Was wir auf unserer letzten Cybersicherheitsveranstaltung über MFA gelernt haben

Hallo, Cyber-Krieger!

Auf unserer letzten Cybersicherheitsveranstaltung Infosicherheit Europa 2024, haben wir uns entschlossen, uns mit den Einzelheiten der Multi-Factor Authentication (MFA) zu befassen. Wir wollten wissen, wie die Leute es nutzen, welche Technologien sie verwenden und mit welchen Problemen sie konfrontiert sind. Wir haben einige coole Einblicke, die wir mit Ihnen teilen möchten, also lassen Sie uns gleich loslegen!

MFA ist überall!

Zunächst einmal verwenden ganze 88% der Unternehmen MFA (unabhängig davon, ob es sich um einige oder alle Benutzer handelt). Nach Gesprächen mit den Befragten wurde jedoch klar, dass die derzeitigen MFA-Implementierungen häufig den Branchenstandards folgen und nicht der tiefen Überzeugung von ihren präventiven Fähigkeiten.

Dies stimmt mit unserer Marktforschung von 2023 überein, die ergab, dass 95% der britischen Unternehmen MFA eingeführt hatten, diese jedoch nur 40% getan haben, weil es als die sicherste Lösung angesehen wurde. Die meisten waren sich nicht sicher, dass MFA in der Lage ist, Vorfälle bei Kontoübernahmen (ATO) zu verhindern. Diese Diskrepanz deutet darauf hin, dass die Einhaltung von Vorschriften häufig Vorrang vor robuster Sicherheit hat. Darüber hinaus gaben 56% der Befragten an, dass sie trotz der breiten Akzeptanz schon einmal einen Sicherheitsverstoß erlebt haben.

Wir glauben, dass es hier um zweierlei Probleme geht. Einerseits gibt es bei MFA-Technologien der ersten Generation (wie PUSH, QR, OTP und SMS) ein falsches Sicherheitsgefühl. Auf der anderen Seite haben einige wenig bis gar kein Vertrauen in die Technologie, da sie selbst bei der Einführung von MFA der ersten Generation von Sicherheitslücken betroffen waren. Das hat zur Folge, dass MFA oft eher als Schachbrett eingesetzt wird, und dem Markt mangelt es an Vertrauen.

Zum Glück gibt es neuere Technologien, wie z. B. passwortlose MFA für dasselbe Gerät und dezentrale Authentifizierungssysteme wie AuthN von IDEE. Sie beheben ATO-Schwachstellen mit drei Hauptfunktionen: MFA für dasselbe Gerät, die Bindung der Benutzeridentität an das Gerät und die Implementierung von transitivem Vertrauen. Durch diesen Ansatz wird der Angriffsvektor von unendlich zu endlich, was die Sicherheit erhöht und die Benutzerauthentifizierung vereinfacht.

Obwohl heute Lösungen verfügbar sind, die alle Phishing-Angriffe mit Anmeldedaten und passwortbasierten Angriffen verhindern können (auf die 98% der Sicherheitslücken entfallen), verlässt sich die Branche häufig auf veraltete Paradigmen. Passwörter sind aufgrund von Sicherheitslücken zunehmend unzureichend, und MFA-Systeme der ersten Generation haben Schwierigkeiten, sich vor ausgeklügelten Angriffen wie Phishing und Credential-Stuffing zu schützen.

Dieser "Business as usual"-Ansatz spiegelt einen seit langem bestehenden Trend in der Cybersicherheitsbranche wider, in der etablierte Praktiken häufig den sich entwickelnden Bedrohungen hinterherhinken. Trotz des Auftretens fortschrittlicher Bedrohungen verlassen sich viele Unternehmen weiterhin auf traditionelle Sicherheitsmaßnahmen, die zunehmend anfällig werden.

Darüber hinaus sind die mit Datenschutzverletzungen und Cybersicherheitsvorfällen verbundenen Risiken erheblich. Ein Verstoß kann zu finanziellen Verlusten aufgrund von Sanierungskosten, rechtlichen Verbindlichkeiten, behördlichen Bußgeldern und Reputationsschäden führen. Die finanziellen Auswirkungen einer Sicherheitsverletzung können die Kosten, die mit der Verbesserung der Cybersicherheitsmaßnahmen verbunden sind, bei weitem übersteigen. Da sich Cyberbedrohungen ständig weiterentwickeln und immer raffinierter werden, wird die Beibehaltung des Status Quo immer riskanter.

Aus diesem Grund ist es für die Branche von entscheidender Bedeutung, diese Innovationen anzunehmen und sich von traditionellen, anfälligen Methoden zu verabschieden. Auf diese Weise können Unternehmen das Risiko von ATO-Vorfällen erheblich reduzieren und die allgemeine Widerstandsfähigkeit gegenüber Cybersicherheit verbessern.

Wer verwendet MFA?

