Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.
Home / Identity and Access Management 101 / Anforderungen an Multi-Faktor-Authentifizierungslösungen (MFA)

Anforderungen an Multi-Faktor-Authentifizierungslösungen (MFA)

Bei der herkömmlichen kennwortbasierten Authentifizierung werden nur die Anmeldedaten eines Benutzers (Benutzername und Kennwort) für den Zugriff auf ein Unternehmenssystem verwendet. Diese „Ein-Faktor“-Authentifizierungsmethode ist weder sicher noch zuverlässig, da Angreifer Kennwörter leicht stehlen oder kompromittieren können, um unbefugten Zugriff auf das Konto oder Gerät eines autorisierten Benutzers zu erhalten. Sie können dann viele Arten von Angriffen wie Phishing, Credential Stuffing, Brute-Force-Angriffe, Wörterbuch-, Keylogger- und Man-in-the-Middle-Angriffe (MitM) durchführen.

Wie können Sie also Ihr Unternehmen vor diesen Angreifern schützen?

Eine der besten Alternativen zur kennwortbasierten Sicherheit ist die Multi-Faktor-Authentifizierung (MFA).

Bei der MFA werden zur Authentifizierung nicht nur die Anmeldedaten des Benutzers verwendet. Stattdessen wird der Benutzer aufgefordert, mindestens einen weiteren Authentifizierungsfaktor anzugeben, um seine Identität zu verifizieren. Erst wenn das System alle Faktoren überprüfen kann, erlaubt es dem Benutzer den Zugriff auf das System. So trägt die MFA dazu bei, sicherzustellen, dass ein Benutzer wirklich derjenige ist, der er vorgibt zu sein. Außerdem bietet sie im Vergleich zu reinen Kennwortsystemen einen stärkeren und zuverlässigeren Schutz vor Cyberbedrohungen.

Aber es gibt viele verschiedene MFA-Lösungen. Wie wählen Sie die richtige für Ihr Unternehmen?

Nutzen Sie die nachstehende Liste als Leitfaden für Ihre Recherchen und Investitionen.

1. Authentifizierungsmethoden

Die meisten modernen MFA-Systeme verlangen von den Benutzern die Verwendung von Authentifizierungsfaktoren aus mindestens zwei von drei unterschiedlichen Kategorien:

  • Etwas, das der Benutzer „weiß“ (Wissen)
  • Etwas, das der Benutzer „hat“ (Besitz)
  • Etwas, das der Benutzer „ist“ (Inhärenz)

Ihre MFA-Lösung sollte es für Benutzer nicht komplizierter machen, auf ihre Unternehmenslösungen zuzugreifen. Dazu müssen sie in der Lage sein, die Faktoren zu nutzen, mit denen sie bereits vertraut sind, unabhängig davon, ob diese Faktoren auf Wissen, Besitz oder Inhärenz beruhen.

Hier sind einige Authentifizierungsmethoden, die Sie ausprobieren können.

Push-Nachrichten-basierter, nativer, mobiler Einmalkennwort-Authentifikator (One-Time Password, OTP)

Ein Push-Nachrichten-basiertes, natives, mobiles Authentifikatorsystem mittels Einmalkennwort (OTP) sendet dem Benutzer eine Textnachricht mit einem numerischen Code, den er eingeben muss, bevor er Zugriff auf das Konto oder die Anwendung erhält.

VORTEILE
Ein OTP ist ein „einmaliger“ Authentifizierungsfaktor. Da es nur einmal verwendet werden kann, können Bedrohungsakteure es nicht wiederverwenden, wenn ein Benutzer es bereits verwendet hat. Dies erhöht die Sicherheit und erschwert es dem Angreifer, in private Konten einzudringen. Außerdem muss keine spezielle Software installiert werden, und die meisten Benutzer sind bereits mit Textnachrichten vertraut, was sie zu einem bequemen und benutzerfreundlichen Authentifizierungsmechanismus macht.

NACHTEILE
Der Nachteil des mobilfunkbasierten OTP besteht darin, dass ein Angreifer bei einem Diebstahl des Geräts das OTP abfangen kann, um Konten zu kompromittieren. Der Datenschutz und die Sicherheit von SMS-Nachrichten werden von den Mobilfunknetzbetreibern nicht garantiert, sodass Bedrohungsakteure sie zu böswilligen Zwecken abfangen können. Darüber hinaus können sie auch OTP-Nachrichten abfangen, indem sie Malware auf dem Gerät eines Benutzers installieren, insbesondere wenn der Benutzer das Gerät in einem offenen oder ungesicherten Netzwerk verwendet.

Zeitbasierte Offline-Verifizierungscodes (Offline time-based verification codes, TOTP)

Zeitbasierte Verifizierungscodes (TOTP) sind eine Art der OTP-Authentifizierung, bei der ein temporärer Passcode mithilfe der aktuellen Tageszeit als Authentifizierungsfaktor generiert wird. Dieser Passcode läuft nach einer bestimmten Zeit ab und kann nicht wiederverwendet werden, selbst wenn er von einem unbefugten Benutzer abgefangen wird.

VORTEILE

TOTP ist relativ einfach und kostengünstig zu implementieren und erfordert nicht immer neue Hardware. Die Benutzer benötigen lediglich eine Authentifizierungs-App auf ihrem Gerät.

NACHTEILE

Natürlich ist das System nicht perfekt. Wenn der Benutzer sein Gerät verliert oder verlegt oder wenn der Akku des Geräts leer ist, kann er den TOTP-Code nicht empfangen. Außerdem teilen sich die Authentifizierungs-App und der Server einen geheimen Schlüssel. Wenn es einem Angreifer gelingt, diesen Schlüssel zu klonen, kann er neue gültige TOTP-Codes generieren und das Konto eines autorisierten Benutzers kompromittieren. Einige TOTP-Systeme sperren Benutzer, wenn sie zu viele Anmeldeversuche unternehmen, etwa weil der Code vor der Eingabe abläuft.

Hardware-Token

Ein Hardware-Token ist ein kleines physisches Gerät, das Benutzern den Zugriff auf ein bestimmtes Konto oder eine bestimmte Anwendung ermöglicht. Der Yubico YubiKey ist ein Hardware-Token, der starke Authentifizierungssicherheit für verschiedene Apps und Online-Services bietet. Dieser schlüsselförmige Anhänger wird an das Gerät des Benutzers angeschlossen, um die Authentifizierung abzuschließen, nachdem der Benutzer sein Kennwort eingegeben hat. Andere Arten von Hardware-Token sind USB-Token, Bluetooth-Token und Smartcards.

VORTEILE

Die meisten Token kombinieren eine hardwarebasierte Authentifizierung mit einer Verschlüsselung mit öffentlichem Schlüssel, wodurch sie schwer zu kompromittieren sind. Um in ein System einzubrechen, muss ein Angreifer den Token physisch stehlen, was nicht immer einfach ist, wenn der Benutzer vorsichtig ist. Viele Hardware-Token funktionieren auch ohne Internetverbindung, sodass Angriffe aus dem Internet ausgeschlossen sind.

Hardware-Token können Remote-Angriffe verhindern und sind geeignet, wenn Sie ein Hochsicherheitssystem benötigen, das eine Netzwerkisolierung erfordert. Einige unterstützen auch Password Manager für zusätzlichen Benutzerkomfort. Außerdem können die Benutzer den Token von ihren Konten trennen, um eine unbefugte Nutzung zu verhindern.

NACHTEILE

Ein möglicher Nachteil ist, dass der Token verloren gehen oder gestohlen werden kann, sodass er ersetzt werden muss. Dies kann die Kosten für das Unternehmen erhöhen. Wenn der Token für einen Angriff verwendet wird, kann dieser sehr schwerwiegend sein, wenn der Benutzer denselben Token für den Zugriff auf mehrere Konten verwendet.

Software-Token

Ein Software-Token ist ein digitaler Authentifizierungsschlüssel. Dazu ist eine App oder Software erforderlich, die auf einem physischen Gerät, z. B. einem Smartphone, installiert ist. Entweder wird ein einmalig zu verwendender Authentifizierungscode an das Gerät gesendet, oder es sind biometrische Daten wie Fingerabdruckscans oder Gesichtserkennung zur Authentifizierung erforderlich.

VORTEILE

Wie Hardware-Token erhöhen auch Software-Token die Sicherheit und begrenzen die Möglichkeit des unbefugten Zugriffs. Außerdem sind sie einfach zu bedienen, wartungsarm und preiswerter als Hardware-Token. Viele sind sogar kostenlos.

NACHTEILE

Ein Software-Token hat jedoch auch seine Nachteile. Zum einen ist er anfällig für Remote-Cyberangriffe, da eine Internetverbindung und Software erforderlich sind. Wenn die Verbindung kompromittiert wird, könnte der Token bei der Speicherung oder Übertragung offengelegt werden. Aber trotz dieser Nachteile sind Software-Token immer noch ein großer Sicherheitsgewinn gegenüber reinen Kennwortsystemen.

Bevor Sie sich für eine MFA-Methode entscheiden, sollten Sie alle oben genannten Merkmale, Vor- und Nachteile berücksichtigen. Idealerweise sollten Sie sich für ein System wie OneLogin MFA entscheiden, das mehrere Authentifizierungsfaktoren verwendet und somit mehr Flexibilität bietet, z. B. durch:

  • OTP
  • E-Mail
  • SMS
  • Sprache
  • WebAuthn für biometrische Daten
  • Optionen von Drittanbietern wie Google Authenticator, Yubico, Duo Security und RSA SecurID

2. Zugriff auf Unternehmensnetzwerke

Ihre MFA-Lösung sollte nahtlos mit allen Ihren Netzwerkzugriffssystemen zusammenarbeiten. Wenn Sie z. B. virtuelle private Netzwerke (VPN) zur Verschlüsselung Ihrer Daten verwenden und Remote-Benutzern eine sichere Verbindung über das Internet zur Verfügung stellen, sollte die Lösung mit dem VPN funktionieren. Außerdem sollte sie das VPN „härten“, um Datensicherheitsverletzungen zu verhindern und sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.

Wenn Sie Secure Socket Shell (SSH) für den Zugriff auf Remote-Linux-Systeme oder das Remote Desktop Protocol (RDP) für die Remote-Verbindung zu anderen Computern verwenden, sollten Sie die MFA-Lösung auch für diese Systeme nutzen können. Außerdem sollte die Lösung in der Lage sein, Hackerangriffe auf diese Systeme zu verhindern.

Überprüfen Sie auch, ob Ihre VPN-Lösung mit dem Remote Authentication Dial-In User Service (RADIUS) integriert ist und über Standard-RADIUS-Protokolle direkt mit Ihrer MFA-Lösung kommuniziert.

Unterstützt die MFA-Lösung aktuelle (oder zukünftige) Netzwerkzugriffssysteme?

  • VPN-Zugriff
  • Wi-Fi-Zugriff
  • SSH-/RDP-Zugriff
  • RADIUS-Integration

3. Anwendungsintegration

Wenn Ihr Unternehmen über ein LDAP (Lightweight Directory Access Protocol) verfügt, sollte die MFA-Lösung damit integriert werden – entweder als Software-Agent, der in Ihrem lokalen Netzwerk installiert ist, oder über LDAP over SSL (LDAPS). Idealerweise sollte die Lösung auch eine enge Integration mit anderen Sicherheitsprodukten und Identitätslösungen bieten, um die Authentifizierung von Benutzern zu unterstützen und die Verwaltung der Netzwerksicherheit zu vereinfachen.

Entscheiden Sie sich außerdem für eine Lösung, die benutzerdefinierte Integrationen mit Anwendungen und Services unterstützt, sowohl lokal als auch in der Cloud. Sie sollte sich über eine API in diese Anwendungen integrieren lassen, ohne dass andere Lösungen entfernt oder ersetzt werden müssen.

Funktioniert die MFA-Lösung mit allen geschäftskritischen Anwendungen?

  • Integration mit Cloud-Anwendungen
  • Integration mit lokalen Anwendungen
  • Integration mit Personalverwaltungssystemen (Human Resource Management Systems, HRMS)
  • Verzeichnisintegration, wie Active Directory (AD) oder LDAP
  • Integration mit anderen Identitätslösungen wie Password Managern und Endpunktsicherheit

4. Flexible Authentifizierungsrichtlinien

Setzen Sie eine MFA-Lösung ein, mit der Sie granulare Richtlinien auf verschiedenen Ebenen konfigurieren können: pro Benutzer, pro Anwendung, pro Gruppe und auch global.

Richtlinien auf Anwendungs- und Gruppenebene sind wichtig, da Sie damit spezifische Sicherheitsrichtlinien für sensible Anwendungen oder Benutzer mit hohem Risiko konfigurieren können. Mit globalen Richtlinien können Sie den gewünschten Sicherheitsschwellenwert oder die Baseline unternehmensweit anwenden.

Prüfen Sie auch, welche Arten von Administratorkontrollen verfügbar sind. Die Lösung soll Administratoren dabei helfen, den Zugriff auf Unternehmenssysteme, -anwendungen und -daten besser zu kontrollieren, insbesondere in einer Zero-Trust-Sicherheitsumgebung.

Ermöglicht die MFA-Lösung flexible und anspruchsvolle Authentifizierungsrichtlinien auf granularer Ebene?

  • Granulare Richtlinien für verschiedene Identitäten, Anwendungen, Geräte, Browser, Gemeinschaften und Kontexte
  • Ermöglicht die Definition der Faktoren, die zur Überprüfung von Identitäten verwendet werden können
  • Anpassbarer Authentifizierungsablauf
  • Intuitive, benutzerfreundliche Administratorkonsole
  • Risikobasierter Datenfluss
  • Umfasst die Dokumentation von Richtlinienkonfigurationen

5. Unterstützung offener Standards

Die MFA-Lösung muss moderne offene Standards für Autorisierung und Authentifizierung unterstützen. Die Security Assertion Markup Language (SAML) beispielsweise ermöglicht es Benutzern, mit einem einzigen Satz von Anmeldeinformationen auf mehrere Webanwendungen zuzugreifen. Sie kann auch verwendet werden, um MFA zwischen verschiedenen Geräten zu konfigurieren. Wählen Sie eine Lösung, die mit SAML arbeitet, um eine zusätzliche Authentifizierungsmaßnahme für autorisierte Benutzer bereitzustellen.

In ähnlicher Weise bietet der OAuth 2.0-Standard (Open Authorization) einen Autorisierungsprozess, mit dem Benutzer nahtlos zwischen Services wechseln können. Darüber hinaus schützt er die Anmeldeinformationen des Benutzers. Er regelt jedoch nur die Benutzerautorisierung, nicht die Authentifizierung, so dass Systeme, die nur auf Kennwörtern basieren, immer noch anfällig für Cyberangriffe sind. MFA fügt einen oder mehrere Authentifizierungsfaktoren hinzu, um die Identität des Benutzers zu überprüfen, bevor der Zugriff gewährt wird, und die Gefahr von Angriffen zu minimieren.

Unterstützt die MFA-Lösung gängige, moderne Standards für sichere Verbindungen zu Webanwendungen?

  • SAML
  • OpenID Connect
  • OAuth 2.0

6. Unterstützung für Entwickler

Wenn Ihr Unternehmen bestehende Anwendungen eng mit MFA integrieren muss, muss die Lösung die erforderlichen Entwickler-Tools bereitstellen, einschließlich Application Programming Interfaces (APIs) und Software Development Kits (SDKs).

Bietet die MFA-Lösung Entwickler-Tools zur Anpassung und Integration mit benutzerdefinierten Anwendungen und Drittsystemen?

  • APIs für MFA-Registrierung und Lebenszyklusverwaltung
  • SDKs für alle wichtigen Plattformen und Programmiersprachen
  • Befehlszeile zur Anmeldung bei MFA und zur Verarbeitung von Push-Nachrichten
  • Client-Bibliotheken zum Anpassen des Aussehens und der Handhabung der MFA-Seite
  • Sandbox-Umgebung zum sicheren Testen von MFA in einer Nicht-Produktionsumgebung
  • Dokumentation, z. B. Entwicklerhandbücher

7. Unterstützung der Benutzer

Die MFA-Lösung sollte von allen autorisierten Benutzern einfach und mit minimaler Reibung bei der täglichen Arbeit genutzt werden können. Dazu gehören sowohl interne Benutzer wie Mitarbeiter (im Büro und remote) als auch externe wie Drittanbieter, Freiberufler, Lieferanten usw.

