Multifaktor-Authentifizierung

Zwei-Faktor-Authentifizierung - sicher aber nicht sicher genug

25.02.2019 von Werner Thalmeier
Um Konto-Logins wirksam vor Hackern zu schützen, sollte eine Multifaktor-Authentifizierung (MFA) in Unternehmen zum Standard gehören. Doch reicht diese Sicherheitsstrategie aus, um Angreifern den Zugriff auf vertrauliche Daten unmöglich zu machen?
Eine Zwei-Faktor-Authentifizierung ist nur ein Baustein in einer ausgeklügelten Sicherheitsstrategie.
Foto: Golubovy - shutterstock.com

Microsoft Office 365 ist weltweit ein Erfolgsmodell. Daher ist es kein Wunder, dass auch Cyberkriminelle die Microsoft-Cloud-Plattform als einen Weg betrachten, ihren dunklen Machenschaften nachzugehen und andere Menschen zu betrügen. Viele Unternehmen haben dabei längst begriffen, dass die herkömmliche Anmeldung mit Angabe der E-Mail-Adresse und des Passworts keineswegs sicher ist. Entsprechend nutzen immer mehr Organisationen die Zwei-Faktor-Authentifizierung (2FA, auch Multifaktor-Authentifizierung, MFA).

Hier melden sich die Anwender wie bisher am System an. Das System sendet dann beispielsweise eine SMS mit einem Zahlencode an eine hinterlegte Handynummer. Diesen muss der Nutzer ebenfalls als zweiten Faktor bei der Anmeldung eingeben, sonst hat er keinen Zugriff auf seinen Office-365-Account.

Als Konzept hat sich die MFA bewährt und die Sicherheit der Microsoft-Cloud-Konten signifikant verbessert. Da die bisherige Erfahrung jedoch zeigt, dass es sich überaus schwierig und komplex gestaltet, die MFA technisch zu knacken, suchen Angreifer eher nach Möglichkeiten, diese zu umgehen. Oder sie versuchen, direkt die Plattform eines 2FA-/MFA-Anbieters zu kompromittieren, um wichtige Informationen, beispielsweise die verwendeten Algorithmen zu stehlen. So geschehen bei RSA im Jahre 2011.

Die Top-12-Sicherheitsrisiken in der Cloud
Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.

Systemkommunikation als Schwachstelle

Dennoch steigt auch die Zahl direkter Angriffe. Eine Möglichkeit hierfür ist ein zweistufiger Angriff. Hierbei wird zunächst das Smartphone des Nutzers, das typischerweise für einen mobilen Mailzugriff verwendet wird, in einem ersten Angriff kompromittiert. Sobald dann der Nutzer von unterwegs versucht, seine E-Mails abzurufen, werden sowohl die Zugangsdaten als auch der Zahlencode, der als zweiter Faktor per SMS gesendet wird, abgegriffen. Da der Zugriff auf den Mailaccount sowie die Verifizierung durch den zweiten Faktor auf demselben (in diesem Falle kompromittierten) Gerät erfolgen, würde der 2FA-Grundsatz ausgehebelt.

Ein weiteres Problem ist, dass E-Mail ein zentraler Bestandteil von Microsoft Office 365 ist und es Möglichkeiten gibt, sich mit Exchange Online (als Teil von Office 365) und Exchange zu verbinden, die nicht durch eine Zwei-Faktor-Authentifizierung abgedeckt sind. Dies ist insbesondere dann der Fall, wenn die moderne Authentifizierung nicht systemübergreifend implementiert oder verfügbar ist.

Unternehmen mit hybriden E-Mail-Konfigurationen (d. h. mit lokalen Exchange-Servern), die Anwendungen verwenden, die über Exchange Web Services (EWS) oder ActiveSync verbunden sind, sind möglicherweise ebenfalls nicht durch eine Multi-Faktor-Authentifizierung geschützt beziehungsweise können sie "per Design" nicht unterstützen. Diese Lücken können von Angreifern genutzt werden, um sich mit dem Office-365-E-Mail-Account eines Benutzers zu verbinden, um vertrauenswürdige Konten zu verwenden und Angriffe zu starten.

