Zwei-Faktor-Authentifizierung: Gerüchte über ihr Ende sind übereilt

Laut dem Data Breach Report 2022 von Verizon basieren 82 Prozent der Verstöße auf Social-Engineering-Techniken oder der Ausnutzung menschlicher Schwächen. Um dieser Plage entgegenzuwirken, ist es heutzutage von entscheidender Bedeutung, die Authentifizierungsphase zu stärken. Obwohl Unternehmen des Öfteren die Zwei-Faktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen, hat diese Methode verschiedene Schwächen.

Die Grenzen der Zwei-Faktor-Authentifizierung

In den letzten Jahren haben Cyberkriminelle ausgefeilte Techniken entwickelt, um die Zwei-Faktor-Authentifizierung zu umgehen. Eine der häufigsten Methoden besteht darin, nachgebildete Websites mit vorgefertigten Phishing-Kits zu erstellen. Diese Websites enthalten gefälschte Login-Seiten, um Benutzeranmeldeinformationen wie Codes oder Session-Cookies zu sammeln. Dies ist eine äußerst effektive Methode, da das Opfer transparent zur legitimen Website umgeleitet wird, ohne den Betrug zu bemerken.

Andere komplexere Techniken wie ausgeklügeltes Social Engineering werden ebenfalls eingesetzt, um ein Opfer dazu zu bringen, seinen Einmalkenncode durch Deep-Fake-Stimmtechniken oder durch die Umleitung von Telefonanrufen auf betrügerische Nummern preiszugeben.

Mit Brute-Force-Angriffen 2FA umgehen

Cyberkriminelle können die Zwei-Faktor-Authentifizierung auch mittels Brute-Force-Angriff umgehen, bei dem automatisch alle möglichen Varianten der Sicherheitscodes ausprobiert werden. In der Praxis sind diese Attacken jedoch selten, da sie Zeit erfordern und durch Firewall-Regeln unwirksam gemacht werden, die wiederholte Verbindungsversuche blockieren.

Noch seltener, aber genauso gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen ausgefeilte Techniken eingesetzt werden, um den 2FA-Code abzufangen, indem man sich in die Kommunikation zwischen dem Benutzer und der Anwendung einschleust. Zum Beispiel nutzen Attacken wie „SIM-Swapping“ die Option der Telefonnummernportierung des Smartphones bei einem Mobilfunkanbieter illegal aus, um die Bestätigungs-SMS mit den 2FA-Parametern des Opfers zu erhalten. Diese Methoden sind Alternativen zum physischen Diebstahl eines Computers oder eines Mobiltelefons.

Voller Zugriff auf E-Mail-Konten der Opfer

Bereits im Jahr 2018 warnte Amnesty International vor den Schwachstellen der Zwei-Faktor-Authentifizierung. Amnesty Tech untersuchte damals eine umfangreiche und ausgeklügelte Phishing-Kampagne gegen Journalisten und Menschenrechtsverteidiger im Nahen Osten und Nordafrika. Dabei hatten Cyberkriminelle gefälschte Google- und Yahoo-Authentifizierungsseiten erstellt. Sobald die Benutzer ihre E-Mail-Adresse eingegeben hatten, forderte die bösartige Benutzeroberfläche die Anwender auf, den ihnen gerade per SMS zugesandten sechsstelligen Authentifizierungscode einzugeben. Indem die Cyberkriminellen sowohl die Anmeldedaten als auch den zweiten Authentifizierungsfaktor kannten, hatten die Angreifer vollen Zugriff auf die E-Mail-Konten ihrer Opfer.

Ist die Zwei-Faktor-Authentifizierung immer noch zuverlässig?

Die Zwei-Faktor-Authentifizierung ist tatsächlich deutlich zuverlässiger als ein einfaches Passwort. Um möglichen Umgehungsversuchen entgegenzuwirken, ist es jedoch dringend erforderlich, sie mit zusätzlichen Maßnahmen zu stärken.

Eine Möglichkeit, den Zugriff sicherer zu machen, besteht darin, die Anzahl der Überprüfungsfaktoren durch die Verwendung der Mehr-Faktor-Authentifizierung (MFA) zu erhöhen. Die Mehr-Faktor-Authentifizierung erfordert den Einsatz verschiedener Überprüfungselemente, um einer Person oder einer Maschine Zugriff zu gewähren.

Gemäß den offiziellen Empfehlungen der ANSSI werden diese Faktoren in vier Kategorien eingeteilt, darunter:

  • Bekannte Faktoren wie ein Passwort oder eine Sicherheitsfrage;
  • wie ein physischer Sicherheitstoken (eine Smartcard, ein SecurID-Schlüssel) oder ein digitaler Token (ein Telefon, eine mobile Anwendung), der einen eindeutigen und temporären Code (OTP) generiert;
  • angeborene Faktoren wie biometrische Merkmale, DNS, Fingerabdrücke, Netzhautmuster, Gesichtserkennung und Spracherkennung;
  • oder produzierte Faktoren wie Standort, Aktionen und Verhaltensanalyse.
Out-of-band-Authentifizierung oder Deep-Voice-Detection-Technologie

Es gibt bereits verschiedene Lösungen, die noch mehr Sicherheit bieten. Dazu gehört die Out-of-band-Authentifizierung (OOBA), bei der Anwender über zwei verschiedene Kommunikationskanäle verifiziert werden. In diesem Fall könnte ein Faktor über ein LAN-Netz kommuniziert werden, während ein anderer über das 4G/5G-Netzwerk übermittelt wird – ergo eine Kanaltrennung für erhöhte Sicherheit. Ein weiterer Ansatz ist die Deep-Voice-Detection-Technologie, die von einer KI erzeugte Stimmen erkennt. Diese Techniken haben jedoch aufgrund hoher Implementierungskosten noch eine nur geringfügige Bedeutung.

Es ist also wichtig zu erkennen, dass die 2FA und in geringerem Maße die MFA anfällig für hochentwickelte Cyberangriffe sein können. Die Hinzufügung eines zweiten, auch schwachen Authentifizierungsfaktors macht den Benutzer aber im Vergleich zur Verwendung eines einzigen Faktors nicht anfälliger. Im Gegenteil! Deshalb sind diese Authentifizierungsmethoden noch nicht veraltet: Sie können die meisten gängigen Cyberangriffe abwehren.

Die korrekte Implementierung der Zwei-Faktor-Authentifizierung bleibt ein Schlüsselfaktor, um ausreichenden Schutz für den Zugriff auf Unternehmensressourcen zu gewährleisten. Die Einführung eines dritten oder sogar vierten Authentifizierungsfaktors für bestimmte Benutzer (Systemadministrator und andere VIPs des Unternehmens) sowie der Einsatz mehrerer Kommunikationskanäle können die Schwachstellen des Authentifizierungsprozesses weiter reduzieren. Wie so oft geht es auch hier um eine angemessene Risikobewertung und die erforderliche Investitionsbereitschaft zur Risikominimierung.

Sébastien Viou

ist Direktor für Cybersicherheit und Produktmanagement bei Stormshield.

Roger Homrich

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago