MFA: Keine Wunderwaffe – MFA: Not a magic bullet

Multi-Faktor-Authentifizierung (MFA) wird nicht selten als Wunderwaffe in Sachen Cybersicherheit gehandelt. Früheren Aussagen von Microsoft zufolge könne MFA bis zu 99,9 % der kompromittierenden Angriffe auf Konten abwehren. Die Realität belehrt uns allerdings schnell eines Besseren. Auch die MFA ist weniger Wunderwaffe als Wunschdenken.   

Die Multi-Faktor-Authentifizierung ist in der Regel eine Kombination aus etwas, das Sie wissen, das Sie besitzen und das Sie ausmacht. So sind beispielsweise Passwörter und Antworten auf Sicherheitsfragen „etwas, das Sie wissen“, Geräte-Token oder Einmalpasswörter (OTP) „etwas, das Sie besitzen“, und Fingerabdrücke und Gesichtsmerkmale „etwas, das Sie sind.“ In der Theorie klingt das plausibel. In der Praxis sieht es leider anders aus, und das aus einer Reihe von Gründen.   

MFA weist immanente Schwächen auf  

Das Problem bei der derzeitigen Vorgehensweise: Ein Einmalpasswort wird im Grunde zu „etwas, das Sie wissen“, sobald es beim Endanwender ankommt – und es kann gestohlen werden. Wenn ein Anwender ein Einmalpasswort auf seinem Gerät sieht, wird es unmittelbar herabgestuft von „etwas, das Sie haben“ zu „etwas, das Sie wissen“ und das von einem Angreifer kompromittiert werden kann.   

Auch MFA kann gehackt werden  

Wir wissen, dass Angreifer ausreichend kreativ sind, um Hindernisse zu überwinden. Eine Methode ist es, Anwender mit gefälschten MFA-Anfragen zu bombardieren. Ein Vorgehen, das den Nutzer schnell ermüden kann. Die Folge: Er akzeptiert eine der falschen Anfragen. Eine andere Möglichkeit, MFA zu hacken, sind Phishing-Angriffe. Hier kapern die Angreifer das Einmalpasswort des Opfers, indem sie mehrfach OTP-Anforderungen verwenden. Oder sie infizieren das Mobilgerät mit einer Malware zur SMS-Weiterleitung oder zum Diebstahl von Session-Cookies, mit denen sich authentifizierte Sessions abspielen lassen.  

Und natürlich sind auch MFA-Lösungen wie jede andere Software auch nicht vor Schlupflöchern und Sicherheitslücken gefeit. So haben Angreifer bereits Schwächen im Geräte-Registrierungsprozess der Microsoft MFA ausgenutzt, um sich die Kontrolle über Office365-Konten zu verschaffen.  

MFA – lästig für den Anwender?  

Für manch einen Benutzer sind der MFA-Prozess und dessen Implementierung so lästig, dass sie entweder darauf verzichten oder – schlimmer noch – Wege finden, die MFA komplett zu umgehen. Und das alles ohne jede Intervention oder Social Engineering seitens eines Angreifers. Allerdings ist die Multi-Faktor-Authentifizierung tief in Unternehmen verankert, und sie hat einen Reifegrad erreicht, der es einem durchschnittlichen User erschwert, sie zu umgehen.   

Was sollten Unternehmen tun?   

Eine MFA ist sicherlich in der Lage, eher simple Angriffe zu vereiteln. Als alleinige Sicherheitsmaßnahme reicht sie aber bei Weitem nicht aus. Es gilt, zusätzliche Maßnahmen zu implementieren, um die Zugangskontrollen zu verbessern und die laterale Fortbewegung von Angreifern innerhalb der Infrastruktur einzuschränken. Dazu sollte man einige Empfehlungen beherzigen:   

Verabschieden Sie sich von unübersichtlichen Methoden zur Identifikation, Authentifizierung und Autorisierung   

Die Begriffe Identifikation, Authentifizierung und Autorisierung werden häufig synonym verwendet, sind aber von Natur aus unterschiedlich. Usernamen und Passwörter können einen Anwender „identifizieren“, was sie nicht können, ist ihn wirksam zu „authentifizieren“. Zudem sind sie leicht zu hacken, zu stehlen oder im Darknet zu kaufen. Ganz ähnlich bietet MFA eine bessere „Authentifizierung“. Was ihr jedoch fehlt, ist die erforderliche kontextabhängige Sensibilisierung, um festzustellen, ob ein Anwender tatsächlich „autorisiert“ ist, auf eine Ressource zuzugreifen.  

