www.belgium.be Logo of the federal government

Besserer Schutz von Konten mit Multi-Faktor-Authentifizierung

Paper
2FA

Ihr Passwort schützt Sie nicht so gut, wie Sie denken. Vor allem, wenn jemand Ihr Passwort erraten kann, indem er sich Ihre sozialen Medien ansieht. Aber selbst wenn Sie ein komplexes Passwort haben - oder sogar einen Passwort-Manager -, haben Cyberkriminelle immer noch Möglichkeiten, hinter Ihr Passwort zu kommen. Sobald sie im Besitz Ihrer Daten sind, können Sie sich von Ihrem Geld und möglicherweise auch von Ihrer Identität verabschieden.

Was brauchen Sie also? Mehr als ein Passwort! Eine zweite Methode, um Ihre Identität zu überprüfen.

Warum muss mein Unternehmen die Multifaktor-Authentifizierung (MFA) aktivieren?

Durch die Implementierung von MFA wird es Cyberkriminellen erschwert, auf Informationssysteme wie Fernzugriffstechnologie, E-Mail und Abrechnungssysteme zuzugreifen, selbst wenn Passwörter durch Phishing-Angriffe oder auf andere Weise kompromittiert worden sind.

Ein zusätzlicher Schritt, der über die Verwendung eines Passworts hinausgeht, kann Ihr Unternehmen, Ihre Online-Einkäufe, Bankkonten und sogar Ihre Identität vor potenziellen Hackern schützen.

Verschiedene Namen für MFA:

  • Mehrstufige Authentifizierung
  • Zweistufige Überprüfung
  • Verifizierung in 2 Schritten
  • Zwei-Faktor-Authentifizierung
  • 2FA

Was ist Multifaktor-Authentifizierung (MFA)?

MFA ist ein mehrstufiger Ansatz zur Sicherung von Online-Konten und der darin enthaltenen Daten. Wenn Sie MFA mit Online-Diensten (z. B. E-Mail) verwenden, müssen Sie eine Kombination aus zwei oder mehr Authentifizierungsmethoden verwenden, um Ihre Identität nachzuweisen, bevor Ihnen der Zugriff gewährt wird. Die Verwendung von MFA schützt Ihr Konto nicht nur durch einen Benutzernamen und ein Passwort. 

Unternehmen und Organisationen, die MFA einsetzen, sind deutlich weniger gefährdet, gehackt zu werden. Warum? Selbst wenn Cyberkriminelle in den Besitz eines Faktors (z. B. des Passworts) gelangen, können sie den zweiten Schritt der Authentifizierung nicht erfüllen, was sie letztendlich daran hindert, auf das Konto zuzugreifen.

Online-Dienste wollen sicherstellen, dass Sie derjenige sind, für den Sie sich ausgeben, und - was noch wichtiger ist - sie wollen verhindern, dass Unbefugte auf Ihr Konto und Ihre Daten zugreifen. Deshalb unternehmen sie einen Schritt zur doppelten Überprüfung Ihrer Identität. Anstatt nur nach etwas zu fragen, das Sie kennen (z. B. ein Passwort oder eine PIN) - die wiederverwendet, leichter geknackt oder gestohlen werden können -, können sie überprüfen, ob Sie es sind, indem sie Sie nach einem anderen unabhängigen Datenelement fragen:

  • Etwas, das Sie haben (Telefonanruf, Authentifizierung über eine Anwendung)
  • Etwas, das Sie sind (Fingerabdruck oder Gesichtsscan)

Wie kann ich MFA einschalten?

Jedes Unternehmen sollte sicherstellen, dass alle Zugriffe aus dem Internet auf Geschäftsanwendungen obligatorisch über eine Form der MFA erfolgen.

Jetzt, da Sie wissen, was es ist, werden Sie überall Fragen zur Multifaktor-Authentifizierung sehen. Stellen Sie also sicher, dass Sie sie aktivieren, wenn sie verfügbar ist. Beginnen Sie mit den Sicherheitseinstellungen für die am häufigsten verwendeten Konten. Möglicherweise sehen Sie die Optionen zur Aktivierung der MFA als "Zwei-Faktor-Authentifizierung", "Multifaktor-Authentifizierung" oder "Zwei-Schritt-Faktor-Authentifizierung". Es gibt viele Möglichkeiten, nach einer zweiten Form der Authentifizierung zu fragen. 

