Was ist die anpassungsfähige Multi-Faktor-Authentifizierung (adaptive MFA)?

Stellen Sie sich vor, es ist ein sonniger Herbstmorgen und Sie beschließen, anstatt sich an Ihren Arbeitsplatz im Büro zu setzen, lieber von dem Café aus zu arbeiten, das gerade in der Innenstadt eröffnet hat. Sie bestellen Kaffee, holen Ihren Laptop heraus und beginnen, sich in das Dashboard Ihres Unternehmens einzuloggen. Das System erkennt sofort, dass Sie ein neues WLAN-Netzwerk zusammen mit einem Gerät verwenden, das Sie noch nie zuvor registriert haben. Statt eines knappen „Zugriff verweigert“ erhalten Sie eine einzelne, kontextbezogene Aufforderung zum Scannen Ihres Fingerabdrucks.

In dieser Situation wird eine zusätzliche Sicherheitsebene eingesetzt, da das Risiko höher als normal ist. Dieser nahtlose, bedarfsgerechte Schutz ist das Herzstück der adaptiven Multi-Faktor-Authentifizierung (A-MFA). Diese risikobasierte Authentifizierung ist eine intelligentere Methode, um Ihren Sicherheitsstatus auf praktische Weise zu verbessern. 

Laut dem IBM 2025 Data Breach Kostenreport belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung mittlerweile auf 4,4 Millionen USD. Diese Tatsache allein unterstreicht, warum Unternehmen es sich nicht leisten können, für jeden Benutzer dieselben grundlegenden Schutzmaßnahmen einzusetzen. Angesichts der Zunahme von Phishing-Angriffen, die von künstlicher Intelligenz (KI) verfasst werden, sollten MFA-Lösungen eine Mindestanforderung an die Sicherheit sein. Glücklicherweise gibt es viele Optionen zur Implementierung von A-MFA, wie zum Beispiel Auth0 und Duo. In diesem Artikel erklären wir, wie adaptive MFA das Risiko in Echtzeit misst. Wir beschäftigen uns außerdem mit Anwendungsfällen, an denen ihre Vorteile zu erkennen sind, und vermitteln Ihnen ein grundlegendes Verständnis, das nötig ist, um zu entscheiden, wie dies in Ihr Framework passt.

Inzwischen haben die meisten von uns schon einmal eine Multi-Faktor-Authentifizierung (MFA) verwendet. Die MFA setzt zusätzliche Sicherheitsanforderungen für Ihre Konten ein, indem Sie Ihre Identität durch zusätzliche Authentifizierungsmethoden nachweisen müssen. Wie Single Sign-on (SSO) und Zwei-Faktor-Authentifizierung (2FA) fällt MFA unter die Authentifizierungssäule von Identity und Access Management (IAM). Statt sich wie bisher nur auf ein Passwort zu verlassen, benötigen Sie in der Regel zwei oder mehr Faktoren zum Anmelden. Diese Faktoren lassen sich in drei Hauptkategorien einteilen:

1. Etwas, das Ihnen bekannt ist, wie zum Beispiel ein Passwort oder die Antwort auf eine Sicherheitsfrage.
   
   
2. Etwas, das Sie besitzen, wie zum Beispiel ein Smartphone, einen Token oder sogar einen physischen Schlüssel (wie etwa ein Yubi-Schlüssel auf einem USB-Stick).
   
   
3. Etwas, das zu Ihnen gehört - insbesondere biometrische Daten von einem Fingerabdruck oder einem Gesichtsscan.

Beispielsweise könnten Sie aufgefordert werden, Ihr Passwort einzugeben (etwas, das Ihnen bekannt ist), woraufhin ein SMS-Code an Ihr Telefon gesendet wird (etwas, das Sie besitzen) oder Sie aufgefordert werden, Ihren Fingerabdruck zu scannen (etwas, das zu Ihnen gehört). Durch die Kombination dieser Faktoren wird es dank MFA für nicht-autorisierte Benutzer erheblich schwieriger, auf Ihre Konten zuzugreifen, selbst wenn Ihr Passwort kompromittiert wurde. Kombinieren Sie diesen Ansatz nun mit einem System, das nur dann zusätzliche Sicherheitsmaßnahmen ergreift, wenn es ein größeres Sicherheitsrisiko erfasst – und schon haben Sie den Kernpunkt der adaptiven MFA erkannt.  

