Was ist MFA (Multi-Faktor-Authentifizierung)?

Viele Internetnutzer sind mit der gängigsten Form der MFA, der Zwei-Faktor-Authentifizierung (2FA), vertraut. Bei der Zwei-Faktor-Authentifizierung werden nur zwei Nachweise verlangt, während einige MFA-Implementierungen drei oder mehr verlangen.

Um sich beispielsweise bei einem durch MFA geschützten E-Mail-Konto anzumelden, muss ein Benutzer möglicherweise das richtige Kontopasswort (der erste Faktor) und ein Einmalpasswort eingeben, den der E-Mail-Anbieter in einer SMS an das Mobiltelefon des Benutzers sendet (der zweite Faktor). Für ein besonders sensibles Konto kann ein dritter Nachweis – beispielsweise der Besitz eines Hardwareschlüssels – erforderlich sein.

Der Benutzer kann nur dann auf das System zugreifen, wenn alle erforderlichen Faktoren erfüllt sind. Wenn etwas nicht stimmt, schlägt der Anmeldeversuch fehl.

MFA-Methoden werden eingesetzt, um auf verschiedene Arten sensibler Konten, Assets und Systeme zuzugreifen. Sie erscheinen sogar offline: Die Verwendung einer EC-Karte (der erste Nachweis) und einer PIN (der zweite Nachweis) zum Abheben von Bargeld an einem Geldautomaten ist ebenfalls eine Form von MFA.

Die MFA ist zu einem immer wichtigeren Bestandteil der Strategien für Corporate Identity und Access Management (IAM) geworden. Standardmethoden zur Ein-Faktor-Authentifizierung basieren auf Benutzernamen und Kennwörtern, die leicht zu stehlen oder zu hacken sind. Laut dem Data Breach Kostenreport von IBM sind kompromittierte Zugangs- und Anmeldedaten tatsächlich für 10 % aller Datenschutzverletzungen verantwortlich.

MFA-Systeme fügen eine zusätzliche Sicherheitsebene hinzu, indem sie mehr als einen Nachweis fordern, um die Identität eines Benutzers zu bestätigen. Selbst wenn ein Hacker ein Passwort stiehlt, hat er nicht genug Informationen, um sich unbefugten Zugriff auf ein System zu verschaffen. Er würde immer noch den zweiten Faktor benötigen.

Darüber hinaus ist der zweite Faktor oft viel schwieriger zu knacken als ein einfaches Passwort, wie z. B. der Scan eines Fingerabdrucks oder ein Physical Security Token.

In einem MFA-System benötigen Benutzer mindestens zwei Nachweise, sogenannte „Authentifizierungsfaktoren“, um ihre Identität zu belegen. MFA-Systeme können mehrere Arten von Authentifizierungsfaktoren verwenden, wobei ein effektives MFA-System mindestens zwei verschiedene Arten von Faktoren benötigt.

Die Verwendung unterschiedlicher Faktoren gilt als sicherer als mehrere Faktoren derselben Art zu verwenden, da Cyberkriminelle über verschiedene Kanäle hinweg separate Methoden anwenden müssen, um jeden Faktor zu knacken.

Beispielsweise könnten Hacker das Passwort eines Benutzers stehlen, indem sie Spyware auf dem Computer des Opfers installieren. Diese Spyware könnte aber weder Einmal-Passcodes ausspähen, die an das Smartphone des Benutzers gesendet werden, noch den Fingerabdruck des Benutzers kopieren. Die Angreifer müssten die SMS-Nachricht mit dem Passcode abfangen oder den Scan des Fingerabdrucks hacken, um alle benötigten Anmeldedaten zu erhalten.

Zu den Arten von Authentifizierungsfaktoren gehören:

• Wissensfaktoren
• Besitzfaktoren
• Inhärente Faktoren
• Verhaltensfaktoren

Bei Wissensfaktoren handelt es sich um Informationen, die theoretisch nur der Benutzer kennt, wie z. B. Passwörter, PINs und Antworten auf Sicherheitsfragen. Wissensfaktoren, in der Regel Passwörter, sind der erste Faktor bei den meisten MFA-Implementierungen.

