Welche Arten von Angriffen verhindert die Multi-Faktor-Authentifizierung?

Im Jahr 2020 kostete die Cyberkriminalität weltweit über 1 Billion US.Dollar, 37 % aller Unternehmen waren von Ransomware-Angriffen und 61 % von Malware-Angriffen betroffen. Diese Tatsachen zeigen, dass Unternehmen mit vielen schwerwiegenden Cyberstraftaten konfrontiert sind. Um ihre Netzwerke, Systeme und Daten zu schützen, benötigen sie robuste Cybersicherheitskontrollen und Methoden wie die Multi-Faktor-Authentifizierung (MFA).

Doch vor welchen Arten von Cyberangriffen schützt MFA?

• Phishing
• Spear Phishing
• Keylogger
• Credential Stuffing
• Brute-Force- und Reverse-Brute-Force-Angriffe
• Man-in-the-Middle-Angriffe (MITM)

Bei herkömmlichen Ein-Faktor-Authentifizierungssystemen müssen die Benutzer nur einen Verifizierungsfaktor, nämlich das Kennwort, angeben, um auf ein System oder eine Anwendung zuzugreifen. Hacker können diese Kennwörter leicht stehlen und sich in ein Unternehmenssystem einhacken.

MFA-Systeme erfordern zwei oder mehr Faktoren, um die Identität eines Benutzers zu überprüfen und ihm Zugriff auf ein Konto zu gewähren. MFA bietet die zuverlässige Gewissheit, dass ein autorisierter Benutzer derjenige ist, für den er sich ausgibt, und minimiert so das Risiko unbefugter Zugriffe. Aus diesen Gründen ist MFA im Vergleich zu Kennwörtern ein wesentlich effektiverer Schutz für Systeme.

Um zu verstehen, wie MFA vor Cyberangriffen schützt, sollten wir uns zunächst ansehen, wie diese Cyberangriffe funktionieren:

Phishing

2020 wurden 75 % der Unternehmen weltweit Opfer eines Phishing-Angriffs. Phishing war auch die häufigste Angriffsart bei Datenschutzverletzungen.

Bei einem Phishing-Angriff wird eine E-Mail als Waffe eingesetzt. Der Cyberkriminelle gibt sich als jemand aus, dem das Opfer normalerweise vertrauen würde, z. B. eine Regierungsorganisation oder eine Bank. Der Angreifer erstellt dann eine gefälschte E-Mail mit einem bösartigen Anhang oder Link, die so aussieht, als käme sie von der vertrauenswürdigen Organisation.

Ziel ist es, das Opfer zu einer Handlung zu verleiten, die dem Angreifer nützt. Beispielsweise kann der Benutzer aufgefordert werden, sich mit seinen Anmeldedaten anzumelden und bestimmte Transaktionen über den angegebenen (gefälschten) Link vorzunehmen. Der Angreifer stiehlt die Anmeldeinformationen des Benutzers, meldet sich auf der echten Website an, während er vorgibt, der Benutzer zu sein, und stiehlt das Geld des Benutzers.

Beim Spear Phishing zielt der Angreifer mit gut formulierten, glaubwürdigen und relevanten Nachrichten auf bestimmte Personen oder Unternehmen ab. Dazu verwendet er häufig personalisierte Inhalte wie den Namen des Benutzers oder bezieht sich auf eine kürzlich durchgeführte Aktion (z. B. einen Online-Kauf) oder ein Ereignis (etwa eine Hochzeit), um die Botschaft glaubwürdiger zu machen.

Wie beim Phishing enthalten auch Spear-Phishing-E-Mails einen überzeugend wirkenden Handlungsaufruf, der die Benutzer in der Regel dazu verleiten soll, sensible Daten, z. B. ihre Kontodaten oder Finanzinformationen, anzugeben.

Whaling ist eine Form des gezielten Spear-Phishings, die auf ein hochrangiges oder prominentes Opfer abzielt, z. B. auf eine hochrangige Führungskraft. Diese Personen sind in der Regel stärker mit dem Thema Cybersicherheit vertraut, sodass „normale“ Phishing-Taktiken bei ihnen in der Regel nicht funktionieren. Infolgedessen verwenden die Angreifer ausgefeiltere Methoden und maßgeschneiderte betrügerische Nachrichten, die persönlich an das Opfer gerichtet sind. Die Angreifer nutzen Dringlichkeit, um das Opfer zu einer bestimmten Handlung zu zwingen, z. B. zum Öffnen eines Anhangs, der Malware installiert, oder zum Auslösen einer Überweisung.