- Jeder aber nicht überall: 77% von Ihnen setzen auf All-In und nutzen MFA für alle Mitarbeiter Ihres Unternehmens, wenn auch nicht systemübergreifend. Diese Inkonsistenz kann zu Sicherheitslücken führen, die ausgenutzt werden könnten. Sie sind immer nur so sicher wie Ihr schwächstes Glied. So etwas wie "gut genug" gibt es nicht!

- Manche Leute: Ungefähr 12% von Ihnen lassen sich darauf ein und wenden MFA bei ausgewählten Personen an. Schrittweise Rollouts können Teile Ihres Unternehmens während dieser Übergangsphase anfällig machen. Auch hier versuchen böswillige Akteure, jede Sicherheitslücke auszunutzen und werden die Lücken ins Visier nehmen.

- Nicht sicher: Die verbleibenden 11% sind sich nicht ganz sicher, wer abgedeckt ist. Wenn Sie das sind, ist es vielleicht an der Zeit, ein kurzes Audit durchzuführen, da eine unklare Berichterstattung zu unkontrollierbaren Sicherheitsrisiken führen kann. Sie können nur das verbessern, was Sie mit Benchmarks vergleichen können. Wenn Sie dabei Hilfe benötigen, nutzen Sie bitte unser IAM-Tool für Sicherheitsrisiken, was Ihnen eine gute Vorstellung davon gibt, wo Sie jetzt sind, wo Sie sein müssen und wie Sie dorthin gelangen! Wenn Sie auf einer Stippvisite sind und sich nur einen kurzen Überblick über einen typischen Einsatz verschaffen möchten, beschreiben wir die wichtigsten häufigen Einsätze und ihre Risiken hier.

Der Kampf um den Einsatz von MFA ist real

Und warum setzen Unternehmen MFA nicht für jeden Benutzer auf jedes System ein? Nun, wir haben dich laut und deutlich gehört. Hier sind die Hauptgründe dafür:

- Die Bereitstellung ist mühsam: Das Einrichten von MFA kann sich anfühlen, als würde man im Dunkeln durch ein Labyrinth navigieren.

- Die Bereitstellung nimmt zu viel Zeit in Anspruch: IT-Teams haben wenig Zeit, und ein weiteres langwieriges Bereitstellungsprojekt ist einfach nicht durchführbar

- Kostet zu viel: Wir wissen, dass Budgets knapp sein können und MFA-Lösungen teuer werden können, insbesondere wenn sie in zusätzliche Smartphones oder Sicherheitsschlüssel investieren müssen.

- Benutzerwiderstand: Seien wir ehrlich - manche Menschen mögen Veränderungen einfach nicht. Viele empfinden die Multi-Faktor-Authentifizierung (MFA) als störend für ihren Arbeitsablauf. Unsere Marktforschung zeigt, dass fast 60% der Cybersicherheitsexperten der Meinung sind, dass Cybersicherheitslösungen vereinfacht werden müssen, um die Zustimmung der Mitarbeiter zu gewinnen und ein effektives Engagement sicherzustellen. Mit der richtigen Lösung muss MFA jedoch keine Routinen unterbrechen.

Wir hören uns diese Einwände seit Jahren an, aber warum reagiert die Branche so langsam? Wir glauben, dass MFA von entscheidender Bedeutung ist, und die Aktuare auch - so sehr, dass MFA jetzt eine Voraussetzung für Cyberversicherungen ist. Wir sind auch der Meinung, dass es so einfach zu implementieren sein sollte, dass Sie nur einen Praktikanten mit einem freien Nachmittag benötigen, und so einfach zu bedienen sein sollte, dass Sie nur Mitarbeiter benötigen, die mindestens ein Gerät verwenden. MFA sollte für alle da sein, nicht nur für große Unternehmen. Leider zeigen unsere Untersuchungen, dass die Branche noch einen langen Aufholbedarf hat.

Die am häufigsten verwendeten MFA-Typen

Hier finden Sie Informationen zu den verschiedenen MFA-Typen, die Sie verwenden:

- PUSH-Benachrichtigungen: Der Publikumsliebling, der von 68% von Ihnen genutzt wird. Es ist schnell, es ist einfach, was ist nicht zu lieben? Nun, wahrscheinlich kann es durch schnelle Bombardierungen und Gegenangriffe (AitM) kompromittiert werden.

- OTP/SMS: Auf dem zweiten Platz verwenden 24% von Ihnen diese Methode. Eines der bisher einfacheren MFAs kann durch Phishing- und AiTM-Angriffe mit Anmeldeinformationen umgangen werden.

- FIDO2-Sicherheitsschlüssel: Eine Wahl für 8% von Ihnen, die zusätzlich zu ihren IT-Aufgaben die Logistik für die Lieferung und den Austausch von Schlüsseln für jeden Benutzer verwalten müssen.