Allerdings sind Wissensfaktoren auch am anfälligsten bei der Authentifizierung. Hacker können Passwörter und andere Wissensfaktoren durch Phishing-Angriffe, das Installieren von Malware auf den Benutzergeräten oder Brute-Force-Angriffe ausspähen. Hierbei kommen Bots zum Einsatz, die potenzielle Passwörter für ein Konto generieren und so lange testen, bis eines funktioniert.

Andere Arten von Wissensfaktoren sind ebenfalls angreifbar. Die Antworten auf viele Sicherheitsfragen – wie zum Beispiel die klassische Frage nach dem Mädchennamen der Mutter – lassen sich durch einfache Recherchen in sozialen Medien oder Social-Engineering-Angriffen ermitteln, die Benutzer dazu verleiten, persönliche Informationen preiszugeben.

Das übliche Vorgehen, ein Passwort und eine Sicherheitsfrage zu verlangen, ist übrigens keine echte MFA, weil dabei zwei Komponenten derselben Art verwendet werden, in diesem Fall zwei Wissensfaktoren. Stattdessen ist es ein Beispiel für einen zweistufigen Verifizierungsprozess. Die Bestätigung in zwei Schritten bietet zusätzliche Sicherheit, da sie mehr als einen Faktor erfordert, aber sie ist nicht so sicher wie eine echte MFA.

Besitzfaktoren sind Dinge, die eine Person besitzt und mit denen sie ihre Identität nachweisen kann. Zu den Besitzfaktoren gehören sowohl digitale Software-Token als auch physische Hardware-Token.

Heute sind Software-Token eher digitale Sicherheitsschlüssel, die auf einem Gerät des Benutzers gespeichert oder von diesem generiert werden, in der Regel ein Token oder ein anderes mobil Gerät. Bei Software-Tokens dient das Gerät des Benutzers als Besitzfaktor. Das MFA-System geht davon aus, dass nur der legitime Benutzer Zugriff auf das Gerät und alle darauf befindlichen Informationen hat.

Software-Tokens können viele Formen annehmen, von digitalen Zertifikaten, die einen Benutzer automatisch authentifizieren, bis hin zu Einmalpasswörtern (One-Time-Passwords, OTPs), die sich bei jeder Anmeldung eines Benutzers ändern.

Einige MFA-Lösungen senden OTPs per SMS, E-Mail oder Anruf an das Mobiltelefon des Benutzers. Andere MFA-Implementierungen nutzen Authenticator-Apps: spezialisierte mobile Apps, die kontinuierlich zeitbasierte Einmalpasswörter (Time Based One Time Passwords, TOTPs) generieren. Viele TOTPs laufen nach 30–60 Sekunden ab, was es schwierig macht, sie zu stehlen und zu verwenden, bevor die Zeit abläuft und das Passwort veraltet ist.

Einige Authenticator-Apps verwenden Push-Benachrichtigungen anstelle von TOTPs. Wenn ein Benutzer versucht, sich bei einem Konto anzumelden, sendet die App eine Push-Benachrichtigung direkt an das iOS- oder Android-Betriebssystem des Geräts des Benutzers. Der Benutzer muss auf die Benachrichtigung tippen, um den Anmeldeversuch zu bestätigen.

Zu den gängigen Authenticator-Apps gehören Google Authenticator, Microsoft Authenticator und LastPass Authenticator.

Andere Authentifizierungssysteme verwenden dedizierte Hardware, die als Token fungiert. Einige physische Token werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen automatisch an Apps und Websites. Andere Hardware-Token sind eigenständige Geräte, die bei Bedarf OTPs generieren.

Zu den Hardware-Token können auch herkömmliche Sicherheitsschlüssel gehören, beispielsweise ein Anhänger zum Öffnen eines physischen Schlosses oder eine Smartcard, die ein Benutzer durch ein Kartenlesegerät ziehen muss.

Der Hauptvorteil von Besitzfaktoren besteht darin, dass böswillige Akteure den Faktor in ihrem Besitz haben müssen, um sich als Benutzer auszugeben. Oft bedeutet dies den Diebstahl eines physischen Smartphones oder eines Sicherheitsschlüssels. Darüber hinaus verfallen OTPs nach einer bestimmten Zeit. Selbst wenn Hacker eines stehlen, gibt es keine Garantie, dass es funktioniert.

Aber Besitzfaktoren sind nicht narrensicher. Physische Tokens können gestohlen, verloren oder verlegt werden. Digitale Zertifikate können kopiert werden. OTPs sind schwieriger zu stehlen als herkömmliche Passwörter, aber sie sind immer noch anfällig für bestimmte Arten von Malware, Spear-Phishing-Betrug oder Man-in-the-Middle-Angriffe.

Hacker können auch ausgefeiltere Mittel einsetzen. Bei einem SIM-Klon-Betrug erstellen Angreifer ein funktionsfähiges Duplikat der SIM-Karte des Smartphones des Opfers, das es ihnen ermöglicht, Passwörter abzufangen, die an die Telefonnummer des Benutzers gesendet werden.

MFA-Fatigue-Angriffe nutzen MFA-Systeme aus, die Push-Benachrichtigungen verwenden. Die Hacker überschwemmen das Gerät des Benutzers mit betrügerischen Benachrichtigungen in der Hoffnung, dass das Opfer versehentlich eine davon bestätigt und so dem Hacker Zugang zu seinem Konto gewährt.

Die auch als „Biometrie“ bezeichneten inhärenten Faktoren sind körperliche Merkmale, die nur auf den Benutzer zutreffen, wie Fingerabdrücke, Gesichtszüge und Netzhaut-Scans. Viele Smartphones und Laptops sind mit Gesichtsscannern und Fingerabdrucklesern ausgestattet und oft verwenden Apps und Websites diese biometrischen Daten als Authentifizierungsfaktor.

Obwohl biometrische Charakteristiken zu den am schwierigsten zu knackenden Faktoren gehören, ist auch dies durchaus möglich. Zum Beispiel haben Sicherheitsforscher einen Weg gefunden, die Windows Hello-Fingerabdruckscanner auf bestimmten Laptops zu hacken. Den Forschern gelang es, die Fingerabdrücke der registrierten Benutzer durch ihre eigenen zu ersetzen und so effektiv die Kontrolle über die Geräte zu übernehmen.

Fortschritte bei der Bilderzeugung durch künstliche Intelligenz (KI) geben Cybersicherheitsexperten ebenfalls Anlass zur Sorge, da Hacker diese Tools nutzen könnten, um die Gesichtserkennungssoftware auszutricksen.

Wenn biometrische Daten kompromittiert werden, können sie weder schnell noch einfach geändert werden, was es schwierig macht, einen laufenden Angriff zu stoppen und die Kontrolle über die Konten zurückzugewinnen.

Verhaltensfaktoren sind digitale Artefakte, die bei der Verifizierung der Identität eines Benutzers helfen, indem sie auf Verhaltensmuster wie den typischen IP-Adressbereich, den Standort und die durchschnittliche Tippgeschwindigkeit des Benutzers eingehen.

Wenn sich ein Benutzer beispielsweise über ein virtuelles privates Netzwerk (VPN) bei einer App anmeldet, muss er möglicherweise nur einen Authentifizierungsfaktor angeben. Seine Präsenz im vertrauenswürdigen VPN ist der zweite Faktor.

In ähnlicher Weise erlauben einige Systeme Benutzern, vertrauenswürdige Geräte als Authentifizierungsfaktoren zu registrieren. Immer wenn der Benutzer von dem vertrauenswürdigen Gerät aus auf das System zugreift, fungiert die Nutzung des Geräts automatisch als zweiter Faktor.

Auch wenn Verhaltensfaktoren eine weit verbreitete Möglichkeit sind, um Benutzer zu authentifizieren, können sich Hacker als diese Benutzer ausgeben, indem sie deren Verhalten kopieren.

Wenn ein Hacker beispielsweise Zugriff auf ein vertrauenswürdiges Gerät erhält, kann er es als Authentifizierungsfaktor verwenden. Ebenso können Angreifer IP-Adressen fälschen, sodass es so aussieht, als wären sie mit dem VPN des Unternehmens verbunden.

