Sieben Punkte, die Sie vor der Umstellung auf MFA beachten sollten

Passwörter sind schwer zu merken. Eine gefühlt ständig wachsende Liste von formalen Anforderungen soll Passwörter sicherer machen, bewirkt aber in vielen Fällen das Gegenteil: Komplexe Passwörter, die alle Anforderungen erfüllen, sind oft schwer zu merken und werden daher mehrfach für verschiedene Websites verwendet oder auf Post-it's notiert, die sichtbar am Monitor kleben. Benutzer verwenden häufig auch einfach zu entschlüsselnde Namen von Haustieren, Geburtstage und Telefonnummern. Damit kann man keine Daten schützen. Glücklicherweise verstehen Unternehmen allmählich, dass der unbefugte Zugriff für Hacker möglichst schwierig, der für befugte Benutzer aber möglichst einfach sein sollte. Und dies erreicht man am besten mit der Multi-Faktor-Authentifizierung (MFA).

MFA ist eine hervorragende Möglichkeit, die Anwendungen und Dienste Ihrer Benutzer vor unbefugtem Zugriff zu schützen. Hier sind einige Punkte, die Sie bei der Planung der Bereitstellung berücksichtigen sollten.

1. Alle Benutzer mitnehmen

Sie setzen eine Multi-Faktor-Authentifizierung ein, um Sicherheitsrisiken durch den reinen Passwort-Zugriff zu reduzieren, aber einige Benutzer empfinden dies als unpraktisch. Sie befürchten vielleicht, dass der neue Prozess zeitraubend sein könnte.

Achten Sie daher darauf, dass alle – vom Management bis hin zu den Endbenutzern – nachvollziehen können, warum Sie den Umstieg auf MFA vollziehen. Nur wenn das gesamte Unternehmen überzeugt ist, wird jeder seine Rolle bei der Sicherheit des Unternehmens annehmen. Aufklärung ist der Schlüssel, damit jeder Benutzer die Sicherheitsvorteile, zu denen er durch diesen zusätzlichen Schritt beiträgt, klar erkennt.

2. MFA-Richtlinien abstimmen

Gute Einführung von MFA bringt Sicherheit und Benutzerfreundlichkeit miteinander in Einklang. Damit vermeiden Sie, dass der Prozess als lästig empfunden wird. Überlegen Sie daher, wie Sie in Ihren MFA-Richtlinien regeln, wie und wann ein zusätzlicher Faktor erforderlich ist.

Auf den ersten Blick mag das kontraproduktiv erscheinen, aber manchmal ist es besser, die Authentifizierung nur aus wirklich guten Gründen strenger zu gestalten. Eine gut durchdachte, risikobezogene Richtlinienkonfiguration sollte nur dann eine strengere Authentifizierung verlangen, wenn dies nötig ist.

So könnte beispielsweise eine Richtlinie sicherstellen, dass ein zweiter Faktor nur bei einer Anmeldung von außerhalb des Unternehmensnetzwerks (basierend auf einer Reihe von IP-Adressen) oder außerhalb des Landes (basierend auf einer GeoIP-Standortabfrage) erforderlich ist. Oder vielleicht haben Sie eine bestimmte Gruppe von Benutzerkonten mit umfassendem Zugriff auf sensible Daten und benötigen dafür eine strengere Richtlinie. Mit MFA können Sie einen zweiten Faktor vorschreiben, wenn Benutzer versuchen, auf sensible Ressource zuzugreifen, nicht aber, wenn sie den Veranstaltungskalender des Unternehmens abrufen. Gehen Sie dabei davon aus, dass die zusätzliche Überprüfung für den Benutzer so transparent wie möglich sein sollte. Das steigert die Benutzerfreundlichkeit, ohne die Sicherheit zu beeinträchtigen.

3. Unterschiedliche Zugänge anbieten

Es gibt Szenarien, in denen ein Benutzer zwar Internetzugang hat, eine Mobilfunkverbindung aber nicht vorhanden oder unzuverlässig ist. Das ist etwa in einem WLAN im Flugzeug, in einem abgelegenen Haus auf dem Land oder im Untergeschoss eines großen Gebäudes der Fall. Wenn Sprachverbindungen oder SMS nicht möglich sind, sind Okta Verify mit Push oder ein Einmalpasswort (One-Time-Password, OTP) die bessere Wahl, da die Kommunikation über die Internetverbindung des Telefons verschlüsselt wird.