Technisch gesehen ist die Integration von Microsoft oder Google MFA keine so schwierige Aufgabe. Fast jeder Softwareanbieter, dem Cybersicherheit auch nur ein bisschen am Herzen liegt, bietet die Option für MFA kostenlos an. Wenn sich Ihr Unternehmen für die Integration von Hardware-Tokens entscheidet, müssen Sie sich damit auskennen, da diese Einstellungen für jede Anwendung etwas anders sind.

Beliebte Formen der MFA sind:

  • Anwendungsbasierte MFA ("Authentifizierungs-App")
  • Verifizierung per E-Mail, Code per SMS oder Telefonanruf
  • Überprüfung von Fingerabdrücken oder Gesichtsscan

Sie müssen unbedingt dafür sorgen, dass bei allen Zugriffen aus dem Internet auf Geschäftsanwendungen eine Multi-Faktor-Authentifizierung obligatorisch ist.

Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter innerhalb des Unternehmens oder der Organisation, die:

  • Zugangsdaten für den Zugriff auf Unternehmensanwendungen (E-Mail, Buchhaltung,...) haben
  • Zugriff auf die Organisation von außen (VPN-Verbindungen, Remote Desktop (RDS,...)
  • Sie haben Administratorrechte, um Dinge zu konfigurieren oder zu implementieren, z. B. Zugriff auf das Verwaltungsmodul für DNS, Active Directory, Firewall- und Switch-Konfiguration, das Verwaltungsmodul für Ihren Cloud- oder Hosting-Anbieter.

Die folgende Liste ist eine nicht erschöpfende Auflistung von Software, bei der die Multifaktor-Authentifizierung (MFA) am besten aktiviert wird.

Wie MFA in der Betriebstechnologie (OT) und im Internet der Dinge (IoT) eingesetzt werden kann

Bei den Nutzern handelt es sich in der OT- und IoT-Umgebung zunehmend nicht nur um Einzelpersonen, sondern auch um Geräte und Dienste, für die einige der MFA-Optionen nicht praktikabel sind. MFA steht im Gegensatz zu der erwarteten Benutzerfreundlichkeit.

Authentifizierungsfaktoren wie Fingerabdrücke, Gesichtserkennung, Netzhautscans, Sprach- und Unterschriftserkennung sind für Machine-to-Machine und IoT nicht möglich, könnten aber vor Ort von Ingenieuren oder Bedienern verwendet werden.

Andere, so genannte adaptive Authentifizierungsoptionen sind jedoch in der OT/IoT-Umgebung nützlich. Diese sind:

  • Standort: Erfolgt der Zugriff von einem bekannten Standort aus? Wechselt ein Benutzer von einem privaten zu einem öffentlichen Netz?
  • Zeit: Ist das Zeit- und Datenmuster für den Zugriff während der erwarteten Arbeitszeiten geeignet?
  • Gerät: Kommt der Zugriff von einem bekannten Gerät?

Wie lässt sich die adaptive Authentifizierung in einer OT-Umgebung nutzen und integrieren?

  • Standort: Die Bluetooth-Fähigkeit eines Handheld-Geräts und die damit verbundene Authentifizierung können den Standort einer Person in Bezug auf ein Gerät bestätigen. Bluetooth hat einen begrenzten Radius, daher müssen sich die beiden Geräte innerhalb dieses Radius befinden.
  • Zeit: Von den Mitarbeitern wird erwartet, dass sie während ihrer normalen Arbeitszeiten verbunden sind, und Geräte mit regelmäßigen Aktualisierungszyklen haben in der Regel gleichbleibende Kommunikationsmuster. Änderungen an diesen Mustern sind ein Indiz. Eingriffe an Geräten werden jedoch in der Regel außerhalb der Arbeitszeit durchgeführt.
  • Gerät: Stellt das Gerät eine Verbindung her oder wird es über eine andere Adresse weitergeleitet? Verwenden Sie in Netzwerken mit Netzwerkzugangskontrolle (NAC) immer Zoning und bestätigen Sie, dass die MAC-Adresse mit dem Gerät übereinstimmt.

Auch wenn nicht alle MFA-Techniken für den OT-Bereich und die Maschine-zu-Maschine-Identifizierung geeignet sind, so sind sie doch ein guter Schritt, vor allem um diese Hintertüren gegen Täuschung zu schützen.