twobee - Fotolia

Multifaktor-Authentifizierung: Einführung in MFA-Methoden für Unternehmen

In den Anfängen der Multifaktor-Authentifizierung wurden Schlüsselanhänger als Token benutzt. Heutzutage setzt man unter anderem Smartphones ein.

Multifaktor-Authentifizierung (MFA) oder mehrschichtige Authentifizierung ist eine Methode der IT-Sicherheit, die älter ist als das Web. Anwender müssen mehrere Arten an Identifikation oder Information durchlaufen, um ihre Identität zu bestätigen. Erst dann dürfen Sie zum Beispiel eine Transaktion online durchführen oder bekommen Zugriff auf einen Unternehmensanwendung. Das Ziel von Multifaktor-Authentifizierung ist es, den Angreifern das Leben schwerer zu machen. Der Anmeldevorgang lässt sich nicht so einfach ausnutzen, was wiederum die persönlichen Netzwerke und die im Unternehmen besser schützt. Auch das Kompromittieren von Computern ist komplizierter, womit sich vertrauliche Informationen oder andere geheime Daten stehlen lassen.

Einfach gesagt, nutzt Multifaktor-Authentifizierung eine Sache, die nur ein individueller Anwender besitzt. Das kann ein Fingerabdruck, Stimmerkennung, ein Security Token, ein Security Code oder eine Software auf einem Smartphone sein. Diese Komponente wird mit einem anderen Faktor kombiniert, den nur der Anwender kennt. An dieser Stelle sind der Anwendername und ein Passwort möglich. Somit ist sichergestellt, dass es sich auch um die Person handelt, die sie vorgibt zu sein.

Multifaktor-Authentifizierung nannte man früher Zweifaktor-Authentifizierung. Heutzutage gibt es aber so viele verschiedene Faktoren, die sich als zusätzliche Security-Schicht einsetzen lassen, dass sich der neue Name durchsetzte. Viele ITler kennen möglicherweise die biometrischen Hand-Scanner, die den Eingang vieler Data Center als erste Instanz absichern.

MFA Token: Vom Schlüsselanhänger bis zum Smartphone

Bei Außendienstmitarbeitern haben sich Generatoren für einmalige Passwörter etabliert. In den Anfangszeiten der Multifaktor-Authentifizierung vor über einem Jahrzehnt besaßen sie einen kleinen LCD-Bildschirm, einen Knopf und waren in der Regel als Schlüsselanhänger konzipiert. Sobald ein Anwender den Knopf drückte, zeigte der Schlüsselanhänger 30 Sekunden lang eine Nummernsequenz an. Wollte ein Nutzer auf die entsprechende Anwendung starten oder auf eine Ressource zugreifen, musste er diese Sequenz während der Zeitspanne eingeben.

Die von den Schlüsselanhängern generierten Passcodes werden mit einem Server abgeglichen, der sich im Netzwerk des Unternehmens befindet. Der Server führt den Prozess für das Management der Identität aus, bereitet diverse Security-Richtlinien vor und verbindet die Token mit den Verzeichnissen der Anwender. Möglich sind hier zum Beispiel Active Directory oder RADIUS.

Stimmen die Nummernsequenzen überein, bekommt der Anwender Zugriff. Ist das nicht der Fall, fängt der Prozess von vorne mit dem Drücken des Knopfes an. Damit wird ein neuer Passcode generiert.

Diese Token funktionierten damals als Multifaktor-Lösung und die Schlüsselanhänger werden tatsächlich immer noch benutzt. Allerdings gilt die Technologie als etwas angestaubt und ist darüber hinaus auch nicht perfekt. Nehmen Sie zum Beispiel den ausgeklügelten Phishing-Angriff mit Namen Emmental. Er ist tatsächlich nach dem Schweizer Käse beziehungsweise Landstrich benannt und wurde Anfang 2014 angewandt. Dabei wurde ein falsches Zertifikat mit einem MitM-Angriff (Man in the Middle) kombiniert und so eine Zweifaktor-Authentifizierung anvisiert.

Token in Form von Schlüsselanhängern im Auge zu behalten ist außerdem mühselig. Möglicherweise ist das entsprechende Token gerade nicht zur Hand, wenn man sich irgendwo anmelden möchte. Zusätzlichen Aufwand mit der Deaktivierung hat die IT-Abteilung, wenn ein Mitarbeiter die Firma verlässt oder Schlüsselanhänger abhandenkommen.

Die Antwort auf diese Probleme sind heutzutage Smartphones.