Keylogger

Ein Keylogger ist eine Art von Überwachungsprogramm oder Spyware. Cyberkriminelle installieren Keylogger auf dem Gerät des Opfers, häufig über einen Virus. Das Programm erfasst jeden Tastenanschlag des Opfers und zeichnet dessen Benutzernamen, Kennwörter, Antworten auf Sicherheitsfragen, Bank- und Kreditkartendaten, besuchte Websites und vieles mehr auf. Cyberkriminelle nutzen diese sensiblen Informationen dann für böswillige Zwecke.

Brute-Force-, Wörterbuch- und Credential-Stuffing-Angriffe

Bei einem Brute-Force-Angriff verwendet der Cyberkriminelle ein Programm, um eine große Zahl an möglichen Kombinationen aus Benutzernamen und Kennwörtern zu generieren. Dies geschieht in der Hoffnung, dass er mit mindestens einer davon Zugriff auf ein Unternehmenssystem erhält. Brute-Force-Angriffe sind sehr verbreitet und bieten Cyberkriminellen viele Vorteile:

• Platzierung von Spam-Anzeigen auf Websites, um Geld zu verdienen, wenn die Anzeige angeklickt oder angesehen wird

• Infizieren der Besucher einer Website mit Spyware zur Aktivitätsaufzeichnung, um ihre Daten zu stehlen und sie an Vermarkter (oder im Darknet) zu verkaufen

• Einhacken in Benutzerkonten, um persönliche Daten, Finanzdaten oder Geld zu stehlen

• Verbreitung von Schadsoftware oder Hijacking von Unternehmenssystemen zur Störung des Betriebs

Bei einem Reverse-Brute-Force-Angriff probiert der Angreifer gängige Kennwörter aus, z. B. „password“ oder „123456“, um einen Benutzernamen durch Brute Force zu hacken und Zugriff auf Konten zu erhalten.

Wörterbuchangriffe sind eine gängige Art von Brute-Force-Angriffen, bei denen der Angreifer ein Wörterbuch mit möglichen Kennwörtern durcharbeitet und alle ausprobiert, um Zugriff zu erhalten.

Ein Credential-Stuffing-Angriff ist eine Art Brute-Force-Angriff, bei dem auch Kennwörter ausgenutzt werden. Viele Menschen verwenden oft denselben Benutzernamen und/oder dasselbe Kennwort für mehrere Konten. Angreifer machen sich diese Tatsache zunutze, um Credential-Stuffing-Angriffe zu verüben, bei denen sie Anmeldedaten stehlen und versuchen, diese für den Zugriff auf viele Konten zu verwenden. Manchmal verschaffen sie sich Anmeldeinformationen von einem Unternehmen, entweder durch eine Datenpanne oder aus dem Darknet, und verwenden diese Informationen für Benutzerkonten eines anderen Unternehmens. Dabei hoffen sie, dass sie zumindest einige der gleichen Anmeldedaten verwenden können, um folgende Ziele zu erreichen:

• Verkauf des Zugriffs auf kompromittierte Konten

• Identitätsdiebstahl

• Betrug

• Diebstahl von sensiblen Unternehmensdaten, z. B. Geschäftsgeheimnisse, personenbezogene Daten (Personally Identifiable Information, PII), Finanzdaten, geistiges Eigentum usw.

• Ausspionieren von Unternehmen (Wirtschaftsspionage)

Man-in-the-Middle-Angriffe

Bei einem MITM-Angriff belauscht der Angreifer die Verbindung eines Benutzers mit einer anderen Partei. Er überwacht die Kommunikation zwischen diesen Parteien oder fängt sie ab, um die Anmeldedaten oder persönlichen Informationen des Benutzers zu stehlen, Daten zu beschädigen oder die Sitzung zu kapern und die Kommunikation zu sabotieren.

