Blog
Identitätsbedrohungsabwehr
Warum MFA gut, aber nicht gut genug ist: Nur mehrschichtiger Schutz verhindert MFA-Umgehung
Security circle lock

Warum MFA gut, aber nicht gut genug ist: Nur mehrschichtiger Schutz verhindert MFA-Umgehung

Share with your network!
Matthew Gardiner

In den letzten 10 Jahren ist Multifaktor-Authentifizierung (MFA) zu einem Eckpfeiler moderner Cybersicherheitsmaßnahmen geworden. Parallel zur verbesserten Anwenderauthentifizierung optimierten aber auch die Cyberkriminellen ihre Vorgehensweisen, was sich an der Verbreitung von MFA-Umgehungstechniken zeigt.

Doch obwohl Angreifer Möglichkeiten zur Umgehung von MFA gefunden haben, wird diese Technik weiterhin häufig als Allheilmittel angesehen. Aktuelle Untersuchungen von Proofpoint haben gezeigt, dass bei fast der Hälfte der von Bedrohungsakteuren übernommenen Konten MFA konfiguriert war. Dennoch sind 89 % der Sicherheitsexperten der Meinung, dass MFA vollständigen Schutz vor Kontoübernahmen bietet. Offensichtlich gibt es hier einen Widerspruch.

Mehr denn je ist ein zuverlässiger mehrschichtiger Schutzansatz notwendig, der MFA-Umgehung verhindert und die Wahrscheinlichkeit schwerwiegender Datenschutzverletzungen durch Kontoübernahmen minimiert. In diesem Blog-Beitrag gehen wir im Detail darauf ein, warum MFA allein nicht genügt und wie Sie Ihr Unternehmen besser schützen können.

Techniken zur Umgehung von Multifaktor-Authentifizierung

Bei MFA müssen Anwender sich mithilfe mehrerer Faktoren authentifizieren, sodass dieser Ansatz effektiven Schutz bietet. Dabei wird ein Wissens-Faktor (meist das Kennwort) mit einem Besitz-Faktor (einer Authentifizierungs-App oder einem Token) oder einem Inhärenz- bzw. Eigenschafts-Faktor (z. B. einem Scan des Gesichts) kombiniert. In der Theorie klingt das zwar sehr sicher, doch Bedrohungsakteure haben mittlerweile mehrere Methoden zur Umgehung von MFA gefunden, die zum Teil sehr raffiniert sind:

  • Phishing-Angriffe: Dabei werden Anwender von Cyberkriminellen dazu verleitet, MFA-Codes oder ihre Anmeldedaten auf Websites einzugeben, die von den Angreifern kontrolliert werden.
  • MFA-Fatigue-Angriffe: Nachdem Bedrohungsakteure das Kennwort eines Anwender stehlen konnten, starten sie eine Flut an MFA-Push-Benachrichtigungen. Das kann die Anwender irritieren und dazu führen, dass sie den Zugriff genehmigen, einfach nur damit die Benachrichtigungen aufhören.
  • Sitzungs-Hijacking: Bei dieser Technik stehlen Angreifer das Sitzungs-Cookie nach der Authentifizierung, was die vorherige MFA-Authentifizierung wirkungslos macht.
  • SIM-Austausch: Diese Technik kompromittiert SMS-basierte MFA, indem sie die Telefonnummer des Ziels an den Angreifer überträgt. Dazu manipuliert der Bedrohungsakteur per Social Engineering den Mobilfunkanbieter oder er arbeitet mit einem Insider in diesem Unternehmen zusammen.
  • Klassisches Social Engineering: Die meisten Unternehmen bieten Remote-Mitarbeitern die Möglichkeit, ihre Kennwörter und MFA-Konfigurationen zurückzusetzen, ohne vor Ort anwesend sein zu müssen. Ohne eine ausreichende Online-Identitätsprüfung kann der IT-Helpdesk per Social Engineering dazu gebracht werden, die Anmeldedaten eines Mitarbeiters an den Bedrohungsakteur auszuhändigen.
  • Adversary-in-the-Middle-Angriffe: Angriffstools wie das spezialisierte Phishing-Kit Evilginx sind in der Lage, Sitzungs-Token abzufangen. Diese Token werden anschließend an legitime Services weitergegeben, die den Angreifern daraufhin Zugang gewähren.

Sehen Sie sich diese Demo eines Adversary-in-the-Middle-Angriffs mit Evilginx an, den Proofpoint Account Takeover Protection erkennen und stoppen konnte.