Die Lösung sollte auch dann gut funktionieren, wenn die Benutzer Einschränkungen haben, z. B. durch Behinderungen, fehlende intelligente Geräte oder schlechte Mobilfunknetze. Sie sollten in der Lage sein, sich selbst beim System anzumelden und ihre bevorzugten Authentifizierungsoptionen zu wählen. Und schließlich sollte es einfach sein, die Benutzer mit minimalem Widerstand einzubinden.

Unterstützt die MFA-Lösung alle autorisierten Benutzer, die auf Ihre Systeme und Daten zugreifen?

  • Mitarbeiter
  • IT-Administratoren
  • Drittanbieter
  • Partner/Kunden

Unterstützt sie außerdem alle Geräte, die diese Benutzer möglicherweise verwenden?

  • Desktop-PCs
  • Laptops
  • Mobilgeräte
  • Lokale und Remote-Geräte
  • Bring Your Own Device (BYOD)

8. Berichterstellung

Es ist wichtig, eine MFA-Lösung mit robusten Berichterstellungs- und Analysefunktionen zu wählen. Die Berichte ermöglichen Ihnen einen Überblick über Ihren Sicherheitsstatus und helfen Ihnen, Sicherheitslücken zu erkennen und Maßnahmen zur Verbesserung zu ergreifen. Berichte sind auch für Auditierungen und zum Compliance-Nachweis wichtig.

Bietet die MFA-Lösung Berichte, die es Ihnen ermöglichen, Ihre Sicherheit auf der Grundlage von Bedrohungsdaten zu verbessern und gleichzeitig Compliance-Anforderungen zu erfüllen?

  • Auslagerung von Autorisierungsereignissen in SIEM-Lösungen von Drittanbietern
  • Einfacher Zugriff über die Administratorkonsole
  • Einfach planen, erstellen und exportieren
  • Sofort einsatzbereite und anpassbare Berichte
  • Detaillierte Authentifizierungsprotokolle und Audit Trails
  • Fähigkeit, Systemänderungen auf Grundlage von Autorisierungsereignissen durchzuführen
  • Echtzeitinformationen über fehlgeschlagene/schädliche Anmeldeversuche, Sicherheitsereignisse, ungesicherte oder gefährdete Geräte usw.

9. Erweiterte Anforderungen

Ihre MFA-Lösung sollte alle oben genannten Grundanforderungen erfüllen. Das ist allerdings bei vielen Lösungen der Fall. Um die beste Lösung zu finden, sollten Sie sie anhand der unten aufgeführten erweiterten Anforderungen vergleichen.

Verhaltensanalysen

Verwendet die MFA-Lösung Verhaltensanalysen, um sich intelligent anzupassen, und erfordert das den Einsatz verschiedener Authentifizierungsfaktoren?

  • Vertrautheitssignale
  • Angriffssignale
  • Anomalien (Benutzerverhalten und Kontextsignale)
  • Kontinuierliche Authentifizierung

Vertrauenswürdige Geräte

Berücksichtigt die Lösung das eingesetzte Authentifizierungsgerät?

  • Gerätestatus, einschließlich Version, Manipulation, Sperre, Verschlüsselung, Browser-Plugin und mehr
  • Ruf des Geräts
  • X.509-basierte Zertifikate
  • Integration in die Mobilgeräteverwaltung (Mobile Device Management, MDM)

Allgemeine Überlegungen

Wählen Sie eine Lösung, die sich an Ihre zukünftigen Anforderungen anpassen lässt, und stellen Sie sicher, dass sie hochverfügbar ist. Lassen Sie sich beim Preisvergleich auch nicht von den niedrigen Kosten für die Ersteinrichtung oder das Onboarding leiten, um Ihre Wahl zu treffen. Berücksichtigen Sie stattdessen die Gesamtbetriebskosten (TCO), die sich je nach benutzerdefinierten Integrationen, Verwaltungskontrollen, Anwendungsfällen, Supportkosten usw. ändern. Suchen Sie nach einer Lösung, die Ihnen helfen kann, die Verwaltungs- und Overhead-Kosten zu minimieren, und die ein klares Preismodell bietet.