Hardware-Geräte, die ein ereignis- oder zeitbasiertes Einmalpasswort (Time-Based One-Time Password, TOTP) erzeugen, benötigen überhaupt keinen Kommunikationskanal. Sie sind schwieriger zu manipulieren und zu kopieren, aber erstens verursachen sie Kosten durch ihre Ausgabe und zweitens müssen die Mitarbeiter das Gerät immer mitführen, können es also auch verlieren. Für Zeitarbeiter oder bei starker Fluktuation ist ein solches Gerät nicht die erste Wahl.

Bei der Wahl der MFA-Faktoren gibt es Optionen für eine Vielzahl von Szenarien. Wählen Sie jeweils die Option, die für das jeweilige Szenario in Ihrem Unternehmen am besten geeignet ist. Ziehen Sie dabei mehrere Richtlinien und Faktoren in Betracht, wenn es keine einheitliche Lösung für alle Situationen gibt (was häufig der Fall ist).

4. OTP per SMS will gut überlegt sein

SMS-Nachrichten sind einfach in der Anwendung und dank der Verbreitung von Smartphones und Tablets praktisch überall verfügbar, was SMS zu einem gängigen Kommunikationskanal für die OTP-Übermittlung gemacht hat. SMS-Nachrichten werden in der Regel als sicher genug für diesen Zweck eingestuft, was zum Teil darauf zurückzuführen ist, dass die Infrastruktur größtenteils proprietär und undurchsichtig ist.

Untersuchungen belegen aber, dass die SMS-Sicherheit nicht ausreicht, und zwar nicht nur dann, wenn es um dokumentierte Schwachstellen geht: Mit SMS vertrauen Sie der Sicherheit der Telekommunikationsunternehmen und darauf, dass sie über bewährte Sicherheitsverfahren verfügen. Dabei besteht aber immer das Risiko von Spoofing und Social Engineering: In vielen Fällen ist es für einen Angreifer technisch nicht sehr schwierig, Ihre Nummer auf ein von ihm kontrolliertes Gerät zu portieren und Zugang zu Ihren SMS-Nachrichten und OTPs zu erhalten.

Während NIST aus diesen Gründen von der Verwendung von SMS abrät, müssen Sie letztendlich eine eigene Risikobewertung auf der Grundlage Ihrer Benutzer, Anwendungsfälle und zu sichernden Daten durchführen, denn MFA per SMS ist immer noch besser als gar keine MFA.

5. Compliance-Anforderungen sorgfältig prüfen

Die meisten IT-Compliance-Standards wie PCI DSS, SOX und HIPAA erfordern eine starke Benutzerauthentifizierung und sind damit ein wichtiger Anlass für die Einführung von MFA. Wenn Sie beabsichtigen, solche Standards zu erfüllen, sollten Sie die Anforderungen im Detail verstehen, damit Sie die Konfiguration und die Richtlinien entsprechend anpassen können.

Zum Beispiel erfordern PCI und HIPAA eine starke Authentifizierung mit mindestens zwei der folgenden drei Authentifizierungsmethoden: etwas, das Sie wissen, etwas, das Sie haben und etwas, das Sie sind. SOX konzentriert sich weniger auf die Technologie, bei einem Audit ist aber dennoch nachzuweisen, dass die Finanz- und Rechnungsdaten Ihres Unternehmens sicher sind.

IT-Compliance erfordert neben der Implementierung relevanter Standards auch den Nachweis, dass diese erfüllt werden. Machen Sie die Dokumentation zu einem Teil der Konfiguration und Implementierung, damit Sie bei einem Audit schnell und sicher nachweisen können, dass die Anforderungen erfüllt sind. Sie selbst (und Ihre Organisation) werden dafür später dankbar sein.

6. Verlust von Geräten berücksichtigen

Der zweite Authentifizierungsfaktortyp in einer typischen MFA-Bereitstellung ist „etwas, das man hat“ (der erste ist „etwas, das man kennt“ und der dritte ist „etwas, das man ist“). Im Falle von SMS bzw. Sprachnachrichten oder einer Authentifizierungsanwendung wie Okta Verify oder Google Authenticator hat der Benutzer sein Telefon. Im Falle eines Hardware-Tokens von YubiKey, RSA und anderen hat der Benutzer seinen Token. Doch alles, was ein Benutzer besitzt, kann er auch verlieren.