Bei all diesen Cyberangriffen geht es um die Erlangung von Anmeldeinformationen. Wenn MFA verwendet wird, müssen Benutzer zusätzliche Informationen oder Anmeldedaten angeben, um Zugriff auf ein Konto zu erhalten. Selbst wenn es einem Angreifer also gelingt, Kennwörter zu stehlen, ist es unwahrscheinlich, dass er auch in der Lage ist, die zusätzlichen Authentifizierungsfaktoren zu stehlen oder zu kompromittieren, die für MFA erforderlich sind. Aus diesem Grund kann MFA Cyberkriminelle ausbremsen und viele Arten von Cyberangriffen erfolgreich bekämpfen, darunter:

Phishing, Speer-Phishing und Whaling

Ein Angreifer kann einen Phishing-Angriff starten, um die Anmeldedaten eines Benutzers zu stehlen. Wenn das Benutzerkonto jedoch durch MFA geschützt ist, kann der Angreifer nicht darauf zugreifen. Dies liegt daran, dass eine Phishing-E-Mail keine anderen Authentifizierungsfaktoren wie Einmalkennwörter (One-Time Passwords, OTPs), die an ein anderes Gerät (z. B. ein Mobiltelefon) gesendet werden, Fingerabdrücke oder andere biometrische Faktoren enthält, die für den Zugriff auf das System erforderlich sind.

Bei Angriffen, bei denen versucht wird, einen Benutzer zur Eingabe seiner Anmeldedaten zu verleiten, verlangen bestimmte MFA-Typen wie WebAuthn, dass der Benutzer ein Yubikey oder einen Fingerabdruck eingibt, der mit dem System verknüpft ist, von dem aus er sich anmeldet. Diese Details können vom Angreifer nicht erbeutet werden, wodurch das System und der Benutzer geschützt werden.

Keylogger

Keylogger können alle in ein System eingegebenen Kennwörter aufzeichnen. Aber wenn MFA aktiviert ist, reicht es nicht aus, dass der Hacker einfach nur Zugriff auf das Kennwort erhält. Um sich anzumelden, benötigt er auch Zugriff auf die anderen Authentifizierungsfaktoren. Wenn MFA beispielsweise mit einer mobilen Authentifizierungs-App eingerichtet wird, muss sich der autorisierte Benutzer einfach mit seinem mobilen Gerät anmelden und die Authentifizierungsanfrage akzeptieren. Ohne Zugriff auf dieses zweite Gerät können sich Cyberkriminelle nicht einhacken, selbst wenn ein Keylogger auf dem System des Benutzers installiert ist.

Credential Stuffing

MFA ist ein sehr effektiver Ansatz zur Neutralisierung von Credential-Stuffing-Angriffen, bei denen Cyberkriminelle automatisch und gleichzeitig eine Liste von gestohlenen Benutzernamen und Kennwörtern auf mehreren Websites ausprobieren. Bei aktivierter MFA benötigt der Cyberkriminelle jedoch zusätzliche Informationen für die Authentifizierung und Anmeldung. Da er diese Informationen nicht hat, kann er sich keinen unbefugten Zugriff auf die Systeme des Unternehmens verschaffen.

Brute-Force-Angriffe

Mit einem Brute-Force-, Reverse-Brute-Force- oder Wörterbuch-Angriff kann es einem Angreifer gelingen, einen vorhandenen Benutzernamen und das zugehörige Kennwort zu finden. Da er jedoch die anderen vom MFA-System geforderten Authentifizierungsfaktoren nicht kennt oder besitzt, kann er nicht auf das System zugreifen.

MITM-Angriffe

MFA kann auch ausgefeiltere Angriffe wie MITM abwehren. Selbst wenn sich ein Hacker oder ein böswilliges Programm in die Interaktion zwischen Benutzern und Anwendungen einschleust und die von den Benutzern eingegebenen Informationen erfasst, würde die MFA die Eingabe der Anmeldedaten von einem anderen Gerät aus verlangen. So lässt sich verhindern, dass der Man-in-the-Middle-Angreifer die Kommunikation zwischen dem Benutzer und der Anwendung abfangen oder manipulieren kann. Push-basierte Faktoren wie Mobiltelefon-Authentifikatoren sind gut geeignet, um einen sicheren MFA-Mechanismus zu bieten, ohne die Benutzer zu belästigen.

