Kolumne : Wieso MFA nicht genügt

Zunehmend beginnen Cyberangriffe mit einem gestohlenen, geleakten oder gebrochenen Passwort, wie aktuelle Beispiele von Angriffen zeigen: Colonial Pipeline, Mai 2021. Okta, Januar 2022. Nvidia, Februar 2022. Cisco, März 2022. Optus und Uber, September 2022. Woolworth, Oktober 2022. Überall stand am Anfang ein kompromittiertes oder ungeschütztes Konto.

Nun ist natürlich schon lange bekannt, dass Passwörter allein ungeeignet sind, wichtige Dienste ausreichend vor unbefugtem Zugriff zu schützen. Viele Organisationen setzen deshalb auf Multifaktor-Authentifizierung (MFA). Schaut man sich die obigen Beispiele allerdings genauer an, sieht man, dass zum Beispiel Okta, Cisco und Uber bereits MFA eingesetzt hatten. Wie konnten Cyberkriminelle die MFA umgehen? Wie also sollen sich Organisationen am besten schützen? Wie soll man mit Passwörtern und MFA umgehen, und wie geht es weiter?

MFA bedeutet, dass zur Authentifizierung eines Nutzers mindestens zwei Methoden mit unterschiedlichen, voneinander unabhängigen „Faktoren“ miteinander kombiniert werden. Faktor meint dabei irgendetwas, mit dem der Nutzer seine Identität nachweisen kann, etwa ein Passwort oder ein persönliches Gerät.

Es gibt eine Vielzahl an sinnvollen Kombinationsmöglichkeiten, in der Praxis wird für MFA heutzutage aber oft eine Kombination aus Passwort und Smartphone verwendet: Meist muss der Nutzer zur Vorbereitung zuerst eine Authenticator-App installieren und sein Smartphone und die Authenticator-App irgendwie mit dem Konto verbinden. So oder so ist die Grundannahme stets, dass später der Authentifizierungsserver und das Smartphone eine beidseitig authentifizierte, sichere Verbindung aufbauen können.

Möchte sich der Nutzer später bei dem Konto anmelden, meldet er sich zunächst mit seinem Passwort beim Authentifizierungsserver an. Ist das Passwort korrekt, wird serverseitig der zweite Teil der Authentifizierung gestartet, der über das Smartphone des Nutzers läuft. Im einfachsten Fall erhält der Nutzer per Authenticator-App eine Nachricht angezeigt, die er nur quittieren muss. Komplexere Verfahren verwenden kurze Einmalcodes, die der Nutzer per Authenticator-App, SMS oder Sprachanruf erhält und dann zur Anmeldung wie zuvor sein Passwort eintippen muss.

Um Authenticator-Apps mit einem Konto zu verbinden, also die MFA auf einem Smartphone einzurichten, verwenden viele MFA QR-Codes, die auf dem Endgerät nach der ersten Authentifizierung angezeigt und vom Nutzer dann per Authenticator-App auf dem Smartphone eingescannt werden. Auf diese Weise wird das Problem gelöst, dass Nutzer realistischerweise höchstens ein paar wenige Zeichen per Tastatur zwischen Endgerät und Smartphone übertragen können, was für eine kryptographisch gesicherte Einrichtung nicht ausreichen würde.

Viele populäre MFA sind nicht sicher

Die oben genannten Beispiele zeigen, dass viele dieser heute üblichen MFA-Methoden umgangen werden können. Der prinzipielle Grund dafür ist sehr einfach: Die beiden Authentifizierungen sind meist nur locker miteinander verknüpft, über eine Bestätigung oder einen kurzen Code, den der Nutzer eintippen muss. Die bekannten Angriffe gegen solche MFA fallen grob in fünf Kategorien:

Brute-Force: Für viele MFA-Methoden muss der Nutzer für die zweite Authentifizierung lediglich einen 2-4 stelligen, zufällig gewählten Code in den Web-Browser eintippen. Erlaubt das System beliebig viele Fehlversuche, dann kann der Angreifer diesen Code schlicht raten und den Anmeldevorgang so lange wiederholen, bis er richtig geraten hat. Um diesen Angriff zu verhindern, sollte die Anzahl der Fehlversuche auf drei bis zehn begrenzt werden – genauso wie bei Passwörtern.

