Multi-Faktor-Authentifizierung
Die fetten Phishing-Jahre beenden
Fortsetzung des Artikels von Teil 1
Prompt Bombing: „Uber-forderte“ Nutzer
Im September 2022 gab es einen besonders prominenten Fall von Prompt Bombing: Ein Angreifer konnte die MFA des Fahrdienstvermittlers Uber umgehen und so vertrauliche Daten erbeuten. Gelingen konnte ihm dies, indem er sich die Login-Daten eines Uber-Auftragnehmers (mutmaßlich im Darkweb) beschaffte und danach wiederholt versuchte, sich in dessen Uber-Account einzuloggen. Jedes Mal erhielt der Auftragnehmer die Aufforderung, die Anmeldung per zweitem Faktor zu bestätigen – und jedes Mal lehnte er ab. Als der Angreifer das Opfer daraufhin jedoch via WhatsApp kontaktierte und sich als Tech-Support ausgab, konnte er den Uber-Auftragnehmer schließlich doch zur Bestätigung der Login-Anfrage verleiten.
Dass selbst passwortlose Verfahren wie Push-Logins oder die Verwendung von Einmalpasswörtern via Authenticator-App nicht komplett vor Phishing schützen können, sollte allen IT-Verantwortlichen, die MFAs verwenden, zu denken geben. Selbst der FIDO-konforme Authentifizierungsstandard WebAuthn allein kann keinen 100-prozentigen Schutz gegen Credential-basierte und Man-in-the-Middle-Angriffe bieten. Denn dieser Standard legt nicht fest, wie man ein zweites Gerät hinzufügt oder das Konto wiederherstellt, wenn alle vorhandenen Geräte verloren gehen.
Man darf nicht vergessen, dass WebAuthn nur ein Authentifizierungsstandard ist und Benutzer nicht gegen Angriffsvektoren schützen kann, die das Hinzufügen eines zweiten Geräts oder die Wiederherstellung ausnutzen. Deshalb gilt WebAuthn zwar nicht als Phishing-sicher, aber als Phishing-resistent.
Allerdings gibt es einen großen Hemmschuh für die Massenakzeptanz von MFA-Methoden, die WebAuthn unterstützen: Das On- und Offboarding neuer Authentifizierungsgeräte ist für das Administrationsteam äußerst umständlich. Geht das registrierte Authentifizierungsgerät eines Nutzers verloren, muss er sein bestehendes WebAuthn-Konto mit einem neuen Schlüssel verbinden. Die WebAuthn-API macht jedoch es sehr schwierig, einen neuen Schlüssel an ein bestehendes Konto zu binden. Dies hat durchaus Kalkül, schließlich erhöht es die Sicherheit; allerdings steigt in gleichem Maße auch der Zeitaufwand für die Administration. Einen Kompromiss bildet WebAuthn als zweiter Faktor neben einem passwortbasierten Login. Das ist zwar bequemer für die Administratoren, aber auch wieder anfälliger für Phishing.Eine Phishing-sichere MFA, die den WebAuthn-Standard unterstützt, nutzt für den Login in eine Anwendung oder einen Cloud-Service die Authentifizierungsschnittstellen der Endgeräte – zum Beispiel eine biometrische Login-Funktion oder eine PIN, die nur lokal auf dem jeweiligen Gerät funktioniert. Sie sollte sich auf einem einzelnen Gerät einrichten und ausführen lassen (Same Device MFA).
Dies erspart den aufwendigen Ersatz verloren geganger Zweitgeräten wie Security Tokens und erleichtert den Unternehmen das On- und Offboarding neuer Nutzer deutlich. Gleichzeitig ist es wichtig, dass die Speicherung der Benutzerdaten (oder des privaten kryptografischen Schlüssels) dezentral auf dem jeweiligen Endgerät erfolgt.
Und schließlich sollte das Hinzufügen neuer Geräte oder die Wiederherstellung von Konten auf den Grundsätzen des Null-Vertrauens (Zero Trust) und des transitiven Vertrauens beruhen. Dies würde es einem privilegierten Insider unmöglich machen, die Anmeldedaten der Benutzer zu kompromittieren. Und da Zeit auch in der IT-Sicherheit Geld bedeutet, sollte die unternehmensweite MFA-Einführung nicht länger als 15 Minuten dauern.
Fazit: Phishing wird Auslaufmodell
Solange Phishing-sichere MFA noch nicht flächendeckend zum Einsatz kommt, wird es weiter zahlreiche Angriffe auf Unternehmen und Beschäftigte geben. Allerdings bestätigt die zunehmende Sensibilisierung von IT-Abteilungen für das Thema Phishing-Resilienz, dass hier langsam ein Umdenken stattfindet. Auch die Versicherungsbranche zeigt ein wachsendes Interesse an Phishing-sicherer MFA, vor allem in Hinblick auf Cyberversicherungen. Angesichts der Schäden, die durch Ransomware- und andere Angriffe bei Unternehmen entstehen, ist das wenig verwunderlich. Vieles spricht also dafür, dass fetten Phishing-Jahre bald vorbei sind. Das Tempo geben die Unternehmen vor, die bereits auf Phishing-sichere MFA setzen.
Al Lakhani ist CEO des MFA-Anbieters Idee.
- Die fetten Phishing-Jahre beenden
- Prompt Bombing: „Uber-forderte“ Nutzer
Lesen Sie mehr zum Thema
