Sie nutzen sicherlich schon Multifaktor-Authentifizierung (MFA) bei Ihrer Arbeit und das Prozedere ist Ihnen längst vertraut: Zuerst geben Sie Ihr Passwort ein. Dann fordert die betreffende Website oder App Sie zur weiteren Authentifizierung auf, zum Beispiel über einen Code, den Sie per SMS auf Ihr Smartphone erhalten oder dort in einer Authenticator-App erzeugen. Diesen geben Sie ein und erhalten Zugriff auf das gewünschte System. MFA mag uns noch neu erscheinen, doch die Technik gibt es schon eine ganze Weile.
Wir möchten im Folgenden den Werdegang der MFA beschreiben und wohin sie sich aktuell für einen noch besseren Schutz weiterentwickelt.
1990er- bis 2000er-Jahre: 2FA kommt – und wird benutzerfreundlich
MFA und ihre Vorläufertechnik 2FA (Zwei-Faktor-Authentifizierung) existieren in verschiedenen Varianten schon seit gut 20 Jahren. Die Urheberschaft der 2FA ist umstritten; AT&T beansprucht für sich, die Technik in den Neunzigerjahren erfunden zu haben. Tatsache ist: Eine nennenswerte Rolle spielte 2FA erst ab Mitte der 2000er-Jahre. Verbraucher fremdelten lange mit der Technik; sie fanden sie unkomfortabel und waren davon überzeugt, die einfache Authentifizierung über Passwörter sei sicher genug. Während Großunternehmen und stark sicherheitsbewusste Organisationen auf ein kryptografisches Verschlüsselungsverfahren namens RSA setzten, bei dem der Benutzer-Login über zwei separate Authentifizierungstoken bestätigt wurde, war kleineren Unternehmen diese Technik damals noch zu teuer und zu kompliziert. In Schwung kam die Entwicklung von MFA mit der Verbreitung von Smartphones Mitte der 2000er-Jahre. Die kleinen Geräte waren nicht nur superpraktisch, sondern förderten auch die Produktivität, weshalb sie bald im Arbeitskontext Einzug hielten. Bald etablierten sich in Unternehmen BYOD-Konzepte (Bring Your Own Device), in deren Rahmen Mitarbeiter das eigene Mobilgerät zu Geschäftszwecken nutzen konnten. Durch die flächendeckende Verbreitung von Smartphones im Privat- und Arbeitsleben hatten nun viele Menschen Zugang zu komfortableren 2FA-Lösungen, die sie online besser absicherten. Die Authentifizierungscodes ließen sich per SMS oder E-Mail empfangen, was den Benutzerkomfort von 2FA deutlich steigerte.2000er- bis 2010er-Jahre: Große Hackerangriffe beschleunigen die Verbreitung von 2FA und MFA
Gegen Ende der ersten und Anfang der zweiten Dekade dieses Jahrhunderts öffneten sich die Verbraucher und Unternehmen der Nutzung von 2FA und MFA per Smartphone. In just derselben Zeit warfen auch die ersten großen Hackerangriffe und Datenlecks düstere Schatten auf die Themen Onlinesicherheit und Datenschutz. In den USA kam es zu verschiedenen großangelegten Angriffen auf Unternehmen, Privatpersonen, den Militärsektor und Regierungsinstitutionen; zwei besonders spektakuläre Fälle machten damals Schlagzeilen: Sony Pictures Entertainment und das United States Office of Personnel Management (OPM). Anfang 2016 äußerte der damalige US-Präsident Obama in einem Editorial für das Wall Street Journal den Gedanken, Passwörter zum Schutz von Verbrauchern und Unternehmen alleine seien nicht mehr ausreichend. Hintergrund dieser Aussage war, dass neun von zehn US-Amerikaner das Gefühl hatten, die Kontrolle über ihre eigenen Daten zu verlieren. Der Präsident initiierte eine Sensibilisierungskampagne namens #Turnon2FA; sie sollte die Bevölkerung dazu bewegen, sich online besser zu schützen. Sehr schnell kamen nun auch Smartphones auf den Markt, die mit Funktionen für die biometrische Authentifizierung – Fingerabdruck oder Gesichtserkennung – ausgestattet waren. Der Umstand, dass es nun verschiedene Wege gab, sich zu authentifizieren, trieb auch die Entwicklung der MFA weiter voran.„Evolutionsdruck“ durch immer neue Cybergefahren