Social-Engineering und Phishing: Eine der häufigsten Angriffe gegen MFA besteht darin, dass der Angreifer den Authentifizierungsvorgang mit dem Passwort, das er ja schon kennt, startet und dann sein Opfer dazu bringt, den zweiten Authentifizierungsschritt für ihn durchzuführen. Erfordert dieser zweite Schritt nur eine einfache Bestätigung durch den Nutzer und erlaubt das System beliebig viele Fehlversuche, dann kann der Angreifer beliebig viele Authentifizierungsvorgänge anstoßen und so den Nutzer mit Bestätigungsanforderungen fluten.

Irgendwann verliert das Opfer die Nerven oder wird unaufmerksam und bestätigt versehentlich eine der Anforderungen. Ansonsten kann der Angreifer nachhelfen und zum Beispiel sein Opfer anrufen und sich als Support-Mitarbeiter ausgeben, der gerade dringend das MFA-System testen muss. Gegen Fluten hilft wieder die Begrenzung der Anzahl der Fehlversuche. Alle oben beschriebenen MFA-Methoden sind allerdings durch etwas aufwändigeres Social-Engineering angreifbar.

Die Verknüpfung zwischen den beiden Authentifizierungsschritten erfolgt ja immer über den Nutzer, und damit kann ein überzeugender Angreifer den Nutzer auch immer dazu bringen, diese Verknüpfung für ihn vorzunehmen. Gegen Social-Engineering an sich hilft letztlich nur eine entsprechende Schulung der Nutzer.

Session-Stealing: Oftmals wird Nutzern die Option angeboten, für einen Web-Browser die MFA nur einmal durchzuführen. Technisch bedeutet dies, dass der Browser die notwendige Information lokal in einem Cookie speichert. Aktuelle Infostealer-Malware sucht nicht nur nach Passwörtern, sondern gezielt auch nach solchen Cookies. Hat der Angreifer dieses Cookie, so kann er die MFA ebenso umgehen, wie der legitime Nutzer. Um dieses Session-Stealing zu verhindern, sollte man auf diese Option verzichten.

Man-in-the-Middle: Für diese Art von Angriffen setzt der Angreifer eine gefälschte Anmeldeseite auf und lenkt sein Opfer irgendwie – etwa Phishing oder DNS-Manipulationen – auf diese gefälschte Seite. Die Erfahrung zeigt, dass die meisten Opfer dies nicht bemerken werden. Meldet sich der Nutzer nun auf dieser gefälschten Seite an, dann kann der Angreifer sich problemlos in die Kommunikation zwischen Nutzer und Anwendung einklinken und die Sitzung übernehmen. Keine der oben genannten MFA-Methoden ist gegen Man-in-the-Middle sicher. Um diese Art von Angriffen abzuwehren, braucht es sichere Ende-zu-Ende- Authentifizierung zwischen Server und Client, zum Beispiel mittels kryptographischer Zertifikate auf beiden Seiten.

Hijacking: Viele MFA-Methoden gehen fälschlich davon aus, das Mobiltelefonnetz sei sicher und beispielsweise eine SMS lande stets nur beim beabsichtigten Empfänger. Tatsächlich gibt es aber eine ganze Reihe von Schwachstellen, die ausgenutzt werden können. Beispielsweise kann der Angreifer die für MFA registrierte Mobiltelefonnummer des Nutzers hijacken und so alle Authentifizierungsnachrichten auf sich selbst umlenken. Eine Methode hierfür nennt sich SIM-Swapping. Gemeint ist damit, dass der Angreifer die regulären Managementprozesse des Mobilfunkbetreibers ausnutzt, um sich eine SIM-Karte mit der Telefonnummer des Opfers zu besorgen. Unter gewissen Voraussetzungen kann ein Angreifer auch direkt, durch Ausnutzen des Kontrollprotokolls Signal System 7 (SS7), Authentifizierungsanfragen auf sein eigenes Telefon umleiten. Dieser Angriff ist nicht trivial, aber praktikabel und wurde tatsächlich schon gegen Bankkunden in Deutschland durchgeführt.