Mit anderen Worten: Nur weil ein Anwender authentifiziert ist, heißt das noch lange nicht, dass er Zugriff auf alle Netzwerkressourcen nebst den erforderlichen Berechtigungen haben sollte. Unternehmen sollten sich deshalb für ein Zero-Trust-Modell entscheiden, bei dem sämtliche Zugriffsanforderungen geprüft werden. Ein Anwender kann dann nur auf die Ressourcen zugreifen, für die er im Einzelnen autorisiert wurde.  

Kontext und Telemetrie berücksichtigen  

Über Mechanismen zur Authentifizierung hinaus sollte man Lösungen implementieren, die Telemetriedaten zum Aufbau einer kontextabhängigen Sensibilisierung nutzen. Dazu gehört das Sammeln und Analysieren aller Arten von Telemetriedaten hinsichtlich von Anwendern und Endpoints, wie z. B. Geräte-ID und Position, Standorthistorie, typische Verhaltensmuster des Anwenders und viele weitere mehr. Anhand dieser Datenkombinationen lässt sich besser verifizieren, ob ein Anwender wirklich der ist, der er vorgibt zu sein. Ein System sollte beispielsweise einen Alarm generieren und den Zugriff verweigern, wenn ein Anwender versucht, sich innerhalb eines denkbar kurzen Zeitraums von unterschiedlichen Ländern aus anzumelden.  

Kontinuierliche Authentifizierung   

Eine kontinuierliche Authentifizierung ist wesentlicher Bestandteil des Zero-Trust-Modells. Sie erweitert die MFA durch die Autorisierung eines Anwenders bei jedem Schritt. Zusätzlich werden die Zugriffsmuster über Systeme und Anwendungen hinweg auch nach der ursprünglichen Authentifizierung überwacht. Wenn beispielsweise ein Mitarbeiter der Personalabteilung kritische Systemdateien oder Konfigurationseinstellungen ändert, sollten alle Alarmglocken schrillen und die Zugriffsrechte sofort entzogen werden. Parallel sollte eine Benachrichtigung an die Sicherheitsabteilung gehen, um den Vorfall eingehender untersuchen zu können.   

Vermeiden Sie fragmentierte Lösungen zugunsten von konsolidierten Systemen  

Einer der größten Fehler innerhalb der Cybersicherheit besteht darin, Vorfälle einem Single Point of Failure zuzuordnen und sich nur darauf zu konzentrieren. Angriffe laufen immer in mehreren Phasen ab: von der Sondierung über den erstmaligen Zugriff bis hin zum Datendiebstahl und dem eigentlichen Angriff. In diesem Prozess stößt ein Angreifer immer wieder auf Hindernisse. Jede Sicherheitsebene bietet die Chance, eine Attacke zu unterbinden, bevor sie schlussendlich erfolgreich verläuft. Häufig arbeiten die einzelnen Sicherheitstools allerdings isoliert und kommunizieren nicht untereinander. Das erschwert es, die betreffenden Punkte rechtzeitig miteinander zu verbinden.  

Eine Methode, das Problem in den Griff zu bekommen, ist ein Single-Pass-Netzwerk und eine Sicherheitsarchitektur, wie sie ein Kernmerkmal des Secure Access Service Edge (SASE) ist. Eine Single-Pass-Architektur erlaubt Sicherheitsanwendungen und -services, jedweden Kontext gemeinsam zu nutzen. Dies liefert End-to-End-Transparenz aus einer Hand über eine einheitliche Managementkonsole für On-Premises- und Cloud-Netzwerke sowie Services. So kann man Endpoints und Cloud-Netzwerke zentral überwachen und den Status mit der Makro-Cybersicherheits-Umgebung abgleichen (neueste Schwachstellen, aufkommende Bedrohungen usw.).  

MFA ist ohne Zweifel ein Muss. Es lässt sich aber nicht ausschließen, dass gleichermaßen kenntnisreiche wie entschlossene Angreifer auch einen MFA-Mechanismus kompromittieren oder umgehen. Statt sich auf die vermeintliche Wunderwaffe zu verlassen, sollte man auf ein konsolidiertes System setzen. Ein System, das auf Zero-Trust, kontextbezogener Sensibilisierung, Transparenz und Kontrolle aus einer Hand basiert, Risiken in Echtzeit identifiziert, die laterale Bewegung von Angreifern begrenzt und verhindert, dass aus Sicherheits-Alerts schwerwiegende Sicherheitsvorfälle werden.  