Es gibt bereits diverse Apps für Smartphones, die genau wie die Schlüsselanhänger einmalige Passwörter produzieren. Damit sind die oben genannten Probleme weniger dramatisch. Hinzu kommt noch, dass Apple iPhones und einige Android-Geräte teilweise mit Sensoren für Fingerabdrücke kommen. Der zweite Faktor kann ein einfaches, numerisches Passwort sein oder auch eine digitale Kopie des Fingerabdrucks eines Anwenders, die mit dem eingebauten Smartphone-Scanner erstellt wurde.

Zusätzliche Typen von zweiten Faktoren auf einem Smartphone oder einem anderen mobilen Gerät sind SMS-Nachrichten, E-Mails und Kameras, mit denen sich ein QR Code auf einer Website einlesen lässt, wenn man sich an einer Anwendung oder Ressource anmelden oder eine Transaktion durchführen möchte.

Der wachsende Attraktivität von Multifaktor-Authentifizierung

Da Passwörter als unsicher gelten, haben sich Tools für Multifaktor-Authentifizierung vom IT-Kern zu eigentlich jedem Mitarbeiter in einem Unternehmen ausgebreitet. Das gilt vor allen Dingen in Bereichen, in denen persönliche Informationen verarbeitet werden. Weiterhin sind sie über die anfänglichen Management-Tools für die Identität hinausgewachsen und man findet sie ebenfalls in herkömmlichen Single-Sign-On-Produkten.

Mit der Ausbreitung von SaaS-basierten (Software as a Service) Web Services und der Anzahl an mehrmals verwendeten Passwörtern, sind Methoden zur Multifaktor-Authentifizierung noch wichtiger geworden. Auch kleine und mittelständische Firmen nutzen die Technologie. Hinzu kommt, dass Anbieter wie zum Beispiel Facebook, LinkedIn, Twitter, Gmail, Apple und so weiter ihre Tools angepasst haben, um die Anmeldungen entsprechend abzusichern.

Moderne Tools für die Multifaktor-Authentifizierung sind etwas einfacher zu verwalten. Für eine Integration ist dennoch ein wenig Aufwand nötig. Einige der Tools bringen Software Agents mit, die zum Beispiel VPNs, Sharepoint Server, Outlook Web App und Datenbank-Server schützen können.

Aktuelle Entwicklungen haben die üblichen hardwarebasierten Multifaktor-Server am eigenen Standort in die Cloud migrieren lassen. Die meisten Anbieter von Multifaktor-Lösungen bieten beiden Optionen an. Immer mehr Kunden entscheiden sich dabei für die ausgelagerten Varianten. Der Grund ist höhere Flexibilität durch die Cloud wie zum Beispiel bei Support und Management.

Die Kosten und Preismodelle von Multifaktor-Authentifizierung

Die typischen Kosten für eine Lösung für Multifaktor-Authentifizierung sind ein paar Euro pro Monat, pro Token. Hat ihr Unternehmen allerdings sehr viele Anwender oder sehr viele Token, kann das schnell mehrere zehntausend Euro kosten.

Komplexer wird die Geschichte, weil jeder Anbieter seinen Grundpreis anders berechnet. Es gibt Mengenrabatte, Preisnachlass für mehrere Jahre im Voraus und Gebühren für Support rund um die Uhr. Manche Hersteller rechnen pro Token ab und hier gibt es noch unterschiedliche Gebühren für Soft oder Hard Token. Bei anderen Anbietern zahlen Sie wiederum pro Anwender oder Server. Möglicherweise fallen weitere Gebühren für zusätzliche Komponenten oder Integrationsschichten an.

Tools für Multifaktor-Authentifizierung sind auf jeden Fall den damit verbundenen Aufwand wert. Das gilt vor allen Dingen, weil die Anzahl der Passwort-Exploits immer weiter steigt und solche Vorfälle dementsprechend Schlagzeilen machen. Firmen benötigen bessere Möglichkeiten, die Anmeldeinformationen der Anwender zu schützen und können sich nicht weiter auf die Kombination Anmeldename und Passwort verlassen.

Eine kurze Recherche zeigt, dass Multifaktor-Authentifizierung zunehmend eingesetzt wird. Sehen Sie sich nur die Anzahl der Verbraucher-SaaS-Lösungen und die Services der sozialen Medien an. Für Unternehmen war es nie so verlockend, Multifaktor-Authentifizierung einzusetzen. Das liegt an den guten Tools, die sich auf dem Markt befinden und dem Bewusstsein der Anwender, dass eine starke Authentifizierung wichtig ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Strategien für Zweifaktor-und Multifaktor-Authentifizierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close