
Sieben von zehn Unternehmen wurden in den letzten beiden Jahren Opfer eines Cyberangriffs und besonders kleine und mittlere Unternehmen sind betroffen. Die meisten Unternehmen wissen, dass sie Nachholbedarf haben und der deutsche Cyber-Sicherheitsrat rät zu einer dringenden Verbesserung im IT-Schutz.
Die Zahl der Cyberangriffe nimmt stetig zu und das Handelsblatt nimmt an, dass pro Tag 390.000 neue Varianten hinzukommen. Kleine Unternehmen sollten daher jetzt darüber nachdenken, wie sie ihre IT-Sicherheit stärken und auf den neusten Stand bringen.
Bislang bestand eine beliebte und einfach zu implementierende Methode zur Abwehr von Cyberattacken in der Zwei-Faktor-Authentifizierung (2FA). Aber die Vorgehensweise der Cyberkriminellen wird immer ausgefeilter, sodass 2FA nicht mehr ausreicht.
Wir haben aber auch gute Nachrichten: Selbst wenn nicht genug Zeit und Ressourcen für die Überarbeitung des gesamten Cybersecurity-Plans vorhanden sind, können Daten immer noch geschützt werden. Die Einführung der Multi-Faktor-Authentifizierung (MFA) fügt den Sicherheitsbestrebungen eine weitere Ebene hinzu, die Hacker erst einmal knacken müssen.
Was ist Multi-Faktor-Authentifizierung?
Die Multi-Faktor-Authentifizierung oder Multi-Factor-Authentication ist eine Weiterentwicklung der mittlerweile anfällig gewordenen Zwei-Faktor-Authentifizierung.
Hinter der Zwei-Faktor-Authentifizierung steckt der Gedanke, etwas zu nutzen, „was man hat“, und etwas „was man weiß“, um auf Daten, Programme, Hardware und Software zuzugreifen. Um sich online bei seinem Bankkonto anzumelden, muss man bspw. nicht nur sein Kennwort eingeben (etwas, was man weiß), sondern auch eine PIN, die über einen Tan-Generator gesendet wird (etwas, was man hat).
Bei der Multi-Faktor-Authentifizierung kommt nun noch eine dritte Komponente hinzu, „etwas, was man einfach noch zur Absicherung hat“.
Die Idee hinter der Multi-Faktor-Authentifizierung ist simpel: Je mehr Schritte Nutzer*innen unternehmen müssen, um auf sensible Informationen zugreifen oder eine Transaktion vornehmen zu können, desto schwerer ist es für Hacker, Schaden anzurichten.
In der Multi-Faktor-Authentifizierung werden viele der Methoden eingesetzt, die auch schon bei der Zwei-Faktor-Authentifizierung zum Tragen kommen. Ein Nutzername zusammen mit einem Kennwort ist eine der häufigsten Vorgehensweisen zur Nutzeridentifizierung. Verifizierungscodes werden häufig per E-Mail, SMS oder über eine unabhängige App als zweite Schutzebene gesendet.
MFA ermöglicht allerdings auch eine Anzahl von weiteren Authentifizierungsmethoden, wobei zurzeit ein Token sehr beliebt ist. Ein Token kann eine Karte sein, die Nutzer*innen durchziehen, ein Anhänger, der vorgezeigt wird, oder ein USB-Gerät, das ein Kennwort erstellt, wenn es an einen Computer angeschlossen wird.
Der Einsatz von Hardware-Tokens für die starke Authentifizierung ist eine Reaktion darauf, dass Cyberkriminelle schwache Kennwörter oder Sicherheitsfragen knacken oder per SMS oder E-Mail gesendete 2FA-Codes abfangen können. Der Mädchenname der Mutter lässt sich möglicherweise noch durch eine Google-Suche finden, aber ein Gerät muss erstmal in die Hände eines Hackers gelangen.
Probleme bei der Multi-Faktor-Authentifizierung vermeiden
Der Schutz sensibler Daten ist von höchster Wichtigkeit für ein Unternehmen und seine Kunden, sodass die Multi-Faktor-Authentifizierung als der wichtige nächste Schritt erscheint. Bei der Einführung der Multi-Factor-Authentification können jedoch einige (vermeidbare) Schwierigkeiten auftreten.
Akzeptanz der Mitarbeiter*innen
Jede Geschäftssoftware steht und fällt mit den Mitarbeiter*innen und damit, wie viele von ihnen das neue System auch wirklich unter Berücksichtigung der Vorgaben einsetzen. Niemand möchte ein System, das den Alltag noch komplizierter gestaltet. Egal wie nötig die neuen Maßnahmen für die Cybersicherheit sind, Mitarbeiter*innen außerhalb der IT- und Sicherheitsabteilungen werden kein Programm nutzen, das nicht gut funktioniert.
Gerade aus Sicht der Cybersicherheit, wo die Mitarbeiter*innen eines Unternehmens häufig als größte Schwachstelle eingestuft werden, ist es wichtig, ein MFA-Programm einzusetzen, das sich so gut wie möglich in die Arbeitsroutine einfügt. Denn wenn es eine einfachere Möglichkeit gibt, auf Daten und Hardware zuzugreifen, werden die Mitarbeiter*innen sie auf jeden Fall finden und nutzen.
Fazit: Ein MFA-System sollte unbedingt aus der Nutzerperspektive betrachtet werden und nicht nur unter Sicherheitsaspekten. Wenn Mitarbeiter*innen sich nicht an neue Sicherheitsmaßnahmen halten, ist das Unternehmen nicht geschützt.
MFA-Programme sind kostspielig
Wenn für alle Mitarbeiter*innen im Unternehmen Tokens angeschafft werden, können die Kosten schnell in die Höhe schießen. Eine durchdachte MFA-Strategie kann hier Ausgaben und Zeit – siehe die Ausführungen zur Akzeptanz der Mitarbeiter*innen – sparen.
Anfangs mögen die Aufwendungen für eine starke Authentifizierung enorm erscheinen, aber dem gegenüber stehen die durchschnittlichen Verluste bei einem Datenleck, die sich pro Datensatz auf 165 EUR belaufen können. Weil es zunächst auf dem Konto besser aussieht, keine IT-Sicherheitsmaßnahmen zu ergreifen, kann ein Cyberangriff schnell jede finanzielle Sicherheit zerstören.
Fazit: Die Kosten einer Sicherheitsverletzung – sowohl bzgl. der Finanzen als auch dem Ruf des Unternehmens – sind bedeutend gravierender als die Ausgaben für angemessene Sicherheit.
Nichts geht ohne einen Backup-Plan
MFA und auch 2FA basieren darauf, dass die Nutzer*innen „etwas haben“, um ihre Identität zu beweisen. Hier muss jedoch auch menschliches Fehlverhalten berücksichtigt werden. Was, wenn Mitarbeiter*innen ihre Smartphones zuhause vergessen? Oder die Karte verlieren, die sie durchziehen müssen? Bei der Implementierung muss nicht nur eine neue Sicherheitsstrategie zum Tragen kommen, es muss auch ein Backup-Plan erstellt werden, falls die neue Methode nicht funktioniert.
Fazit: Kein Sicherheitsplan ist perfekt. Ein Backup-Plan sollte auf verschiedene Szenarien vorbereiten und auch menschliche Fehler berücksichtigen.
Beispiele für Multi-Faktor-Authentifizierung in kleinen Unternehmen
Nachfolgend haben wir einige Beispiele für MFA-Apps zusammengetragen, um einen Überblick für typische Lösungen zu schaffen und einige andere Features aufzuzeigen, die bei den Apps zum Tragen kommen.
OneLogin