Warum MFA allein nicht genügt

MFA leistet auf jeden Fall einen wertvollen Beitrag zur Anwenderauthentifizierung und erschwert Bedrohungsakteuren den unbefugten Zugriff. Die oben beschriebenen Umgehungstechniken zeigen jedoch auch, dass es gefährlich ist, sich auf einen einzigen Schutzmechanismus zu verlassen. Die Zunahme erfolgreicher MFA-Umgehungsangriffe demonstriert eindrücklich, dass entschlossene Angreifer bei der Überwindung häufig implementierter Sicherheitsmaßnahmen sehr erfinderisch werden.

Der Hinweis mag vielleicht offensichtlich erscheinen, aber behalten Sie stets im Hinterkopf, dass MFA immer ein Teil eines umfassenden Sicherheitsprogramms sein sollte und keine 100%ige Sicherheit bietet. Das Konzept des mehrschichtigen Schutzes bedeutet, dass zusätzliche Sicherheitsebenen die Wahrscheinlichkeit eines erfolgreichen Angriffs auch dann verringern, wenn eine Schicht kompromittiert wurde.

Implementierung eines mehrschichtigen Schutzansatzes

Ein mehrschichtiger Schutzansatz vereint mehrere sich überschneidende Sicherheitsmaßnahmen, was zu Redundanzen führt und Angreifern die Möglichkeit nimmt, vorhandene Schwachstellen auszunutzen. Unternehmen können ihren Schutz vor MFA-Umgehung auf folgende Weise stärken:

  • Stärkung des Endpunktschutzes: Implementieren Sie EDR-Tools (Endpoint Detection and Response), die unbefugte Zugriffe auf Host-Ebene erkennen und blockieren.
  • Investition in Schutz vor Anmeldedaten-Phishing: Die meisten Bedrohungsakteure nutzen äußerst gezielte Phishing-Angriffe mit Social Engineering, um an die Anmeldedaten Ihrer Anwender zu gelangen. Deshalb investiert Proofpoint stark in unsere E-Mail-Sicherheitsplattform.
  • Implementierung von Phishing-sicherer MFA: Wechseln Sie zu MFA-Methoden, die mehr Schutz bieten und weniger anfällig für Phishing und MFA-Umgehungsangriffe sind. Dazu gehören zum Beispiel Hardware-Sicherheitsschlüssel (FIDO2) oder biometrische Daten.
  • Nutzung spezialisierter Sicherheitssysteme zum Schutz vor Kontoübernahmen: Implementieren Sie ein Tool wie Proofpoint Account Takeover Protection, das Cloud-Kontoübernahmeversuche sofort erkennt, untersucht und automatisch reagiert. Solche Lösungen wehren Angriffe ab, bevor ernsthafter Schaden angerichtet werden kann.
  • Schulung der Anwender: Informieren Sie Ihre Anwender mit Schulungen darüber, wie sie Phishing-Versuche und andere Social-Engineering-Angriffe erkennen, die es auf ihre MFA-Anmeldedaten abgesehen haben. Hier ist Proofpoint Security Awareness Training eine große Hilfe.
  • Planung der Reaktion auf Zwischenfälle und Wiederherstellung: Bereiten Sie sich auf Worst-Case-Szenarien vor. Sie sollten über einen umfassenden Plan zur Reaktion auf Zwischenfälle verfügen, der auch Möglichkeiten zum schnellen Sperren von Zugriffs-Token und Untersuchen verdächtiger Anmeldungen bietet. Proofpoint Account Takeover Protection ist dabei eine große Hilfe.

Die Vergangenheit, Gegenwart und Zukunft der Cybersicherheit: proaktiver, mehrschichtiger Schutz

Der Kampf gegen MFA-Umgehungsmethoden zeigt die Dynamik heutiger Cyberbedrohungen sehr deutlich. Mit einer mehrschichtigen Schutzstrategie gewährleisten Sie, dass beim Ausfall einer Sicherheitsebene weitere Schichten bereitstehen, um Schaden zu verhindern.

Wenn Sie in umfassende und proaktive Sicherheitsmaßnahmen investieren, bleiben Sie Angreifern einen Schritt voraus und können Ihre wertvollsten Assets schützen. Bei der Stärkung der Cybersicherheit geht es nicht um den Aufbau einer einzigen undurchdringlichen Mauer, sondern darum, Angreifern jeden weiteren Schritt schwerer zu machen.

Weitere Informationen erhalten Sie im Datenblatt zu Proofpoint Account Takeover Protection und in unserer Demo eines Adversary-in-the-Middle-Angriffs.

Previous Blog Post
Next Blog Post