Adaptive MFA verwendet eine adaptive Authentifizierung, auch „risikobasierte Authentifizierung“ genannt. Adaptive Authentifizierungssysteme nutzen KI und maschinelles Lernen (ML), um die Benutzeraktivität auszuwerten und Herausforderungen bei der Authentifizierung dynamisch anzupassen. Je riskanter eine Situation ist, desto mehr Authentifizierungsfaktoren muss der Benutzer angeben.

Wenn ein Benutzer beispielsweise versucht, sich von einem bekannten Gerät in einem vertrauenswürdigen Netzwerk bei einer Low-Level-App anzumelden, muss er möglicherweise nur ein Passwort eingeben.

Wenn derselbe Benutzer versucht, sich über eine ungesicherte öffentliche WLAN-Verbindung bei derselben App anzumelden, muss er möglicherweise einen zweiten Faktor angeben.

Wenn der Benutzer auf besonders sensible Informationen zugreifen oder entscheidende Kontoinformationen ändern möchte, muss er möglicherweise einen dritten oder sogar einen vierten Faktor angeben.

Adaptive Authentifizierungssysteme können Unternehmen dabei helfen, einige der häufigsten Herausforderungen bei MFA-Implementierungen zu bewältigen. Beispielsweise lehnen manche Benutzer die MFA ab, weil ihnen diese weniger bequem erscheint als ein einfaches Kennwort. Die adaptive MFA sorgt dafür, dass Benutzer nur in sensiblen Situationen mehrere Faktoren benötigen, was die Benutzererfahrung verbessert.

Für Unternehmen können verschiedene Assets und Teile des Netzwerks unterschiedliche Sicherheitsstufen erfordern. Die Verpflichtung zur MFA für jede App und Aktivität könnte zu schlechteren Benutzererfahrungen und geringen Sicherheitsvorteilen führen.

Adaptive Authentifizierungssysteme ermöglichen es Unternehmen, differenziertere Zugriffsverwaltungsprozesse zu definieren, die auf den beteiligten Benutzern, Aktivitäten und Ressourcen basieren, anstatt eine Einheitslösung anzuwenden.

Allerdings erfordern adaptive Systeme möglicherweise mehr Ressourcen und Fachwissen für die Wartung als eine Standard-MFA-Lösung.

Passwortlose MFA-Systeme akzeptieren nur Besitz-, inhärente und verhaltensbedingte Faktoren - keine Wissensfaktoren. Wenn ein Benutzer beispielsweise um einen Fingerabdruck in Kombination mit einem physischen Token gebeten wird, wäre das eine passwortlose MFA.

Passkeys, die beispielsweise auf dem gängigen FIDO-Standard basieren, gehören zu den häufigsten passwortlosen Formen der Authentifizierung. Sie verwenden eine Public-Key-Verschlüsselung, um die Identität eines Benutzers zu verifizieren.

Passwortlose MFA verzichtet auf Wissensfaktoren, weil sie die am leichtesten zu kompromittierenden Faktoren sind. Zwar verwenden die meisten aktuellen MFA-Methoden Passwörter, doch Branchenexperten rechnen damit, dass passwortlose Verfahren in Zukunft immer häufiger genutzt werden. Unternehmen wie Google, Apple, IBM und Microsoft bieten passwortlose Authentifizierungsoptionen an.

Unternehmen verwenden Authentifizierungssysteme, um Benutzerkonten vor diesen Angriffen zu schützen. In den einfachsten Authentifizierungssystemen ist jedoch ein Passwort alles, was man braucht, um Zugang zu erhalten, was nicht viel sicherer ist als „Charlie hat mich geschickt“.

Laut dem IBM Data Breach Kostenreport sind kompromittierte Anmeldedaten und Phishing zwei der häufigsten Cyberangriffsvektoren hinter Datenschutzverletzungen. Zusammen machen sie etwa 26 % der Sicherheitsverletzungen aus. Beide Angriffsvektoren arbeiten hauptsächlich damit, Passwörter zu stehlen. Diese können von Hackern genutzt werden, um echte Konten und Geräte zu übernehmen und Chaos anzurichten.

