Was wir bei unserer letzten Cybersecurity-Veranstaltung über MFA gelernt haben

Hallo, Cyber-Krieger!

Auf unserer letzten Cybersecurity-Veranstaltung, Infosecurity Europe 2024, haben wir beschlossen, der Multi-Faktor-Authentifizierung (MFA) auf den Grund zu gehen. Wir wollten wissen, wie die Leute sie einsetzen, welche Technologien sie verwenden und welche Probleme sie dabei haben. Wir haben einige interessante Erkenntnisse gewonnen, die wir mit Ihnen teilen möchten, also lassen Sie uns eintauchen!

MFA ist überall!

Zunächst einmal setzen 88 % der Unternehmen MFA ein (sei es für einige wenige oder alle Benutzer). Nach Gesprächen mit den Befragten wurde jedoch deutlich, dass die derzeitigen MFA-Implementierungen oft eher den Industrienormen folgen als einer tiefen Überzeugung von ihren präventiven Fähigkeiten.

Dies deckt sich mit unserer Marktstudie von 2023, die ergab, dass 95 % der britischen Unternehmen MFA eingeführt haben, aber nur 40 % taten dies, weil es als die sicherste Lösung angesehen wurde. Die meisten hatten kein Vertrauen in die Fähigkeit von MFA, Vorfälle von Kontoübernahmen (ATO) zu verhindern. Diese Diskrepanz deutet darauf hin, dass die Einhaltung von Vorschriften oft Vorrang vor robuster Sicherheit hat. Darüber hinaus gaben 56 % der Befragten an, dass sie trotz der weit verbreiteten Einführung von MFA bereits einen Verstoß erlebt haben.

Unserer Meinung nach gibt es hier zwei Probleme. Einerseits besteht bei MFA-Technologien der ersten Generation (wie PUSH, QR, OTP und SMS) ein falsches Gefühl der Sicherheit. Andererseits haben einige Unternehmen wenig bis gar kein Vertrauen in die Technologie, da sie selbst mit MFA der ersten Generation bereits Opfer von Sicherheitsverletzungen geworden sind. Infolgedessen wird MFA oft eher als eine Art "Kästchen" eingesetzt, und dem Markt fehlt es an Vertrauen.

Glücklicherweise gibt es neuere Technologien, wie passwortlose, geräteübergreifende MFA und dezentrale Authentifizierungssysteme wie AuthN von IDEE. Sie beheben ATO-Schwachstellen mit drei Schlüsselfunktionen: MFA für das gleiche Gerät, Bindung der Benutzeridentität an das Gerät und Implementierung von transitivem Vertrauen. Dieser Ansatz verwandelt den Angriffsvektor von einem unendlichen in einen endlichen, was die Sicherheit erhöht und die Benutzerauthentifizierung vereinfacht.

Obwohl inzwischen Lösungen zur Verfügung stehen, die alle Phishing- und passwortbasierten Angriffe auf Anmeldedaten (die 98 % der Sicherheitsverletzungen ausmachen) verhindern können, verlässt sich die Branche häufig auf veraltete Paradigmen. Passwörter sind aufgrund von Schwachstellen zunehmend unzureichend und MFA-Systeme der ersten Generation haben Schwierigkeiten, sich gegen ausgeklügelte Angriffe wie Phishing und Credential Stuffing zu schützen.

Dieser "Business-as-usual"-Ansatz spiegelt einen langjährigen Trend in der Cybersicherheitsbranche wider, wo etablierte Praktiken häufig hinter den sich entwickelnden Bedrohungen zurückbleiben. Trotz des Aufkommens fortschrittlicher Bedrohungen verlassen sich viele Unternehmen weiterhin auf herkömmliche Sicherheitsmaßnahmen, die zunehmend anfällig sind.  

Darüber hinaus sind die mit Datenschutzverletzungen und Cybersicherheitsvorfällen verbundenen Risiken erheblich. Eine Datenschutzverletzung kann zu finanziellen Verlusten aufgrund von Sanierungskosten, rechtlichen Verpflichtungen, Geldbußen und Rufschädigung führen. Die finanziellen Auswirkungen einer Sicherheitsverletzung können die Kosten für die Verbesserung der Cybersicherheitsmaßnahmen bei weitem übersteigen. Da sich die Cyber-Bedrohungen ständig weiterentwickeln und immer ausgefeilter werden, wird die Beibehaltung des Status quo immer riskanter.

Deshalb ist es für die Branche von entscheidender Bedeutung, diese Innovationen anzunehmen und von traditionellen, anfälligen Methoden abzuweichen. Auf diese Weise können Unternehmen das Risiko von ATO-Vorfällen erheblich verringern und die allgemeine Cybersicherheit verbessern.

Wer nutzt MFA?