Stellen Sie sich die adaptive MFA als eine verbesserte Weiterentwicklung der traditionellen MFA vor. Diese von Abhijit Kumar Nag und Dipankar Dasgupta entwickelte Schutzmaßnahme geht noch einen Schritt weiter als die traditionelle MFA. Sie nutzt kontextuelle Informationen aus den täglichen Mustern des Benutzers, um das Risikoniveau eines bestimmten Anmeldeversuchs zu bewerten. Wenn das Risikoniveau für einen bestimmten Anmeldeversuch eines Benutzers über einem vorgegebenen Schwellenwert liegt, wird dies als auslösendes Ereignis angesehen. 

Adaptive MFA ermöglicht es Systemadministratoren, auslösende Kriterien auf der Grundlage verschiedener Faktoren, einschließlich Benutzerrollen und Assets, einzustufen. Nehmen Sie das Beispiel von vorhin, als Sie sich von einem Café aus in das Dashboard Ihres Unternehmens einloggen wollten. Wenn Sie noch nie dort waren, könnte das als auslösendes Ereignis angesehen werden. Wenn Sie jedoch öfter und immer ungefähr zur gleichen Zeit dorthin gehen, wird dies wahrscheinlich nicht als auslösendes Ereignis angesehen. Alternativ dazu würden mit ziemlicher Sicherheit Warnungen angezeigt, wenn jemand am nächsten Tag zu einer ungewöhnlichen Zeit in einem Land auf der anderen Seite der Welt versuchen würde, mit Ihren Zugangsdaten auf das Dashboard Ihres Unternehmens zuzugreifen. Diese Demonstration zeigt, worum es bei adaptiver MFA geht: Die Verhaltensmuster eines bestimmten Benutzers zu verstehen und zusätzliche Sicherheitsmaßnahmen nur dann anzuwenden, wenn etwas verdächtig oder ungewöhnlich erscheint. Im nächsten Abschnitt sprechen wir über traditionelle MFA-Funktionen und wie sie sich von adaptiver MFA unterscheiden.

Adaptive MFA ist der traditionellen MFA sehr ähnlich, bietet aber einige zusätzliche Verbesserungen, um Ihre sensiblen Daten sicher zu schützen, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Im Folgenden erläutern wir die Schritte der adaptiven MFA und ihre Funktionsweise.

Ein Nutzer versucht, sich in ein System einzuloggen (zum Beispiel ein Firmen-Dashboard, eine Anwendung oder ähnliches), indem er einen Benutzernamen und ein Passwort oder einen Passkey eingibt. Das System beginnt nun, diese Anmeldedaten mit den gespeicherten Anmeldedaten abzugleichen.

Dies ist der Schritt, der die adaptive MFA von der traditionellen MFA unterscheidet. Während die herkömmliche MFA lediglich einen zweiten Authentifizierungsfaktor erfordert, analysiert adaptives MFA das Risikoniveau und bestimmt dann das für dieses Risiko geeignete Authentifizierungsniveau.

Zunächst werden Daten der aktuellen Anmelde- oder Zugriffsanfrage erfasst und mit Daten aus früheren Anmelde- oder Zugriffsanfragen verglichen. Die Daten können Folgendes umfassen:

• Standort: Stellt diese Region für diesen Benutzer eine vertraute Geolokalisierung dar oder handelt es sich um eine andere Stadt oder sogar ein anderes Land?
  