Hacker greifen Passwörter an, weil sie durch Brute-Force-Angriffe oder Täuschung relativ leicht zu knacken sind. Da Passwörter oft wiederverwendet werden, reicht in vielen Fällen ein einziges gestohlenes Passwort, um in mehrere Konten einzudringen. Die Folgen eines gestohlenen Passworts können für Benutzer und Unternehmen erheblich sein und reichen von Identitätsdiebstahl und finanziellem Diebstahl bis hin zur Systemmanipulation und mehr.

Die MFA ergänzt Benutzerkonten um eine zusätzliche Sicherheitsebene und hilft, unbefugte Zugriffe zu verhindern, indem mehr Hindernisse zwischen Angreifern und ihren Zielen errichtet werden. Selbst wenn Hacker ein Passwort stehlen, benötigen sie mindestens einen weiteren Faktor, um Schaden anzurichten.

Die MFA kann Unternehmen auch dabei helfen, Compliance-Anforderungen zu erfüllen. Zum Beispiel verlangt der Payment Card Industry Data Security Standard (PCI DSS) ausdrücklich eine MFA für Systeme, die Kreditkartendaten verarbeiten.

Andere Datenschutz- und Sicherheitsvorschriften, wie der Sarbanes-Oxley (SOX) Act und die Datenschutz-Grundverordnung (DSGVO), erfordern nicht ausdrücklich eine MFA. MFA-Systeme können Unternehmen jedoch dabei unterstützen, die strengen Sicherheitsstandards dieser Gesetze einzuhalten.

Es gab Fälle, in denen Unternehmen aufgrund von Datenschutzverletzungen gezwungen waren, die MFA einzuführen. Zum Beispiel befahl die Federal Trade Commission dem Online-Alkoholhändler Drizly nach einem Verstoß, von dem 2,5 Millionen Kunden betroffen waren, MFA einzuführen.¹

Single Sign-on (SSO) ist ein Authentifizierungsschema, das es Benutzern ermöglicht, sich mit einem einzigen Satz von Zugangsdaten bei mehreren Anwendungen anzumelden. SSO und MFA befassen sich zwar beide mit der Authentifizierung, dienen aber grundlegend unterschiedlichen Zwecken: MFA erhöht die Sicherheit, während SSO auf Benutzerfreundlichkeit ausgelegt ist.

SSO wird häufig in Unternehmen eingesetzt, in denen Mitarbeiter für ihre Arbeit auf mehrere Dienste oder Apps zugreifen müssen. Wenn Benutzer für jede App separate Konten erstellen müssen, kann dies zu einer Kennwortmüdigkeit führen, also zu Stress, der mit dem Merken einer unangemessenen Anzahl von Zugangsdaten verbunden ist.

SSO ermöglicht es Mitarbeitern, ein einziges Login für mehrere Anwendungen zu verwenden, was die Erfahrung verbessert.

Die MFA löst nicht unbedingt das Probleme der Benutzererfahrung, fügt aber zusätzliche Sicherheitsebenen zum Anmeldeprozess hinzu.

MFA und SSO sind insofern verwandt und komplementär, als dass moderne SSO-Systeme häufig eine MFA erfordern, was dazu beiträgt, dass die Anmeldung sowohl bequem als auch relativ sicher ist.

Der Unterschied zwischen 2FA und MFA besteht darin, dass bei 2FA genau zwei Faktoren verwendet werden, während bei MFA zwei, drei oder sogar mehr Faktoren erforderlich sind, je nach erforderlichem Sicherheitsniveau. 2FA ist eine Art von MFA.

Die meisten MFA-Anwendungen nutzen 2FA, weil zwei Faktoren oft ausreichend sicher sind. Unternehmen benötigen jedoch möglicherweise zusätzliche Faktoren zum Identitätsnachweis, bevor sie Zugriff auf hochsensible Informationen wie Finanzdaten oder Dateien mit personenbezogenen Daten gewähren.