wladimir1804 - stock.adobe.com
Phishing: Schutz durch robuste Multifaktor-Authentifizierung
Keine Frage, der Einsatz jeder Multifaktor-Authentifizierung ist sicherer, als keine zu verwenden. Aber nicht jeder MFA-Ansatz ist bei Phishing-Angriffen gleichermaßen wirksam.
Phishing-Angriffe nehmen zu, und zwar sowohl in Bezug auf die Anzahl als auch auf den Schaden, den sie anrichten. Laut dem IBM Cost of a Data Breach Report 2023 kosten diese Phishing-Kampagnen die betroffenen Unternehmen durchschnittlich 4,76 Millionen US-Dollar. Das Cybersicherheitsunternehmen AAG IT Services berichtet, dass täglich bis zu 3,4 Milliarden Phishing-E-Mails von Cyberkriminellen verschickt werden, die versuchen, Endbenutzer dazu zu bringen, sensible Daten und persönliche Informationen preiszugeben, die sie später ausnutzen können.
Der Endbenutzer ist eine entscheidende Schwachstelle. Als Reaktion darauf haben die Unternehmen mehr und bessere Schulungsprogramme zur Cybersicherheit in ihre Strategie aufgenommen, um die Endbenutzer über heimtückische Bedrohungen aufzuklären. Dazu gehören auch umfassende Informationen zur Vermeidung von Phishing-Angriffen. Diese Bemühungen zeigen deutliche Ergebnisse. Laut dem „State of the Phish Report“ des Sicherheitsanbieters Proofpoint gaben 44 Prozent der befragten Mitarbeiter an, dass sie mit Phishing-Angriffen vertraut sind - ein Anstieg von 9 Prozent gegenüber 2019. Die Umfrage ergab aber auch, dass die gleiche Anzahl - 44 Prozent - nicht weiß, dass eine E-Mail, die von einer seriösen Marke zu stammen scheint, nicht bedeutet, dass es sich nicht um einen Phishing-Betrug handelt.
Die Schulung der Mitarbeiter kann jedoch nur bis zu einem gewissen Punkt zu einer Minderung des Risikos durch Phishing beitragen. Technologien wie die Multifaktor-Authentifizierung (MFA) sind der Schlüssel zur Verhinderung von Phishing-Angriffen. Die herkömmliche MFA hat sich jedoch als durchaus angreifbar erwiesen. Grund genug, Multifaktor-Authentifizierung zu betrachten, die resistenter gegenüber Phishing ist.
Sicherheitsfaktor Multifaktor-Authentifizierung
Multifaktor-Authentifizierung spielt eine wichtige Rolle im Kampf gegen Phishing, da sie es böswilligen Angreifern erschwert, die Anmeldedaten von Endbenutzern zu ihrem Vorteil zu nutzen. Aber die Technik, bei der Benutzer zwei oder mehr Faktoren angeben müssen, um zu beweisen, dass sie Zugriffsrechte auf eine Ressource haben, ist kein Allheilmittel.
Tatsächlich sind einige MFA-Implementierungen angreifbar. Manche Ausführungen sind zum Beispiel anfällig für Cyberbedrohungen wie Push-Bombing, bei dem Cyberangreifer eine große Anzahl von Benachrichtigungen an Endnutzer senden und sie auffordern, ihre Anmeldedaten einzugeben. Die Bedrohungsakteure verwenden dann diese legitimen Anmeldedaten, um sich zunächst Zugang zu den Netzwerken der Opfer zu verschaffen, und senden dann einen zweiten Faktor an ihr eigenes Smartphone oder ein anderes Gerät, um vollständigen Zugriff zu erhalten.
SIM-Swap-Angriffe sind ein weiteres Phishing-Konzept, das einige MFA-Systeme überlistet. SIM-Swaps werden auch als SIM-Hijacking bezeichnet und nutzen die Nummernportierungsfunktionen der Mobilfunkbetreiber, um Konten zu übernehmen, wenn die zweite Kontrolle - ein Anruf oder eine Textnachricht an das Mobilgerät des Benutzers - gesendet wird.
Phishing-resistente Multifaktor-Authentifizierung
Es existieren durchaus MFA-Methoden, die widerstandsfähiger gegenüber Angriffen sind.
Die CISA (Cybersecurity and Infrastructure Security Agency), die Phishing-resistente MFA als „Goldstandard“ des Phishing-Schutzes bezeichnet, hat Richtlinien herausgegeben, in denen das IT-Security-Teams von Unternehmen aufgefordert werden, Phishing-resistente MFA zu implementieren, um sich zu schützen. Die CISA nannte insbesondere zwei MFA-Techniken:
- WebAuthn verwendet den FIDO-2-Anti-Phishing-Authentifikator (Fast IDentity Online) und wird als eigenständiger physischer Token eingesetzt, der über einen USB-Anschluss mit einem Gerät verbunden wird, über NFC mit dem System kommuniziert oder indem er als Plattform in ein Gerät eingebaut wird. Bei der FIDO-Authentifizierung können auch andere Faktoren als das „Etwas, das Sie haben“-Gerät verwendet werden, zum Beispiel PIN-Codes und biometrische Daten.
- Die auf PKI (Public Key Infrastructure) basierende MFA, die mit dem PKI-System eines Unternehmens arbeitet, kann verschiedene Formfaktoren verwenden, einschließlich Smartcards. Systeme, die PKI verwenden, können zwar einen soliden Schutz gegen Phishing und andere Bedrohungen bieten, erfordern aber auch ausgefeilte Identitätsmanagementverfahren. Außerdem unterstützt dieser Ansatz möglicherweise einige weit verbreitete Dienste und Infrastrukturen nicht.
Phishing-resistente Multifaktor-Authentifizierung ist ein wichtiger Schritt zur Implementierung einer effektiven Zero-Trust-Architektur. Trotz ihrer Vorteile birgt diese Art der Authentifizierung jedoch die folgenden Herausforderungen bei der Implementierung:
- Ältere Systeme funktionieren möglicherweise nicht mit Phishing-resistenten MFA-Systemen.
- Die Endanwender müssen zusätzlich geschult werden, was in manchen Unternehmen nicht so einfach möglich ist.
- Endbenutzer begrüßen es möglicherweise nicht, wenn sie aufgefordert werden, neue Faktoren für den Zugriff auf Ressourcen einzugeben, oder sie befürchten, dass eine Phishing-resistente MFA eine ungünstige Benutzerführung verursacht.
Dennoch sollten Unternehmen ernsthaft eine Phishing-resistente MFA in Betracht ziehen, um die zunehmend schädlichen - und kostenintensiven - Phishing-Kampagnen abzuwehren. Diese Bemühungen sollten für alle Unternehmen Priorität haben.