- Jeder, aber nicht überall: 77 % von Ihnen gehen aufs Ganze und verwenden MFA für alle Mitarbeiter Ihres Unternehmens, allerdings nicht für alle Systeme. Diese Inkonsistenz kann zu Sicherheitslücken führen, die ausgenutzt werden könnten. Sie sind immer nur so sicher wie Ihr schwächstes Glied. So etwas wie "gut genug" gibt es nicht!

- Einige Leute: Etwa 12 % von Ihnen gehen es langsam an und wenden MFA auf ausgewählte Personen an. Durch die schrittweise Einführung könnten Teile Ihres Unternehmens in dieser Übergangsphase verwundbar bleiben. Auch hier gilt: Böswillige wollen jede Schwachstelle ausnutzen und werden die Lücken ins Visier nehmen.  

- Nicht sicher: Die restlichen 11 % sind sich nicht ganz sicher, wer abgedeckt ist. Wenn das auf Sie zutrifft, ist es vielleicht an der Zeit, ein schnelles Audit durchzuführen, da eine unklare Abdeckung zu unkontrollierten Sicherheitsrisiken führen kann. Sie können nur das verbessern, was Sie auch messen können. Wenn Sie dabei Hilfe benötigen, nutzen Sie unser IAM Security Risk Tool, das Ihnen eine gute Vorstellung davon vermittelt, wo Sie jetzt stehen, wo Sie hinmüssen und wie Sie dorthin gelangen können! Wenn Sie auf einer Stippvisite sind und sich nur einen schnellen Überblick über einen typischen Einsatz verschaffen wollen, finden Sie hier eine Übersicht über die häufigsten Einsätze und ihre Risiken.  

Der Kampf um den Einsatz von MFA ist real

Und warum setzen Unternehmen MFA nicht für jeden Benutzer und jedes System ein? Nun, wir haben Sie laut und deutlich gehört. Hier sind die Hauptgründe dafür:

- Die Bereitstellung ist mühsam: Die Einrichtung von MFA kann sich anfühlen, als würde man im Dunkeln durch ein Labyrinth navigieren.  

- Die Bereitstellung nimmt zu viel Zeit in Anspruch: IT-Teams haben wenig Zeit, und ein weiteres langwieriges Implementierungsprojekt ist einfach nicht machbar

- Zu hohe Kosten: Wir wissen, dass Budgets oft knapp bemessen sind und MFA-Lösungen teuer werden können, insbesondere wenn zusätzliche Smartphones oder Sicherheitsschlüssel angeschafft werden müssen.

- Benutzerwiderstand: Machen wir uns nichts vor - manche Menschen mögen einfach keine Veränderungen. Viele empfinden die Multi-Faktor-Authentifizierung (MFA) als störend für ihren Arbeitsablauf. Unsere Marktforschung zeigt, dass fast 60 % der Cybersicherheitsexperten der Meinung sind, dass Cybersicherheitslösungen vereinfacht werden müssen, um die Akzeptanz der Mitarbeiter zu gewinnen und ein effektives Engagement zu gewährleisten. Mit der richtigen Lösung muss MFA jedoch keine Routinen unterbrechen.

Wir hören diese Einwände nun schon seit Jahren, aber warum reagiert die Branche so langsam? Wir glauben, dass MFA unerlässlich ist, und die Versicherungsmathematiker tun das auch - so sehr, dass MFA jetzt eine Voraussetzung für Cyberversicherungen ist. Wir sind auch der Meinung, dass sie so einfach zu implementieren sein sollte, dass man nur einen Praktikanten mit einem freien Nachmittag braucht, und so einfach zu benutzen, dass man nur Mitarbeiter braucht, die mindestens ein Gerät benutzen. MFA sollte für alle da sein, nicht nur für große Unternehmen. Leider zeigen unsere Untersuchungen, dass die Branche noch einen weiten Weg vor sich hat, um aufzuholen.  

Die gebräuchlichsten Arten von MFA

Hier finden Sie eine Übersicht über die verschiedenen Arten von MFA, die Sie verwenden:

- PUSH-Benachrichtigungen: Der Publikumsliebling, der von 68 % von Ihnen genutzt wird. Es ist schnell, es ist einfach, was kann man daran nicht lieben? Nun, wahrscheinlich, dass sie mit Prompt Bombing und Adversary-in-the-Middle-Angriffen (AiTM) kompromittiert werden kann.

- OTP/SMS: An zweiter Stelle steht diese Methode, die von 24 % von Ihnen verwendet wird. Eine der einfacheren MFAs, die jedoch mit Credential Phishing und AiTM-Angriffen umgangen werden kann.

- FIDO2 Sicherheits-Schlüssel: Eine Wahl für 8 % von Ihnen, die zusätzlich zu ihren IT-Aufgaben die Logistik der Auslieferung und des Austauschs von Schlüsseln an jeden Benutzer verwalten müssen.

