Benutzergruppen (je nach Berechtigungen und Sicherheitsstufen) implementiert sowie die vorhandenen Systeme angepasst werden.

Die Implementierung einer MFA kann daher mit erheblichem Kosten- und Zeitaufwand verbunden sein. Komplizierte MFA-Lösungen und schlechte Dokumentationen können dabei den Aufwand weiter erhöhen und zu deutlichen Produktivitätseinbußen während der Implementierung führen. Möglicherweise wird für die Einführung der MFA-Lösung auch Know-how benötigt, über das Ihr Team (noch) nicht verfügt; in diesem Fall kommen Kosten für Weiterbildung, Coachings oder externe Dienstleister hinzu. In einzelnen Fällen kann auch ein Umstieg auf neue Systeme nötig werden, z. B. wenn eine Cloud-first-MFA-Lösung eine Umstellung von einem lokalen Active Directory auf einen Cloud-basierten Identitätsanbieter (IdP) erfordert. Um den Aufwand so gering wie möglich zu halten, sollten Sie nach einer MFA-Lösung suchen, die eine nahtlose Integrationen für Sie wichtiger Anwendungen ermöglicht. Vergewissern Sie sich auch, dass die Integration der gängigen Authentisierungsprotokolle (LDAP, Kerberos, SAML etc.) möglich ist.

Schulung der Mitarbeiter, Produktivitätseinbußen während der Einführung und bei Ausfall

Komplexe oder als unbequem und einschränkend empfundene Authentisierungsmethoden können auf Widerstand bei den Mitarbeitenden stoßen. Sie sollten daher genügend Zeit einplanen, um klare Benutzerrichtlinien aufzustellen und Ihre Mitarbeitenden eingehend für die Nutzung der MFA zu schulen. So verhindern Sie nicht nur spätere Produktivitätseinbußen, sondern minimieren auch Helpdesk-Anfragen durch verunsicherte Benutzer.

Indem Sie bereits bei der Auswahl der richtigen MFA-Lösung darauf achten, dass sie möglichst intuitiv nutzbar ist, erhöhen Sie die Akzeptanz durch positive Nutzererfahrungen und beugen zudem Produktivitätseinbußen durch langwierige Zugriffsmechanismen vor.  Kosten durch Downtimes und unnötige Komplikationen im Rahmen der Einführung können Sie zudem reduzieren, indem Sie die Installation der MFA-Lösung zunächst mit einer kleinen Benutzer-Pilotgruppe testen. Sollte ein ID-Services einmal ausfallen, kann das auch zu weitreichenden Störungen in den Unternehmensabläufen führen, weshalb entsprechende Redundanzen notwendig sind.

Kosten für zusätzliche Hardware

Einige MFA-Methoden erfordern die Anschaffung zusätzlicher Hardware wie etwa Hardware-Token oder Biometrie-Scanner. Einfache Hardware-Token für OTP (One-Time Password) sind zwar mit Preisen ab ca. 7 Euro recht günstig, Token, die Protokolle wie FIDO U2F oder FIDO2 mit biometrischen Funktionen, z. B. per integriertem Fingerabdruckscanner, unterstützen, können aber deutlich teurer sein. Stichwort Biometrie: Biometrische Systeme, die ein höheres Maß an Sicherheit versprechen, erfordern häufig zusätzliche, zum Teil recht teure Lese- oder Scan-Geräte (z. B. spezielle Iris-Scanner), die zudem gelegentlich gewartet werden müssen.

Laufende Kosten, Support und Helpdesk

Software-Token und mobile Apps sind zwar häufig kostenlos, jedoch können für Anruf- oder SMS-Codes Gebühren des Telefon- und/oder des MFA-Anbieters anfallen – so berechnet Google für seine Identity Platform 0.08 $ pro SMS (in Deutschland).

Mit Systemadministration und Verwaltung der MFA-Lösung ist ein regelmäßiger Aufwand für die IT-Abteilung verbunden, vor allem dann, wenn Updates und Patches vom Lösungsanbieter nicht automatisch implementiert werden. Ähnlich verhält es sich mit Aufgaben wie der Verwaltung von Security-Token, z. B. der Bereitstellung und Registrierung neuer Token. Auch Bedienprobleme sowie Verlust oder Diebstahl von Token sorgen für erhöhte Helpdesk-Anfragen – das gilt natürlich auch, wenn der Token (ebenso jeder andere Faktor) einfach nur „vergessen“ wurde. In diesem Fall schlagen noch Produktivitätseinbußen während der Zeit zu Buche, in der die betroffenen Mitarbeitenden nicht auf relevante Systeme und Daten zugreifen können. Um die laufenden Kosten so gering wie möglich zu halten, empfiehlt es sich, die Häufigkeit der MFA-Aufforderungen und die damit verbundenen Kosten bei der Wahl der passenden MFA-Lösung abzuschätzen und ggf. anzupassen. Um Ihre Systemadministratoren zu entlasten, können Sie, wenn möglich, einen Anbieter wählen, der Updates und Patches automatisch aktualisiert. Die Beanspruchung Ihres Helpdesk und unnötige Produktivitätseinbußen können Sie zudem mindern, wenn Ihre MFA-Lösung ein einfaches Generieren von Bypass-Codes für Mitarbeiter erlaubt, die ihren Security-Token verloren oder vergessen haben.

Fazit

Die Einführung einer MFA kann mit beträchtlichem Kosten- und Implementierungsaufwand verbunden sein. Durch vorhergehende Ermittlung der spezifischen Sicherheitsanforderungen, sorgfältige Analyse der zu integrierenden Systeme, einen eingehenden Vergleich verschiedener MFA-Lösungen und ein systematisches Vorgehen bei der Einführung lassen sich die Kosten für eine Multi-Faktor-Authentisierung aber im Griff behalten.

Auf der Haben-Seite stehen in jedem Fall eine deutlich bessere Absicherung vor Cyberangriffen und die Einhaltung von Compliance-Vorgaben. Und wenn man bedenkt, dass durch mangelnden Schutz kompromittierte Systeme deutlich höhere Folgekosten (Produktionsausfälle, Wiederherstellungskosten, Lösegeld- und Strafzahlungen etc.) nach sich ziehen können, relativieren sich die mit einer MFA verbundenen Kosten deutlich.

Illustration eine Bildschirms der passwortgeschützten Code anzeigt.
Ersten Faktor absichern mit starken Passwörtern dank Specops Password Policy!

Autor

Torsten Krüger

Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.

(Zuletzt aktualisiert am 11/12/2024)

Zurück zum Blog