Im Unterschied zur 2FA, die auf nur zwei Formen („Faktoren“) der Authentifizierung beruht, bestätigt MFA Ihre Identität normalerweise mit drei Faktoren: etwas, das Sie wissen (wie die Antwort auf eine bestimmte Frage), etwas, das Sie besitzen (den Code aus einer Authentifizierungs-App auf Ihrem Smartphone) und etwas, das Sie sind (Ihr Fingerabdruck, Ihr Gesicht oder Ihre Stimme). Sichern insgesamt drei Faktoren den Zugang zu Ihren Konten ab, so kann ein Hacker, der sich als Sie ausgibt, dort nur schwer unbemerkt eindringen. MFA bietet Unternehmen viel besseren Schutz, als Passwörter das alleine könnten. Doch ein Patentrezept ist sie leider auch nicht. Wenn beispielsweise im Darkweb bereits kompromittierte Daten eines Benutzers kursieren und ein Hacker an diese gelangt, erleichtert ihm das sein Tun beträchtlich. Bekanntlich suchen viele Kriminelle Social Media gezielt nach persönlichen Informationen ab, die ihnen den Einbruch in das Konto der betreffenden Person ermöglichen könnten. Bestimmte Authentifizierungsmethoden weisen auch Sicherheitslücken auf, so zum Beispiel das SIM-Swapping: Dabei kapern Hacker eine fremde Mobilfunknummer und nutzen diese für SMS-Authentifizierungen von Transaktionen. Das Opfer bekommt davon erst einmal nichts mit. Genauso gefährlich ist es, wenn ein Smartphone ohne eine biometrische Sperre durch Fingerabdruck oder Gesichtserkennung gestohlen wird. Über ein solches Gerät in die Konten des Opfers einzudringen, ist für den Dieb ein Leichtes. Vorausgesetzt ein Hacker hat die entsprechenden Tools, lässt sich inzwischen leider sogar die biometrische Authentifizierung faken. Unterm Strich heißt all das: Damit Unternehmen weiterhin geschützt sind, muss MFA sich weiterentwickeln. Die MFA als Wegbereiterin für eine passwortlose Zukunft Die Weiterentwicklung der MFA öffnet auch die Tür in eine passwortlose Zukunft. Bevor es MFA gab, war in Unternehmen nur der Umgang mit Passwörtern gang und gäbe. Benutzer, die dabei nachlässig agierten, setzten ihre Zugangsdaten dem Diebstahlrisiko und auf diesem Weg das gesamte Unternehmen der Gefahr von Datenschutzverletzungen aus. Je häufiger Mitarbeiter MFA nutzten, desto stärker machten sie die Erfahrung, dass dieser Add-on-Schutz für ihre Passwort-Logins ja eigentlich kein Hexenwerk ist und durchaus komfortabel sein kann. Auf vielen Smartphones ließ sich beispielsweise einstellen, dass der per SMS eingehende MFA-Code automatisch in die MFA-Eingabemaske eingegeben wird. Authenticator-Apps konnte man einfach öffnen, den darin aktiven Code kopieren und ihn direkt in die MFA-Eingabemaske einfügen. Noch einfacher war es mit der biometrischen Authentifizierung: einfach den Finger auflegen, fertig. Mit der Zeit wurden all diese Extraschritte nicht mehr als Hindernis empfunden und der Schutz gegen Cybergefahren nahm sukzessive zu. Inzwischen sind Unternehmen und ihre Mitarbeiter im Umgang mit MFA routiniert. Ein guter Ausgangspunkt für die Weiterreise zum nächsten Schritt: der passwortlosen Authentifizierung. Wenn Sie beispielsweise die MFA mit einem sicheren Authentifizierungsprotokoll wie FIDO2 koppeln, können Sie auf diesem Weg Passwörter ersetzen oder eliminieren. Auch Ihre Benutzer können sich mit FIDO2 ganz einfach mit den ihnen nun vertrauten Methoden, etwa biometrisch, bei Onlineservices authentifizieren – per Mobilgerät oder Desktop. Ein Grund, warum ihnen die passwortlose Authentifizierung genauso einfach und reibungslos vorkommen wird wie die MFA. Der Vorteil: Sie können dabei auf vorhandenes Wissen zurückgreifen und haben nicht den Eindruck, bei null anfangen zu müssen. Ihr Unternehmen wiederum hat Gewissheit, dass seine Daten sicherer sind.Wie LastPass MFA für die Sicherheit Ihres Unternehmens sorgt
Als Reaktion auf hochgefährliche Bedrohungen, wie etwa Ransomware-Angriffe sie darstellen, entwickelt LastPass seine adaptive MFA-Technik immer weiter. MFA sichert Ihr Unternehmen auch dann ab, wenn sich die Bedrohungslandschaft weiter verändert. Hier sind ihre Vorteile:- Adaptive Authentifizierung: Um die Identität eines Benutzers anhand mehrerer Faktoren nachzuweisen, kombiniert LastPass MFA biometrische und kontextuelle Informationen. Dies bietet bestmöglichen Schutz im Falle neu auftauchender Bedrohungen.
- Passwortfreies Arbeiten: Ihre Mitarbeiter haben über LastPass auf ihrem Mobilgerät oder Desktop Zugang zu ihrer Arbeit, ohne dafür ein Passwort zu brauchen.
- Mehrere Methoden: LastPass lässt Ihnen bei der Authentifizierung die Wahl. Sie können auf Benutzer- oder Gruppenebene ganz bestimmte MFA-Faktoren konfigurieren und anwenden und so rundum für Sicherheit sorgen.
- Einfache Administration: Mit LastPass kann Ihr IT-Team die MFA ohne großen Aufwand für verschiedenste Zugriffspunkte installieren: Cloud-Apps, Virtual-Private-Network-Verbindungen (VPN), Workstations, Identitätsanbieter und mehr. So kann Ihr Unternehmen peu à peu eine Zero-Trust-Architektur aufbauen und seine allgemeine Sicherheit stärken.
