Cybersecurity
Wie sicher ist die Multi-Faktor-Authentifizierung?
Microsoft hat mit seiner Lösung Office 365 einen wahren Verkaufsschlager geschaffen. Durch die weite Verbreitung ist sie jedoch auch bei Cyberkriminellen in den Fokus geraten. Gut informierte Unternehmen vertrauen daher schon längst nicht mehr auf eine einfache Anmeldung mit Passwort.
Die Multi-Faktor-Authentifizierung (MFA oder 2FA) gilt als Mittel der Wahl, um die Sicherheit beim Zugriff auf ein System zu erhöhen. Der Anwender meldet sich mit seinen Zugangsdaten ganz gewohnt an und erhält zugleich einen eigens generierten Zahlencode zum Beispiel per SMS auf die hinterlegte Smartphone-Nummer. Diesen gibt der Anwender sodann bei seiner Anmeldung als weiteren Authentifizierungs-Faktor ein und erhält erst dann Zugriff auf seinen Office-365-Account. Die Sicherheit beim Zugriff auf Anwendungen wurde durch diese Art der Authentifizierung erheblich erhöht und stellt für potentielle Angreifer eine große Hürde beim Knacken dar. Die Kriminellen sind jedoch kontinuierlich auf der Suche nach weiteren Möglichkeiten, um diesen Schutz zu umgehen oder weiter die Plattform eines MFA-Anbieters zu kompromittieren. Algorithmen, welche Aufschluss über die Funktionsweise der MFA Lösung geben, sind hier das Hauptziel der Angreifer. Man erinnere sich an RSA im Jahre 2011, bei dem nach dem Diebstahl wichtiger interner Informationen zur Passwortgenerierung 40 Millionen Hardware-Token ausgetauscht werden mussten.
Trotz erheblicher Sicherheitsmaßnahmen steigt auch die Zahl direkter Angriffe – die Kriminellen bleiben also kreativ. Viele Anwender nutzen für den Mailzugriff ihr Smartphone. Wird dieses jedoch in einem ersten Angriff kompromittiert, haben die Kriminellen leichtes Spiel. Sobald der Nutzer wie gewohnt, seine Emails abruft, greifen die Betrüger Zugangsdaten und den dazu gehörigen MFA Token ab. Mit dieser Vorgehensweise wird die zweite Authentifizierung umgangen, weil den Angreifern dann alle gewünschten Informationen auf ein und demselben Gerät vorliegen. Dem Zugriff auf den Mailaccount steht nun nichts mehr im Wege. Eine weitere Angriffsmöglichkeit bietet die Verbindung vom Mailzugriff mit Exchange Online, da diese unter bestimmten Möglichkeiten nicht mittels einer MFA geschützt sind. Gerade dann, wenn Authentifizierungsmaßnahmen nicht systemübergreifend verfügbar oder implementiert sind, entstehen für Kriminelle günstige Gelegenheiten Nutzerkonten zu kompromittieren. In hybriden Email-Konfigurationen, bei denen Applikationen im Einsatz sind, welche über Exchange Web Services (EWS) oder ActiveSync verbunden sind, ist oftmals kein Schutz durch eine erweiterte Authentifizierung gegeben. Dadurch ergibt sich eine weitere günstige Angriffsmöglichkeit für Kriminelle. Diese Lücken nutzen die Angreifer, um sich mit dem Office 365 Email Account des Opfers zu verbinden und die Konten für ihre Angriffe zu verwenden.
MFA und die Kommunikation zweier Systeme
Doch auch der Datenaustausch zwischen Maschinen eignet sich als Angriffsvektor, denn hier erschwert keine MFA Manipulationsversuche. Wenn es Angreifer schaffen, diese Kommunikation zu infiltrieren, können sie sich gegebenenfalls auch im Rest der Unternehmens-IT fortbewegen. So können auf diese Weise potentielle Opfer identifiziert und ihre E-Mail-Konten kompromittiert werden. Die MFA ist daher – trotz erheblicher Überarbeitung bei den Sicherheitsaspekten – kein vollständiger Schutz. Es gibt außerdem noch viele weitere
Wege, die MFA auszuhebeln.
Es gibt einige weitere Aspekte, welche die Angriffe auf die MFA begünstigen: War Rechenleistung früher noch eine verhältnismäßige kostenintensive Ressource, steht heute immer mehr Rechenleistung kostengünstig in der Cloud zu Verfügung. Von diesem Umstand profitieren nicht nur Unternehmen oder Privatpersonen, sondern ebenfalls potentielle Angreifer. Angriffsformen wie Brute Force – der Versuch Passwörter zu knacken, indem eine Software schlicht in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert – stellen für Kriminellen im Hinblick auf die benötigte Rechenkapazität kein großes Hindernis mehr dar. Angreifer können daher ihre Attacken von einigen wenigen auf eine hohe Anzahl von Zugriffen skalieren. Auch im Darknet findet ein reger Austausch von Zugangsdaten und den dazugehörigen Authentifizierungsfaktoren statt.
Der Kreativität der Angreifer sind keine Grenzen gesetzt, daher sind Unternehmen und Organisationen gut darin beraten, neben der MFA zusätzliche Sicherheitsmechanismen zu implementieren, um kompromittierte Accounts zu erkennen und sogleich Gegenmaßnahmen anzustoßen. Bei Entdeckung eines kompromittierten Office-365-Kontos muss dieses automatisch zurückgesetzt werden, um weiteren Missbrauch zu verhindern. Ist ein Account erst einmal gehackt, können Angreifer andere Nutzer mit manipulierten Emails zur Herausgabe von sensiblen Daten, Überweisungen und dergleichen bewegen. Durch den freien Zugriff auf diese kompromittierten Konten sind die Angreifer in der Lage, den Schreibstil perfekt zu kopieren und die unterschiedlichen Beziehungsstrukturen zu studieren. Mit diesen Erkenntnissen können Angreifer ihre Attacken äußerst glaubhaft auf die Opfer abstimmen. Gerade Office-365-Konten von Führungskräften bergen ein hohes Risiko für einen Missbrauch, da hier den Themen Autorität und Hierarchie eine besondere Rolle zuteilwird.
- Wie sicher ist die Multi-Faktor-Authentifizierung?
- Wie Unternehmen sich schützen können
Lesen Sie mehr zum Thema