Multi-factor authentication is typically a combination of something you know, something you have, and something that makes you tick. For example, passwords and answers to security questions are „something you know,“ device tokens or one-time passwords (OTP) are „something you own,“ and fingerprints and facial features are „something you are.“ In theory, this sounds plausible. In practice, unfortunately, it looks different, for a number of reasons.

MFA has inherent weaknesses 

The problem with the current approach: A one-time password essentially becomes „something you know“ once it reaches the end user – and it can be stolen. When a user sees a one-time password on their device, it is immediately downgraded from „something you have“ to „something you know“ and that can be compromised by an attacker.

MFA can also be hacked 

We know that attackers are sufficiently creative to overcome obstacles. One method is to bombard users with fake MFA requests. This is an approach that can quickly tire the user. The result: he accepts one of the fake requests. Another way to hack MFA is phishing attacks. Here, the attackers hijack the victim’s one-time password by using OTP requests multiple times. Or they infect the mobile device with SMS forwarding malware or steal session cookies that can be used to replay authenticated sessions.

And of course, like any other software, MFA solutions are not immune to loopholes and security vulnerabilities. For example, attackers have already exploited weaknesses in the Microsoft MFA device registration process to gain control of Office365 accounts.

MFA – a nuisance for users? 

For some users, the MFA process and its implementation are such a nuisance that they either do without it or, worse, find ways to bypass it completely. And all without any intervention or social engineering on the part of an attacker. However, multi-factor authentication is deeply embedded in enterprises, and it has reached a level of maturity that makes it difficult for an average user to bypass.

What should companies do?  

MFA is certainly capable of thwarting rather simple attacks. However, it is far from sufficient as the sole security measure. Additional measures must be implemented to improve access controls and limit the lateral movement of attackers within the infrastructure. To do so, take some recommendations to heart:

Say goodbye to confusing methods of identification, authentication and authorization  

The terms identification, authentication and authorization are often used interchangeably, but they are inherently different. Usernames and passwords can „identify“ a user; what they cannot do is effectively „authenticate“ them. They are also easy to hack, steal, or buy on the darknet. In much the same way, MFA provides better „authentication.“ What it lacks, however, is the contextual awareness required to determine whether a user is actually „authorized“ to access a resource.

In other words: Just because a user is authenticated doesn’t mean they should have access to all network resources along with the necessary permissions. Organizations should therefore opt for a zero-trust model, where all access requests are audited. A user can then access only those resources for which he or she has been specifically authorized.

Consider context and telemetry 

Beyond mechanisms for authentication, implement solutions that leverage telemetry data to build contextual awareness. This includes collecting and analyzing all types of telemetry data regarding users and endpoints, such as device ID and location, location history, typical user behavior patterns, and many more. These data combinations can be used to better verify whether a user is really who they say they are. For example, a system should generate an alert and deny access if a user attempts to log in from different countries within a conceivably short period of time.

Continuous authentication  

Continuous authentication is an essential component of the Zero Trust model. It extends MFA by authorizing a user at every step. In addition, access patterns across systems and applications are monitored even after the initial authentication. For example, if an HR employee changes critical system files or configuration settings, all alarm bells should ring and access rights should be revoked immediately. In parallel, a notification should go to the security department to investigate the incident further.

Avoid fragmented solutions in favor of consolidated systems 

One of the biggest mistakes within cybersecurity is assigning incidents to a single point of failure and focusing only on that. Attacks always occur in multiple phases: from probing, to initial access, to data theft, to the actual attack. In this process, an attacker always encounters obstacles. Each layer of security provides an opportunity to stop an attack before it ultimately succeeds. However, the individual security tools often work in isolation and do not communicate with each other. This makes it difficult to connect the dots in time.

One method of addressing the problem is a single-pass network and security architecture, which is a core feature of the Secure Access Service Edge (SASE). A single-pass architecture allows security applications and services to share any context. This delivers end-to-end visibility from a single source via a unified management console for on-premises and cloud networks and services. This allows one to centrally monitor endpoints and cloud networks and reconcile status with the macro cybersecurity environment (latest vulnerabilities, emerging threats, etc.).

Without a doubt, MFA is a must. However, it cannot be ruled out that equally knowledgeable and determined attackers will also compromise or circumvent an MFA mechanism. Instead of relying on the supposed silver bullet, one should rely on a consolidated system. A system based on zero-trust, contextual awareness, visibility, and single-source control that identifies risks in real time, limits lateral movement of attackers, and prevents security alerts from becoming serious security incidents.