Auch wenn viele der heute üblichen MFA-Methoden angreifbar sind, helfen sie doch, die Sicherheit zu verbessern. Ohne MFA genügt dem Angreifer ein Passwort, er muss über keinerlei technische Fähigkeiten verfügen. Mit MFA muss der Angreifer deutlich mehr Aufwand treiben, das heißt die Schwelle für Cyberangriffe wird angehoben. Organisationen sollten deshalb auf jeden Fall für alle wichtigen Dienste MFA verwenden.

Geeigneter als die oben beschriebenen Verfahren mit Passwort+Smartphone sind Verfahren, die etwa mittels client- und serverseitigen kryptographischen Zertifikaten eine echte Ende-zu-Ende-Authentifizierung erreichen. Um Social Engineering zu begegnen, sollten alle Nutzer eine entsprechende Schulung erhalten.

Was ist der nächste Schritt?

Cybersicherheit braucht natürlich sehr viel mehr als sicheres Login, denn die Erfahrung zeigt, dass alle Schutzmaßnahmen am Perimeter einer Organisation mit ausreichend Aufwand überwunden werden können. Kompromittierte Passwörter und umgehbare MFA sind dabei nur ein Problem. Innentäter spielen eine immer größere Rolle, ebenso wie Schwachstellen bei Partnern, Dienstleistern oder Zulieferern und gegen sie alle hilft kein Perimeterschutz.

Eine moderne Cybersicherheitsarchitektur muss diesem Umstand Rechnung tragen. Selbst wenn sich Cyberangreifer bereits in der eigenen Infrastruktur befinden, müssen die nicht kompromittierten Teile der Organisation bestmöglich geschützt werden. Das ist der Grundgedanke von Zero Trust. Es geht darum, erstens jederzeit ein möglichst umfassendes und detailliertes Bild der eigenen Cybersicherheitssituation zu haben. Welche Systeme, welche Schwachstellen, welche Indicators of Compromise gibt es, in der eigenen Organisation und bei Partnern und Dienstleistern?

Zweitens muss das Eindringen und das weitere Ausbreiten von Cyberangreifern erschwert werden, zum Beispiel durch Least Privilege Access Control, Microsegmentierung, Verschlüsselung, engmaschiges Management von Identitäten. Drittens muss technisch und organisatorisch Vorsorge getroffen werden, damit kompromittierte Teile möglichst rasch wiederhergestellt werden können.

Wie kann man nun Zero Trust praktisch umsetzen? Welche Bestandteile und Technologien braucht es, etwa angesichts der europäischen Anforderungen an den Datenschutz und den besonderen Erfordernissen der verschiedenen Sektoren? Diese und andere Fragen erforschen wir im Nationalen Forschungszentrum für angewandte Cybersicherheit Athene. Im vom BMBF geförderten Projekt AIGIS Lab entwickeln wir Referenzarchitekturen, die prototypisch und am Beispiel von Forschungseinrichtungen aufzeigen, wie konkrete, mit heutiger Technologie umsetzbare Zero-Trust-Sicherheitsarchitekturen für Deutschland aussehen könnten.

Dieser Beitrag basiert teilweise auf dem Artikel „Was vor Cyberangreifern wirklich schützt”, erschienen in der „Frankfurter Allgemeinen Zeitung“ am 30. November 2022.

Haya Shulman ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.

Michael Waidner ist Professor für Sicherheit in der Informationstechnologie am Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und CEO des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Shulman und Waidner im Background Cybersicherheit erschienen: Aktive Cyberabwehr