Sie ist seit einiger Zeit in aller Munde – doch was genau ist diese Multifaktor-Authentifizierung überhaupt? Wir haben uns gedacht, der Oktober ist als Cybersecurity Month dafür prädestiniert, hier etwas Licht ins Dunkel zu bringen. Beim Cybersecurity Month geht es darum, das Bewusstsein für Cybersicherheit, und die Schwachstellen, die von Cyberkriminellen ausgenutzt werden können, zu schärfen und die vielfältigen Herausforderungen der IT-Sicherheit im (Berufs-)Alltag zu thematisieren.

Was bedeutet eigentlich „MFA“?

Die Abkürzung MFA ist euch in der letzten Zeit vermutlich schon das ein oder andere Mal begegnet. Sie steht für Multifaktor-Authentifizierung und bezeichnet ein Vorgehen, bei dem mindestens zwei unterschiedliche Methoden zur Verifizierung der Identität genutzt werden (zum Beispiel Passwort + SMS-Code).

Die MFA verlangt zwei (oder mehr) Authentifizierungsfaktoren, bevor sie den Zugang zu einer Anwendung oder einem Unternehmenskonto gewährleistet. Die verschiedenen Authentifizierungsfaktoren werden also kombiniert und zur Identitätsprüfung genutzt.

Wie genau funktioniert die MFA?

Die MFA kombiniert dabei drei Arten von Zusatzinformationen:

👉 Dinge, die man weiß (Wissen), wie zum Beispiel ein Kennwort oder eine PIN

👉 Dinge, die man hat (Besitz), wie zum Beispiel einen Ausweis oder ein Smartphone

👉 Dinge, die einen ausmachen (Inhärenz), hierbei handelt es sich vor allem um biometrische Daten wie Fingerabdrücke oder Stimmerkennung.

Ein Beispiel für eine häufig genutzte Kombination solcher MFA-Faktoren wäre zum Beispiel Kennwort + Einmalkennwort. Solche Einmalkennwörter (One-Time-Passwords) sind Codes, die in bestimmten Abständen (oder bei jeder Authentifizierungsanfrage) neu generiert werden und die man beispielsweise per E-Mail oder über eine mobile App erhält. Solche OTPs können übrigens sowohl dem Bereich Wissen als auch dem Bereich Besitz zugeordnet werden, da man oftmals zusätzlich das Smartphone braucht, um das Einmalpasswort zu erhalten.

Warum überhaupt MFA?

So weit so gut, aber…Was genau bringt die MFA denn jetzt eigentlich?

Ihr Hauptvorteil liegt darin, dass sie die Sicherheit des Unternehmens und dessen Onlinekonten massiv erhöhen und mehr Schutz vor Cyberangriffen bieten kann. Benutzernamen und Kennwörter sind leider sehr anfällig für Cyberangriffe, da es mittlerweile sogar automatisierte Tools gibt, die Passwörter durch das Ausprobieren aller möglichen verschiedenen Kombinationen schnell knacken können.

So können Angreifer sich mit wenig Aufwand Zugang zu Unternehmenskonten verschaffen. Die MFA erfordert jetzt zusätzlich aber noch einen (oder mehrere) Überprüfungsfaktoren, wodurch die Wahrscheinlichkeit eines erfolgreichen Cyberangriffes sinkt. Hier gilt also ganz salopp gesagt: Je mehr, desto besser! In Abstimmung mit unserem IT-Azubi Justin haben wir dies einmal für euch visualisiert:

In Justins Beispiel haben wir einen cyberkriminellen Angreifer, der eine Phishing-Mail mit einem Link zu einer Fake-Webseite gesendet hat. Erkennt der Mitarbeitende nun nicht, dass es sich hier um eine Phishing-Mail handelt, läuft er Gefahr, auf den Link zu klicken und sich mit seinen sensiblen Daten auf der Webseite einzuloggen. An dieser Stelle kann der Angreifer die Login-Daten des Mitarbeitenden abgreifen und sich mit diesen Daten im Unternehmenskonto einloggen. Hat das Unternehmen aber eine Multifaktor-Authentifizierung mit OTP eingeführt, so bekommt der Angreifer jetzt allerdings die Aufforderung, den Einmalcode einzugeben, um sich anzumelden. Hier kommt er also nicht so leicht weiter!

Wir sehen, die Kombination aus Wissens-, Besitz- und Inhärenzfaktor kann Cyberkriminellen das Leben deutlich schwerer machen. Durch diese zusätzlichen Überprüfungs- oder Authentifizierungsfaktoren sinkt die Wahrscheinlichkeit von erfolgreichen Cyberangriffen, denn: Wenn ein Faktor gebrochen (also beispielsweise ein Passwort geknackt) wird, muss der Angreifer jetzt immer noch mindestens einen weiteren Faktor entschlüsseln, bevor er sich in das Konto einloggen kann.

Also: Auch wenn es zunächst lästig und mühsam wirken kann; mithilfe der Multifaktor-Authentifizierung kann ein erheblicher Beitrag zum Schutz der Unternehmensdaten gewährleistet werden.

Text: Kiné Ndiaye