Adaptive Multi-Faktor-Authentifizierung schlägt 2FA

Durchschnittlich 100 Zugangsdaten muss sich der normale Büroangestellte mittlerweile merken. Ein leichtes Ziel für Phishing, Ransomware, Zero-Day & Man-in-the-Middle-Angriffe. Zum Schutz vor solchen Angriffen arbeiten bis dato viele Unternehmen mit einem einfachen Zwei-Faktoren-Authentifizierungsverfahren. Dies wird ab 14. September im Finanzsektor Pflicht. Dabei wird ein einmalig verwendeter Code per E-Mail, SMS oder Telefonanruf an das Telefon oder einen Computer gesendet. Immerhin bietet die 2FA eine höhere Sicherheit als keine zusätzliche Authentifizierung. Die Kür ist jedoch die Multifaktoren-Authentifizierung, die laut Passwortsicherheitsreport von LastPass bei den 43.000 befragten Kunden vor allem im Finanzsektor zur Authentifizierung noch wenig eingesetzt wird.

von Gerald Beuchelt, CISO, LogMeIn/ LastPass

Lassen Sie uns zu Beginn kurz einen Blick auf 2FA werfen: Das Problem bei der 2FA sind fehlenden granulare Steuerungsmöglichkeiten für verschiedene IT-Systeme. Somit sind solche 2FA Lösungen eher unflexibel und lassen sich nicht an verschiedene Anwendungsfälle und Szenarien anpassen.

Bei der standardisierten 2FA handelt es sich in der Regel um Insellösungen, die sich nicht in andere Systeme integrieren lassen, so dass es aus IT-Sicht wenig Kontrolle und Transparenz gibt. 2FA-Lösungen passen sich auch nicht an eine Vielzahl von Anwendungsfällen und Szenarien an.

Bei 2FA haben die erforderlichen Authentifizierungsfaktoren nichts mit dem Risikoprofil oder den Login-Szenarien des einzelnen Benutzers zu tun.”

Entweder ist 2FA eingeschaltet und erforderlich oder es ist ausgeschaltet und nicht erforderlich. Dies kann Anwender ausbremsen, wenn die zusätzliche Sicherheit nicht erforderlich ist.

Risk Adaptive Multifaktoren-Authentifizierung bietet einfache, risikobasierte Intelligenz

Die Lösung ist eine Multifaktor-Authentifizierung, die nicht nur auf die Kernelemente der Zwei-Faktor-Authentifizierung setzt, sondern darüber hinaus auch kontextbezogene Faktoren mit in die Analyse einbezieht. Dabei wird mit Methoden der Künstlichen Intelligenz überprüft, ob das Gesamtbild passt: Ist es möglich, dass der Mitarbeiter sich in Berlin einloggt und bereits zwei Stunden später von Asien aus erneut auf Daten zugreift? Ist es plausibel, dass der Computer sich in einem völlig anderen Land befindet, als das zur Authentifizierung verwendete Smartphone? Prüfmechanismen wie diese haben sich bei der Betrugsprävention rund um Finanztransaktion als sehr wirkungsvoll erwiesen und können auch im Bereich der Zugangskontrolle ihre Vorteile ausspielen. Umkehrt ist es damit möglich, Mitarbeiter einfacher und unkomplizierter zu authentisieren.

Wenn der Login zur Arbeitszeit im Firmennetz erfolgt, müssen die Regeln zum Login weniger streng gehandhabt werden, als wenn der Mitarbeiter mit dem Laptop auf Dienstreise ist.”

Intelligente Entscheidung für jede Anmeldesituation

Bei einer adaptiven Multifaktor-Authentifizierung wird somit für jede Anmeldesituation eine intelligente Entscheidung getroffen. Dabei fließt eine Vielzahl an Parametern in die Analyse ein, und ein individuelles Benutzerprofil entsteht. Dadurch können Anomalien sofort erkannt werden. Auf einem wesentlich höheren Sicherheitsniveau profitiert der Anwender trotzdem von einer natürlichen und einfachen Anmeldung.

Autor Gerald Beuchelt, CISO LogMeIn

Gerald Beuchelt ist als Chief Information Security Officer bei LogMeIn für das gesamte Sicherheits-, Compliance- und technische Datenschutzprogramm des Unternehmens verantwortlich. Mit mehr als 20 Jahren Erfahrung im Bereich Informationssicherheit ist er Mitglied des Board of Directors und IT-Sector Chief für den Bostoner Ortsverband von InfraGard. In seiner früheren Funktion war er Chief Security Officer bei Demandware. Er hat einen Master of Science-Abschluss in theoretischer Physik.

Für Administratoren wiederum erhöht sich die Transparenz deutlich. Flexible, granulare Richtlinien für einzelne Applikationen lassen sich einfacher durchsetzen. Zugleich ist eine solche Lösung im Prinzip frei skalierbar und durch den Einsatz vorhandener Hardware kostengünstig umsetzbar.

Nahtlose Integration in bestehende Infrastruktur

Wichtig ist jedoch, dass ein MFA-System nicht isoliert arbeitet, sondern sich nahtlos in eine bestehende Infrastruktur, etwa Microsoft Active Directory, einbinden lässt. Zugleich müssen sich Richtlinien granular auf Gruppen, aber auch die Einzelbenutzerebene abbilden lassen, beziehungsweise aus bestehenden IAM-Lösungen übernommen werden. Dazu gehört auch, dass die MFA-Lösung kompatibel zu gängigen Standards für das Single Sign-on (SSO) ist.

Eine derart integrierte Lösung sollte – wie beispielsweise bei LastPass Identity – dabei zugleich Unterstützung durch verschiedene Richtlinien und Berichte bieten. Damit können Administratoren die Benutzer von der Authentifizierung bis zum Zugriff auf Systeme und Daten im Auge behalten. Mit einer benutzerfreundlichen Lösung, die sich an die Arbeitsweisen der Mitarbeiter anpasst, steigt die Akzeptanz und damit auch das Sicherheitsniveau. Eine flexible und adaptive MFA-Lösung ist damit ein strategisch wichtiges Element einer modernen Security-Landschaft.Gerald Beuchelt, CISO, LogMeIn/ LastPass

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/93129