Eine andere Vorgehensweise ist die Attacke auf die Kommunikation zweier Maschinen oder Systeme. Hier gibt es in der Regel keine MFA. Hat es ein Hacker geschafft, die Kommunikation zweier Maschinen beziehungsweise Systeme zu infiltrieren, kann er sich in der Unternehmens-IT fortbewegen und auf diesem Weg potenzielle Opfer sehr schnell und einfach identifizieren und dann auch deren E-Mail-Accounts kompromittieren.

Dies sind nur einige Beispiele, die verdeutlichen sollen, dass MFA trotz deutlicher Verbesserung der Sicherheit auch keinen hundertprozentigen Schutz garantieren kann - und es gibt noch eine ganze Reihe weiterer Angriffsszenarien auf MFA.

Security Operation Center (Soc) - FAQ
Security Operation Center
So sieht es in einem SOC aus. Im Fokus stehen Monitoring und Analytics von Security und IT-Assets.
SOC der CGI Group
Ein weiteres Beispiel für ein Security Operation Center, hier das SOC Toulouse der CGI Group.
SOC für Industrieanlagen
Mit einem Security Operation Center können die IT- und Steuerungsanlagen eines ganzen Industriekomplexes überwacht werden. Siemens hat die Cyber Security Operation Center (CSOC) zum Schutz von Industrieanlagen eröffnet. Sie haben ihren Sitz in Lissabon und München sowie Milford (Ohio) in den USA.
Security-Tacho
In einem SOC werden zahlreiche Informationsquellen zentral ausgewertet, um die aktuelle Sicherheitslage zu ermitteln und um Prognosen für mögliche Attacken abgeben zu können. Wie dies aussehen kann, zeigt zum Beispiel der Sicherheitstacho der Telekom.
SOC Schulung
Security-Analysten können speziell für den SOC-Einsatz geschult und trainiert werden.
Chatbots und Actionbots
Spezielle Chat- und ActionBots wie Artemis können in Zukunft Teile der Aufgaben im SOC automatisieren. Sie sind dann Assistenten der Security-Analysten.
SOC - Nachholbedarf
Studien wie „2017 State of Security Operations“ von HPE zeigen, dass es noch einiges an Verbesserungsbedarf in SOCs gibt.
KI und Security
KI-Systeme wie IBM Watson werden Security-Analysten in den Security Operation Center (SOC) bei der Aufdeckung intelligenter Cyber-Attacken unterstützen.

Kreative Angreifer nicht unterschätzen

Zu den Möglichkeiten, 2FA zu kompromittieren, kommen noch andere Aspekte hinzu: Es steht immer mehr Rechenleistung für immer weniger Geld zur Verfügung, so dass Angriffsformen wie Brute Force mit Hilfe gemieteter Rechenleistung kein strukturelles Problem mehr für technisch versierte Kriminelle darstellen. Auf diese Weise wird natürlich nicht nur ein einzelnes Postfach angegriffen, sondern die Cyberkriminellen können viele Postfächer gleichzeitig attackieren. Nicht selten kommen dabei auch Kennwörter als Basis für eine solche Attacke zum Einsatz, die die Kriminellen bei früheren Angriffen oder bei anderen Plattformen erbeutet oder schlicht auf zwielichtigen Marktplätzen erworben haben.

Diese Vorgehensweisen zeigen, dass die Cyberkriminellen kreativ bleiben, wenn es darum geht, Geld, geistiges Eigentum oder persönliche Daten der Anwender zu stehlen. Insofern müssen die Unternehmen und Organisationen gleichfalls am Ausbau Ihrer Sicherheit arbeiten, um mit potenziellen Angreifern Schritt halten zu können. Dies gilt nicht nur für die Schnittstellen zwischen interner Unternehmens-IT und der externen Welt wie dem Web, sondern auch für die interne Cybersicherheit der Organisationen.