Unsere Untersuchung von 2023 hat gezeigt, dass trotz der weit verbreiteten Einführung von MFA in einer beträchtlichen Anzahl von Unternehmen immer noch Sicherheitsverletzungen auftreten. So kam es beispielsweise in Großbritannien trotz der Einführung von MFA in 95 % der Unternehmen bei 56 % zu Sicherheitsverletzungen, wobei 23 % auf eine kompromittierte oder umgangene MFA zurückzuführen waren. Dies unterstreicht einen entscheidenden Punkt: Popularität und Markenbekanntheit allein garantieren keine robuste Sicherheit gegen ausgeklügelte Cyberbedrohungen. MFA der ersten Generation kann nur passwortbasierte Angriffe wie Brute-Force-Angriffe verhindern.  

Finden Sie heraus, wie sich die verschiedenen Technologien in Bezug auf das MITRE ATT&CK Framework unterscheiden.

Benutzererfahrung

Die Erfahrungen der Nutzer mit MFA sind gemischt. Viele Benutzer empfinden MFA als umständlich und schwierig in der Anwendung, was zu Frustration und Widerstand führt. Viele Mitarbeiter haben mit der Benutzerfreundlichkeit und der einfachen Bereitstellung zu kämpfen und fühlen sich durch die zusätzlich erforderlichen Schritte belästigt. Überraschenderweise stehen viele IT- und Cybersicherheitsexperten diesen Bedenken der Benutzer gleichgültig gegenüber und betonen, dass die Sicherheitsvorteile die Probleme mit der Benutzerfreundlichkeit überwiegen. Einige nehmen sogar eine Haltung ein, in der sie die Notwendigkeit von MFA über die Zufriedenheit der Benutzer stellen. Diese Diskrepanz verdeutlicht eine große Herausforderung: die Notwendigkeit, robuste Sicherheitsmaßnahmen mit einer benutzerfreundlichen Erfahrung in Einklang zu bringen, um eine breite Akzeptanz und Compliance zu gewährleisten.

Einpacken

Die Branche muss ihren Schwerpunkt von der bloßen Einhaltung der Vorschriften auf die proaktive Prävention verlagern. Warum hat die Branche kein Vertrauen in die Produkte, die sie einsetzt? Was muss sich ändern, um das Vertrauen in Sicherheitsmaßnahmen zu stärken?

"Es ist an der Zeit, dass die Anbieter die richtigen Probleme angehen und sich auf Prävention statt auf Erkennung konzentrieren. Anstatt ständig zu versuchen, das Problem der Passwörter zu lösen, die von Natur aus fehlerhaft sind, sollten wir das Problem der Kontoübernahme von Grund auf lösen." Al Lakhani, CEO und Gründer von IDEE. Sicherheitsexperten müssen anfangen, ernsthaft über Authentifizierung nachzudenken, anstatt sie als eine Übung zur Einhaltung von Vorschriften zu behandeln.

Dies ist unsere Chance, das Gespräch über die Bedeutung fortschrittlicher MFA-Lösungen zu führen. Indem wir dieses Thema vorantreiben, können wir dazu beitragen, die Branche auf sicherere Praktiken umzustellen und das Vertrauen in die Einführung von MFA der neuen Generation oder MFA 2.0 zu stärken.

Schlussfolgerung

Die Untersuchungen sind schlüssig. Trotz der auf den ersten Blick weit verbreiteten Akzeptanz tun sich viele Unternehmen immer noch schwer damit, alle Nutzer zu erreichen, da die meisten Lösungen immer noch zu komplex, zu kostspielig und zu zeitaufwändig sind, um sie für alle Nutzer einzusetzen. Die Benutzer mögen sie immer noch nicht. MFA hat einen schlechten Ruf, und die Branche muss diese Probleme angehen. Die Produkte müssen benutzerfreundlicher, zugänglicher und vor allem besser sein, wenn es darum geht, die Probleme zu lösen (d. h., sie müssen einen grundsätzlichen Ansatz für die Sicherheit verfolgen und Lösungen für die wirklichen Probleme, wie die Übernahme von Konten, erarbeiten. Nicht der endlose Versuch, Passwörter zu reparieren und immer mehr Faktoren zu einem bereits kaputten Modell hinzuzufügen). Ist es nicht an der Zeit, dass die Anbieter das Ganze auf den Kopf stellen? Lassen Sie uns anfangen, uns auf Prävention zu konzentrieren. Dann würde der Markt MFA vielleicht ernster nehmen und es nicht nur als eine Aufgabe zum Ankreuzen behandeln. Und vielleicht würden wir dann auch sehen, dass die Trendlinien bei den Sicherheitsverletzungen zurückgehen. Wir hoffen wirklich, dass wir Teil des Wandels sind, der eindeutig erforderlich ist.  

Sind Sie bereit, sich selbst davon zu überzeugen?

Wenn Sie neugierig sind, wie AuthN by IDEE Ihre Sicherheit verbessern kann, ohne dass Sie Kopfschmerzen haben, dann melden Sie sich bei uns! Wir würden Ihnen gerne zeigen, was wir tun können.

Bleiben Sie da draußen sicher!

‍