Multifaktor-Authentifizierung

Zwei-Faktor-Authentifizierung - sicher aber nicht sicher genug

08.02.2019
Von 
Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint.

Kreative Angreifer nicht unterschätzen

Zu den Möglichkeiten, 2FA zu kompromittieren, kommen noch andere Aspekte hinzu: Es steht immer mehr Rechenleistung für immer weniger Geld zur Verfügung, so dass Angriffsformen wie Brute Force mit Hilfe gemieteter Rechenleistung kein strukturelles Problem mehr für technisch versierte Kriminelle darstellen. Auf diese Weise wird natürlich nicht nur ein einzelnes Postfach angegriffen, sondern die Cyberkriminellen können viele Postfächer gleichzeitig attackieren. Nicht selten kommen dabei auch Kennwörter als Basis für eine solche Attacke zum Einsatz, die die Kriminellen bei früheren Angriffen oder bei anderen Plattformen erbeutet oder schlicht auf zwielichtigen Marktplätzen erworben haben.

Diese Vorgehensweisen zeigen, dass die Cyberkriminellen kreativ bleiben, wenn es darum geht, Geld, geistiges Eigentum oder persönliche Daten der Anwender zu stehlen. Insofern müssen die Unternehmen und Organisationen gleichfalls am Ausbau Ihrer Sicherheit arbeiten, um mit potenziellen Angreifern Schritt halten zu können. Dies gilt nicht nur für die Schnittstellen zwischen interner Unternehmens-IT und der externen Welt wie dem Web, sondern auch für die interne Cybersicherheit der Organisationen.

Es gilt daher unbedingt auch zusätzliche Mechanismen zu installieren, um kompromittierte Accounts automatisch erkennen zu können und ebenso automatisch Gegenmaßnahmen einzuleiten. Ziel dieser Maßnahmen muss es sein, das Office-365-Konto in einen gebrauchsfähigen Zustand zurückzuversetzen und gegen weiteren Missbrauch zu schützen. Denn ist ein Account von Hackern erst geknackt, haben sie oft leichtes Spiel, andere Mitarbeiter mittels echt erscheinender Mails zu manipulieren. Dies gilt insbesondere dann, wenn es sich um die Office-365-Konten von Entscheidern und Führungskräften handelt. Denn wer widerspricht schon seinem - vermeintlichen - CFO, wenn es darum geht, die erste Tranche für eine - ebenso vermeintliche - Firmenübernahme zu bezahlen?

Diese Schutzmaßnahmen müssen dabei eine ganze Reihe von Faktoren berücksichtigen, um zum einen den versprochenen Schutz zu bieten und zum anderen den Anwender in seiner täglichen Arbeit nicht einzuschränken. Außerdem müssen diese Security-Lösungen gut skalieren, stets auf dem neuesten Stand und hochflexibel sein. Im Zusammenspiel mit Office 365 sind hier Cloud-basierte Lösungen eine gute Wahl.

Doch nach welchen Kriterien kann die Analyse sinnvoll erfolgen? Schließlich kann man ja nicht nach jeder Mail jeden Absender anrufen und fragen, ob diese Nachricht wirklich von ihm stammt. Und eine Rückfrage per E-Mail ist allein schon deshalb sinnlos, weil der Angreifer diese abfangen und umgehend beantworten kann.

Sicherheit durch Kontextbezug

Insofern muss die Sicherheitslösung in der Lage sein, beispielsweise kontextbezogene Daten zu analysieren, wie der Standort des Benutzers, das Gerät, Netzwerk und Anmeldezeit. Ist der CFO gerade unterwegs und schreibt er wirklich typischerweise aus dem Urlaub? Versucht er wirklich, sich innerhalb kurzer Zeit etliche Male an seinem Account anzumelden? Das ist im Übrigen ein Hinweis auf eine Brute-Force-Attacke auf dieses Konto.

Aber auch andere technische Aspekte sollten in dieser Analyse berücksichtigt werden, beispielsweise die IP-Adresse, von der der Zugriff auf Office 365 erfolgt. Ist diese vertrauenswürdig? Und wie groß ist die geografische Distanz zwischen der IP-Adresse der letzten und der jetzt erfolgten Anmeldung? Ein zu geringer Zeitunterschied zwischen solchen Log-In-Versuchen ist doch oft ein eindeutiger Hinweis, hier umgehend genauer auf die weiteren Vorgänge auf diesem Account zu achten.

Auf Basis dieser und anderer Aspekte entsteht eine detaillierte Analyse des User-Verhaltens, die, je mehr Details sie enthält, immer schwieriger zu imitieren ist und damit Anomalien sehr schnell auffällig werden lässt.

Allerdings muss die Lösung natürlich auch über individuelle Anpassungsmöglichkeiten wie Schwellenwerte verfügen, um die Zahl der Fehlalarme zu minimieren. Ebenfalls von entscheidender Bedeutung ist die Fähigkeit der Security-Plattform zu lernen, um neue Verhaltensweisen genauso korrekt zu erkennen wie etwa neue Bedrohungslagen und geschickte Hacker.

Faktor Mensch berücksichtigen

Zusammengenommen bedeuten 2FA/MFA und ergänzende Tools zur automatisierten Erkennung kompromittierter Office-365-Konten eine deutliche Verbesserung der Sicherheit im Unternehmen. Über eines sollten sich die IT-Verantwortlichen aber dennoch im Klaren sein: Das einfachste Ziel für einen Angreifer ist der Mensch, darum müssen alle technischen Maßnahmen durch wiederkehrende Schulungen und Sensibilisierung der Mitarbeiter für aktuelle Bedrohungen ergänzt werden. Nur dann können die technischen Lösungen ihr volles Potenzial entfalten. (hal)