Es gilt daher unbedingt auch zusätzliche Mechanismen zu installieren, um kompromittierte Accounts automatisch erkennen zu können und ebenso automatisch Gegenmaßnahmen einzuleiten. Ziel dieser Maßnahmen muss es sein, das Office-365-Konto in einen gebrauchsfähigen Zustand zurückzuversetzen und gegen weiteren Missbrauch zu schützen. Denn ist ein Account von Hackern erst geknackt, haben sie oft leichtes Spiel, andere Mitarbeiter mittels echt erscheinender Mails zu manipulieren. Dies gilt insbesondere dann, wenn es sich um die Office-365-Konten von Entscheidern und Führungskräften handelt. Denn wer widerspricht schon seinem - vermeintlichen - CFO, wenn es darum geht, die erste Tranche für eine - ebenso vermeintliche - Firmenübernahme zu bezahlen?

Diese Schutzmaßnahmen müssen dabei eine ganze Reihe von Faktoren berücksichtigen, um zum einen den versprochenen Schutz zu bieten und zum anderen den Anwender in seiner täglichen Arbeit nicht einzuschränken. Außerdem müssen diese Security-Lösungen gut skalieren, stets auf dem neuesten Stand und hochflexibel sein. Im Zusammenspiel mit Office 365 sind hier Cloud-basierte Lösungen eine gute Wahl.

Doch nach welchen Kriterien kann die Analyse sinnvoll erfolgen? Schließlich kann man ja nicht nach jeder Mail jeden Absender anrufen und fragen, ob diese Nachricht wirklich von ihm stammt. Und eine Rückfrage per E-Mail ist allein schon deshalb sinnlos, weil der Angreifer diese abfangen und umgehend beantworten kann.

Top 10: Diese Mitarbeiter gefährden Ihre IT-Sicherheit
10. Die Charity-Organisation
9. Der Cloud-Manager
8. Der befristet Beschäftigte
7. Der externe Partner
6. Der Social Media Manager
5. Der neue IT-Entscheider
4. Der Ex-Mitarbeiter
3. Der Security-Berater
2. Die Assistenz der Geschäftsleitung
1. Der CEO

Sicherheit durch Kontextbezug

Insofern muss die Sicherheitslösung in der Lage sein, beispielsweise kontextbezogene Daten zu analysieren, wie der Standort des Benutzers, das Gerät, Netzwerk und Anmeldezeit. Ist der CFO gerade unterwegs und schreibt er wirklich typischerweise aus dem Urlaub? Versucht er wirklich, sich innerhalb kurzer Zeit etliche Male an seinem Account anzumelden? Das ist im Übrigen ein Hinweis auf eine Brute-Force-Attacke auf dieses Konto.

Aber auch andere technische Aspekte sollten in dieser Analyse berücksichtigt werden, beispielsweise die IP-Adresse, von der der Zugriff auf Office 365 erfolgt. Ist diese vertrauenswürdig? Und wie groß ist die geografische Distanz zwischen der IP-Adresse der letzten und der jetzt erfolgten Anmeldung? Ein zu geringer Zeitunterschied zwischen solchen Log-In-Versuchen ist doch oft ein eindeutiger Hinweis, hier umgehend genauer auf die weiteren Vorgänge auf diesem Account zu achten.

Auf Basis dieser und anderer Aspekte entsteht eine detaillierte Analyse des User-Verhaltens, die, je mehr Details sie enthält, immer schwieriger zu imitieren ist und damit Anomalien sehr schnell auffällig werden lässt.

Allerdings muss die Lösung natürlich auch über individuelle Anpassungsmöglichkeiten wie Schwellenwerte verfügen, um die Zahl der Fehlalarme zu minimieren. Ebenfalls von entscheidender Bedeutung ist die Fähigkeit der Security-Plattform zu lernen, um neue Verhaltensweisen genauso korrekt zu erkennen wie etwa neue Bedrohungslagen und geschickte Hacker.

Faktor Mensch berücksichtigen

Zusammengenommen bedeuten 2FA/MFA und ergänzende Tools zur automatisierten Erkennung kompromittierter Office-365-Konten eine deutliche Verbesserung der Sicherheit im Unternehmen. Über eines sollten sich die IT-Verantwortlichen aber dennoch im Klaren sein: Das einfachste Ziel für einen Angreifer ist der Mensch, darum müssen alle technischen Maßnahmen durch wiederkehrende Schulungen und Sensibilisierung der Mitarbeiter für aktuelle Bedrohungen ergänzt werden. Nur dann können die technischen Lösungen ihr volles Potenzial entfalten. (hal)