Unsere Studie aus dem Jahr 2023 ergab, dass trotz der weit verbreiteten Einführung von MFA bei einer erheblichen Anzahl von Unternehmen immer noch Verstöße zu verzeichnen waren. So kam es beispielsweise im Vereinigten Königreich, obwohl 95% der Unternehmen MFA einführten, bei 56% von ihnen zu Verstößen, wobei 23% auf kompromittierte oder umgangene MFA zurückzuführen waren. Dies unterstreicht einen wichtigen Punkt: Beliebtheit und Bekanntheit der Marke allein garantieren keinen zuverlässigen Schutz vor ausgeklügelten Cyberbedrohungen. MFA der ersten Generation kann nur passwortbasierte Angriffe wie Brute-Force-Angriffe verhindern.

Finden Sie heraus, wie verschiedene Technologien im Vergleich zum MITRE ATT&CK Framework abschneiden.

Nutzererlebnis

Die Benutzererfahrung mit MFA ist gemischt. Viele Anwender empfinden MFA als umständlich und schwierig in der Anwendung, was zu Frustration und Widerstand führt. Viele Mitarbeiter haben Probleme mit der Benutzerfreundlichkeit und der einfachen Bereitstellung und fühlen sich oft durch die zusätzlich erforderlichen Schritte belästigt. Überraschenderweise stehen viele IT- und Cybersicherheitsexperten diesen Bedenken der Benutzer gleichgültig gegenüber und betonen, dass die Sicherheitsvorteile alle Probleme mit der Benutzerfreundlichkeit überwiegen. Einige nehmen sogar die Haltung ein, "damit umzugehen", und räumen der Notwendigkeit einer MFA Vorrang vor der Nutzerzufriedenheit ein. Diese Diskrepanz verdeutlicht eine große Herausforderung: die Notwendigkeit, robuste Sicherheitsmaßnahmen mit einer benutzerfreundlichen Erfahrung in Einklang zu bringen, um eine breite Akzeptanz und Einhaltung der Vorschriften sicherzustellen.

Einpacken

Die Branche muss ihren Fokus von der bloßen Einhaltung der Vorschriften auf proaktive Prävention verlagern. Warum hat die Branche kein Vertrauen in die Produkte, die sie verwendet? Was muss sich ändern, um Vertrauen in Sicherheitsmaßnahmen zu wecken?

"Es ist an der Zeit, dass Anbieter die richtigen Probleme anhen und sich auf Prävention statt Erkennung konzentrieren. Anstatt ständig zu versuchen, das Problem der Passwörter zu lösen, die von Natur aus kaputt sind, sollten wir das Problem der Kontoübernahme von Anfang an lösen." Al Lakhani, CEO und Gründer von IDEE. Sicherheitsexperten müssen anfangen, ernsthaft über Authentifizierung nachzudenken, anstatt sie als Compliance-Maßnahme zu betrachten.

Dies ist unsere Gelegenheit, das Gespräch über die Bedeutung fortschrittlicher MFA-Lösungen zu leiten. Indem wir dieses Narrativ vorantreiben, können wir dazu beitragen, die Branche auf sicherere Praktiken umzustellen und das Vertrauen in die Einführung von MFA oder MFA 2.0 der neuen Generation zu stärken.

Fazit

Die Forschung ist eindeutig. Obwohl es auf den ersten Blick nach einer breiten Akzeptanz aussieht, haben viele Unternehmen immer noch Schwierigkeiten, sie für alle Benutzer bereitzustellen, da die meisten Lösungen immer noch zu komplex, kostspielig und zeitaufwändig sind, um sie für alle bereitzustellen. Die Benutzer mögen es immer noch nicht. MFA hat einen schlechten Ruf, und die Branche muss sich mit diesen Problemen befassen. Produkte müssen einfacher zu verwenden, leichter zugänglich und vor allem besser sein, wenn es darum geht, die Probleme zu lösen (d. h., bei der Sicherheit nach den ersten Prinzipien zu handeln und Lösungen für die wirklichen Probleme wie Kontoübernahme zu finden). Nicht endlos versuchen, Passwörter zu korrigieren und einem bereits kaputten Modell immer mehr Faktoren hinzuzufügen). Ist es nicht an der Zeit, dass Anbieter das auf den Kopf stellen? Lassen Sie uns anfangen, uns auf die Prävention zu konzentrieren. Dann würde der Markt die Makrofinanzhilfe vielleicht ernster nehmen und sie nicht nur als eine Aufgabe betrachten, bei der man nur Kästchen ankreuzen muss. Und vielleicht würden wir dann auch feststellen, dass die Trendlinien der Sicherheitslücken sinken. Wir hoffen wirklich, Teil der Veränderung zu sein, die eindeutig erforderlich ist.

Bereit, sich selbst davon zu überzeugen?

Wenn Sie neugierig sind, wie AuthN by IDEE Ihr Sicherheitsspiel ohne Kopfschmerzen verbessern kann, kontaktieren Sie uns! Wir zeigen Ihnen gerne, was wir können.

Bleib sicher da draußen!

‍