  
• Gerät oder Gerätetyp: Ist dieses Gerät ein Firmengerät oder eines im Privatbesitz? Entspricht dieses Gerät dem, mit dem sich normalerweise angemeldet wird, oder ist es ein neues Gerät? Wird die Anmeldung von einem Mobiltelefon aus versucht, obwohl sich der Benutzer normalerweise von einem Laptop aus anmeldet?
  
  
• Tageszeit: Sind dies die normalen Arbeitszeiten, zu denen sich dieser Mitarbeiter sonst einloggt, oder ist der Zeitraum eher ungewöhnlich?
  
  
• Nutzerverhalten: Worauf versucht der Benutzer unter Berücksichtigung der zuvor genannten Faktoren zuzugreifen?
  
  
• Netzwerk: Gehört dieses Netzwerk zu einem Unternehmen, einer privaten oder öffentlichen IP?
  
  
• Datenverlauf: Alle bisherigen Login-Informationen dieses Benutzers werden gespeichert und mit dem aktuellen Anmeldeversuch verglichen.

Ein Risiko-Scoring-System gewichtet die Ergebnisse und weist diesem Anmeldeversuch eine Risikostufe zu. Beispielsweise könnte einem Login aus einem anderen Land auf einem neuen Gerät außerhalb der Arbeitszeit von einer unbekannten IP-Adresse ein hohes Risiko zugeordnet werden.

Die Risikobewertung führt zu einer kontextspezifischen Authentifizierungsantwort. Dies könnte Folgendes umfassen:

• Standard-MFA-Auslöser (geringes Risiko): Dies kann ein einmaliges Passwort (OTP) sein, das per Push-Benachrichtigung oder einer Authenticator-App wie Google oder Microsoft Authenticator an das mobile Gerät des Benutzers gesendet wird.
  
  
• Erweiterter MFA-Auslöser (mittleres Risiko): Hier könnte das System eine strengere Authentifizierungsmethode anwenden, wie biometrische Daten (Gesichtsscan oder Fingerabdruck) oder Sicherheitsfragen oder wissensbasierte Authentifizierung (Fragen zur spezifischen Nutzergeschichte).
  
  
• Sofortige Sperrung und Alarmierung (hohes Risiko): In Hochrisikofällen kann das System den Anmeldeversuch sofort blockieren und die Sicherheitsabteilung des Unternehmens benachrichtigen.

A-MFA-Systeme überwachen kontinuierlich die Aktivitäten und das Verhalten jedes Benutzers, um Anomalien im Laufe der Zeit besser zu erkennen. Immer häufiger setzen A-MFA-Systeme auf Algorithmen des maschinellen Lernens, um aus den früheren Anmelde- oder Zugriffsversuchen eines Benutzers zu lernen. Je mehr Anmeldeversuche das System verarbeitet, desto besser kann es ordnungsgemäße und verdächtige Versuche unterscheiden.

Unternehmen setzen die adaptive MFA aus verschiedenen Gründen ein, unter anderem:

• Erhöhte Kontrolle für Systemadministratoren: A-MFA-Systeme ermöglichen es Administratoren, die Anzahl der Authentifizierungsanforderungen je nach Empfindlichkeit des Assets und/oder der Rolle der Person, die auf das Asset zugreifen will, zu erhöhen oder zu verringern.
  
  
• Optimale Benutzerfreundlichkeit mit gleichbleibender Sicherheit: A-MFA ermöglicht Flexibilität bei ihren Authentifizierungsanforderungen, sodass die Sicherheit der Situation entspricht und das Nutzererlebnis nicht eingeschränkt wird.
  
  
• Erhöhte Gesamtresilienz: Die Einführung von A-MFA als Teil eines Zero-Trust-Sicherheitsansatzes stärkt die Sicherheit sofort und reduziert das Risiko von Datenpannen durch Angriffe wie Phishing erheblich.