Nehmen wir an, ein Benutzer hat sich von seinem Laptop aus bei einem Konto angemeldet, das von einem MITM-Programm kompromittiert wurde. Da das Unternehmen jedoch MFA eingerichtet hat, muss er eine mobile App wie OneLogin Protect verwenden, um seine Anmeldung abzuschließen. Die native mobile Authentifizierungs-App sendet einen Code vom Telefon an das Authentifizierungssystem, um die Anmeldung sicher abzuschließen. Da der Hacker keinen Zugriff auf das Telefon des Benutzers oder den von der App generierten Einmalcode hat, wird der Angriff verhindert.

Die Webauthentifizierungs-API (auch bekannt als WebAuthn) bietet eine zusätzliche Sicherheitsebene, wenn Benutzer versuchen, auf Webanwendungen zuzugreifen. Die Authentifizierung wird durch ein Hardware-Sicherheitsmodul unterstützt, das den privaten Schlüssel sicher speichern kann, auf den nur der autorisierte Benutzer Zugriff hat. WebAuthn setzt auf starke Public-Key-Kryptographie anstelle von schwachen Kennwörtern, um autorisierte Benutzer zu authentifizieren und die Gefahr von MITM-Angriffen zu verringern.

Ransomware (Erpressungssoftware) ist ein weiteres wachsendes Cybersicherheitsproblem für Unternehmen. In den USA beispielsweise ist die Zahl der Cyberangriffe zwischen 2019 und 2020 um 139 % gestiegen. Allein im dritten Quartal 2020 waren es 145,2 Millionen Fälle. Auch die Lösegeldzahlungen stiegen um 311 % und erreichten fast 350 Millionen US-Dollar in Kryptowährungen.

Ransomware ist eine Art von Malware, die ein Angreifer heimlich auf dem System eines Benutzers installiert. Das Programm verschlüsselt die Dateien oder Daten des Benutzers. Um diese gesperrten Dateien zu entschlüsseln und den Zugriff des Benutzers wiederherzustellen, verlangt der Angreifer ein Lösegeld von seinem Opfer.

Neben der Bekämpfung gängiger Cyberangriffe ist MFA auch ein wirksames Mittel zur Verhinderung von Ransomware-Angriffen. Ransomware-Angriffe beginnen, wenn sich ein Angreifer Zugriff auf die Anmeldeinformationen eines Kontos verschafft. Mit MFA verfügen die Angreifer jedoch nicht über die zusätzlich benötigten Informationen, um auf das Zielkonto zuzugreifen. Dadurch werden sie vom System ferngehalten und der Angriff verhindert.

Darüber hinaus lösen alle nicht autorisierten Anmeldeversuche eine Warnmeldung aus, wenn IT-Administratoren unerwartete MFA-Autorisierungsanfragen erhalten. Sie können dann sofort Maßnahmen ergreifen, um diese Angreifer fernzuhalten. Durch den Einsatz von MFA können Unternehmen Ransomware-Angriffe verhindern und sich vor teuren Erpressungsforderungen schützen.

Hierfür sind kontextbezogene, adaptive MFA-Lösungen wie SmartFactor Authentication^TM von OneLogin äußerst effektiv. SmartFactor Authentication analysiert eine Vielzahl von Daten, z. B. den Standort, das Gerät und das Verhalten des Benutzers, um die Anzahl der für die Anmeldung erforderlichen Authentifizierungsfaktoren anzupassen. Ebenso wichtig ist, dass das System die Risikostufe für jede Anmeldung bewertet und dann die Authentifizierungsanforderungen in Echtzeit dynamisch anpasst. So schützt es das Unternehmen zuverlässig vor Ransomware-Angriffen.

MFA kann keine vollständige Sicherheit garantieren und nicht alle Cyberangriffe verhindern. Sie kann jedoch dazu beitragen, wichtige Systeme und Konten zu schützen, den E-Mail-Zugriff abzusichern und den Nutzen gestohlener Anmeldedaten einzuschränken. Vor allem aber fügt MFA zusätzliche Authentifizierungsebenen hinzu, um Systeme zu schützen und viele Arten von Cyberangriffen abzuwehren. MFA ist auch entscheidend für das Erreichen von Zero Trust, dem zuverlässigsten Cybersicherheitsansatz in der modernen Cyberbedrohungslandschaft.