Ein Verfahren zum Umgang mit Geräteverlust sollte bereits in Ihrem umfassenden IT-Helpdesk-Playbook enthalten sein. Erweitern Sie es um Geräte, die für MFA verwendet werden, und achten Sie darauf, dass die Meldung eines verlorenen Geräts Folgen hat:

• Ablauf aller aktuellen Sitzungen und Anforderung einer erneuten Authentifizierung des Benutzers

• Trennung des Geräts vom Benutzerkonto und den Zugriffsrechten des Benutzers

• Fernlöschung von Unternehmensdaten auf Mobilgeräten, falls erforderlich

Wichtig ist auch die Überprüfung der Aktivität des Benutzerkontos vor dem Zeitpunkt, zu dem das Gerät verloren ging, um ungewöhnliche Vorgänge zu ermitteln. Wenn der Verdacht auf eine Datenschutzverletzung besteht, eskalieren Sie entsprechend.

Sobald die unmittelbaren Sicherheitsbedenken ausgeräumt sind, sollte sich der Fokus darauf richten, den Mitarbeiter mit einem Ersatzgerät oder neuen Anmeldedaten wieder arbeitsfähig zu machen. Mit einem Zwischenprozess, wie beispielsweise einem Anruf beim IT-Helpdesk zur Überprüfung der Identitätsanforderungen, kann der Mitarbeiter wieder produktiv arbeiten, während Ersatzfaktoren implementiert werden.

7. Überprüfung und Überarbeitung einplanen

Komplexe Implementierungen und Richtlinien sind meist nicht auf Anhieb perfekt. Bei einer Prozessänderung, die alle Mitarbeiter betreffen kann, empfiehlt sich, die Effektivität einer MFA-Lösung zu überwachen, während sie bereitgestellt und eingesetzt wird, um Richtlinien gegebenenfalls anzupassen.

Machen Sie sich mit der Audit-Funktionalität zu Beginn des Prozesses vertraut. Sie ist von unschätzbarem Wert für die Fehlersuche und Anpassung der Richtlinienkonfiguration. Sobald Sie MFA für Benutzer bereitgestellt haben, überprüfen Sie mit Audit-Tools die Akzeptanz und Nutzung. Auch ein Mechanismus für Benutzerfeedback ist empfehlenswert.

Während sich Benutzer nicht immer Zeit für schriftliches Feedback nehmen, kann ein Audit-Trail einen Einblick in die tatsächliche Nutzung geben. Haben sie drei Versuche gebraucht, um ihr OTP einzugeben? Haben sie aufgegeben? Solche Probleme können auf eine Fehlkonfiguration, eine Lücke in der Benutzerschulung oder einfach ein Szenario hinweisen, das im ursprünglichen Rollout-Plan nicht berücksichtigt wurde.

Der Einsatz von Audit-Tools und die Förderung des Mitarbeiterfeedbacks stellen sicher, dass das System wie vorgesehen funktioniert und neue Sicherheitsrichtlinien erfolgreich umgesetzt werden.

Bonus: Adaptive MFA in Erwägung ziehen

Diese Tipps sind ein guter Anfang und Step-up-MFA kann sogar eine abgestufte Kontrolle darüber ermöglichen, wie und wann MFA angewendet wird. Allerdings erfordert es eine sorgfältige Überlegung bei der Konfiguration: In einigen Fällen sollten Sie in der Lage sein, selbst bei klar definierten Richtlinien und Kriterien kurzfristig Entscheidungen auf der Grundlage von Änderungen im Benutzer- oder Gerätekontext zu treffen.

Um die Vorteile dynamischer Änderungen zu nutzen, ziehen Sie die Adaptive MFA-Lösung von Okta in Erwägung: Adaptive MFA erkennt Zugriffsmuster und passt dann die Richtlinie für jeden Benutzer oder jede Gruppe an.

Beispielsweise benötigt ein Mitarbeiter, der routinemäßig reist und E-Mails im Ausland abruft, eventuell nur gelegentlich einen zweiten Authentifizierungsfaktor. Ein Mitarbeiter hingegen, der nie reist, würde in diesem Fall sofort eine MFA-Anforderung erhalten. Risikoabhängige Richtlinien wie eine Step-up-Authentifizierung beim Versuch, über einen nicht autorisierten Proxy auf Ressourcen zuzugreifen, oder die automatische Blockierung des Zugriffs von bekannten schädlichen IPs können ebenfalls durch verdächtige Ereignisse ausgelöst werden.

Adaptive MFA ist ein leistungsstarkes Instrument zur automatischen Ableitung dynamischer Richtlinien im Zeitverlauf. Solche Richtlinien sind streng genug, um die nötige Sicherheit für Ihr Unternehmen zu gewährleisten, aber gleichzeitig flexibel genug, um Ihre Benutzer individuell einzustufen.