Mit der Authentifizierungs-App OneLogin Protect von
können Nutzer*innen ihre Identität über ihre Smartphones verifizieren. Diese Software lässt sich auch mit Authentifizierungsprogrammen von Dritten wie Google Authenticator und YubiKeys von Yubico integrieren und bietet eine Option zum einmaligen Anmelden für Unternehmens-Desktops.Duo Security

kennen die meisten aufgrund der Zwei-Faktor-Authentifizierung, aber die Software bietet auch eine MFA-Option für Kunden, die sich eine weitere Sicherheitsebene wünschen. Wie OneLogin verfügt auch Duo über eine eigene Authentifizierungs-App (Duo Push). Duo setzt zur Verifizierung sowohl Smartphones als auch Token ein.
ThisData

bietet eine Zwei-Faktor-Authentifizierung zusätzlich zu einer kontinuierlichen Authentifizierungsstrategie. Kontinuierliche Authentifizierung bedeutet, dass Nutzer*innen sich nicht nur zu Beginn anmelden müssen, sondern auch während der Nutzung einer Anwendung ab und an zur Eingabe ihres Kennworts aufgefordert werden. Dies lässt sich mit der Eingabe einer neuen PIN bei einer zweiten Überweisung vergleichen.
Die starke Authentifizierung ist eingerichtet. Was nun?
Nicht vergessen, die Multi-Faktor-Authentifizierung ist nur ein Teil der Unternehmensstrategie für IT-Sicherheit. Die schnellste und einfachste Lösung für Schwächen in der Cybersecurity setzt häufig bei nicht-technischen Mitarbeiter*innen an und auch die übergreifende Netzwerksicherheit sowie die Datensicherung sollten in Betracht gezogen werden. Wie MFA einem gut vor Augen führt: Je mehr Sicherheitsebenen, desto besser.
Weitere Informationen zur IT-Sicherheit:
- GetApp-Kategorien zu IT-Management-Software und IT-Security-Software