Multifaktor-Authentifizierung

Zwei-Faktor-Authentifizierung - sicher aber nicht sicher genug

08.02.2019
Von 
Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint.
Um Konto-Logins wirksam vor Hackern zu schützen, sollte eine Multifaktor-Authentifizierung (MFA) in Unternehmen zum Standard gehören. Doch reicht diese Sicherheitsstrategie aus, um Angreifern den Zugriff auf vertrauliche Daten unmöglich zu machen?
Eine Zwei-Faktor-Authentifizierung ist nur ein Baustein in einer ausgeklügelten Sicherheitsstrategie.
Eine Zwei-Faktor-Authentifizierung ist nur ein Baustein in einer ausgeklügelten Sicherheitsstrategie.
Foto: Golubovy - shutterstock.com

Microsoft Office 365 ist weltweit ein Erfolgsmodell. Daher ist es kein Wunder, dass auch Cyberkriminelle die Microsoft-Cloud-Plattform als einen Weg betrachten, ihren dunklen Machenschaften nachzugehen und andere Menschen zu betrügen. Viele Unternehmen haben dabei längst begriffen, dass die herkömmliche Anmeldung mit Angabe der E-Mail-Adresse und des Passworts keineswegs sicher ist. Entsprechend nutzen immer mehr Organisationen die Zwei-Faktor-Authentifizierung (2FA, auch Multifaktor-Authentifizierung, MFA).

Hier melden sich die Anwender wie bisher am System an. Das System sendet dann beispielsweise eine SMS mit einem Zahlencode an eine hinterlegte Handynummer. Diesen muss der Nutzer ebenfalls als zweiten Faktor bei der Anmeldung eingeben, sonst hat er keinen Zugriff auf seinen Office-365-Account.

Als Konzept hat sich die MFA bewährt und die Sicherheit der Microsoft-Cloud-Konten signifikant verbessert. Da die bisherige Erfahrung jedoch zeigt, dass es sich überaus schwierig und komplex gestaltet, die MFA technisch zu knacken, suchen Angreifer eher nach Möglichkeiten, diese zu umgehen. Oder sie versuchen, direkt die Plattform eines 2FA-/MFA-Anbieters zu kompromittieren, um wichtige Informationen, beispielsweise die verwendeten Algorithmen zu stehlen. So geschehen bei RSA im Jahre 2011.

Systemkommunikation als Schwachstelle

Dennoch steigt auch die Zahl direkter Angriffe. Eine Möglichkeit hierfür ist ein zweistufiger Angriff. Hierbei wird zunächst das Smartphone des Nutzers, das typischerweise für einen mobilen Mailzugriff verwendet wird, in einem ersten Angriff kompromittiert. Sobald dann der Nutzer von unterwegs versucht, seine E-Mails abzurufen, werden sowohl die Zugangsdaten als auch der Zahlencode, der als zweiter Faktor per SMS gesendet wird, abgegriffen. Da der Zugriff auf den Mailaccount sowie die Verifizierung durch den zweiten Faktor auf demselben (in diesem Falle kompromittierten) Gerät erfolgen, würde der 2FA-Grundsatz ausgehebelt.

Ein weiteres Problem ist, dass E-Mail ein zentraler Bestandteil von Microsoft Office 365 ist und es Möglichkeiten gibt, sich mit Exchange Online (als Teil von Office 365) und Exchange zu verbinden, die nicht durch eine Zwei-Faktor-Authentifizierung abgedeckt sind. Dies ist insbesondere dann der Fall, wenn die moderne Authentifizierung nicht systemübergreifend implementiert oder verfügbar ist.

Unternehmen mit hybriden E-Mail-Konfigurationen (d. h. mit lokalen Exchange-Servern), die Anwendungen verwenden, die über Exchange Web Services (EWS) oder ActiveSync verbunden sind, sind möglicherweise ebenfalls nicht durch eine Multi-Faktor-Authentifizierung geschützt beziehungsweise können sie "per Design" nicht unterstützen. Diese Lücken können von Angreifern genutzt werden, um sich mit dem Office-365-E-Mail-Account eines Benutzers zu verbinden, um vertrauenswürdige Konten zu verwenden und Angriffe zu starten.

Eine andere Vorgehensweise ist die Attacke auf die Kommunikation zweier Maschinen oder Systeme. Hier gibt es in der Regel keine MFA. Hat es ein Hacker geschafft, die Kommunikation zweier Maschinen beziehungsweise Systeme zu infiltrieren, kann er sich in der Unternehmens-IT fortbewegen und auf diesem Weg potenzielle Opfer sehr schnell und einfach identifizieren und dann auch deren E-Mail-Accounts kompromittieren.

Dies sind nur einige Beispiele, die verdeutlichen sollen, dass MFA trotz deutlicher Verbesserung der Sicherheit auch keinen hundertprozentigen Schutz garantieren kann - und es gibt noch eine ganze Reihe weiterer Angriffsszenarien auf MFA.