Cybersecurity

Multi-Faktor-Authentifizierung ist kein Allheilmittel

Multifaktor-Authentifizierung (MFA) gilt immer noch als sichere Lösung, um E-Mail-Postfächer, Bankkonten oder andere digitale Zugänge vor Hackern zu schützen. Doch Roger A. Grimes (Foto) listet in seinem Buch „Hacking Multifactor Authentication” eine ganze Reihe von Beispielen auf, wie sich MFA ohne großen Aufwand aushebeln lässt. Wir haben mit dem US-Sicherheitsexperten gesprochen – und verlosen drei Exemplare seines Buches.

Roger A. Grimes US-Sicherheitsexperte und Autor Roger A. Grimes

Auslöser für das Buch „Hacking Multifactor Authentication” sei eine Demo seines „Freundes und Kollegen“ Kevin gewesen, berichtet uns Roger A. Grimes in einem Video-Call aus Florida. Kevin Mitnick gilt als Hacker-Legende, der immer wieder in gut gesicherte Computersysteme eindrang, dafür zu einer Gefängnisstrafe verurteilt wurde und danach viele Jahre keinen Computer benutzen durfte. Und: der Social Engineering als Hacking-Methode erfand. 

MFA ist gut – aber nicht vollkommen sicher

Haben IT-Journalisten jahrelang einen falschen Rat gegeben, wenn Sie ihren Lesern empfohlen haben, möglichst oft Authentifizierung in zwei Schritten einzusetzen? „Nein, das ist immer noch ein guter Rat”, erklärt Grimes, „doch viele Leute, die MFA einsetzten, dachten, sie müssten sich keine Sorgen mehr machen, gehackt zu werden.” Das sei ein Fehler. Seit 30 Jahre beobachtet er Hacker und Malware, die MFA-Systeme umgehen. Sein Buch soll eine Art Gegenpart sein, der warnt: „MFA ist gut, aber nicht vollkommen sicher.”

Manche MFA-Systeme seien inzwischen derart kompromittiert, dass so mancher Anbieter wieder auf Log-in und Passwort setze, berichtet Grimes: „Wenn Passwörter stark genug sind und nicht weitergegeben werden, sind sie ebenso gut wie MFA.“ 

Mit MFA werden reguläre Nutzer ausgesperrt

Denn MFA-Systeme lassen sich auch gegen eigentlich berechtigte Nutzer einsetzen: Grimes zufolge haben Krypto-Käufer vergleichsweise früh MFA eingesetzt – aber durch Attacken viel Geld verloren. Und während Passwörter leicht zu ändern sind, ist dies bei MFA nicht so einfach. Was ebenfalls vorkommt: Millionen von Nutzern dürfen nicht mehr an ihre Konten, weil Angreifer diese übernommen und MFA aktiviert haben, um die rechtmäßigen Inhaber auszusperren. Auch Online-Banken verzeichneten Grimes zufolge zwar nach der Einführung von MFA zunächst einen Rückgang von Angriffen, dann jedoch einen Anstieg und schließlich mehr erfolgreiche Versuche als zuvor.

Trotzdem wolle er MFA nicht verdammen, betont der Experte: „In 90 bis 95 Prozent der Anwendungen klappt es prima.“ Einzig die „gefühlte Sicherheit” vieler User sei trügerisch. Phishing-Angriffe seien nach wie vor eine Gefahr, wenn MFA eingesetzt werde. „Rund 90 Prozent der MFA-Systeme lassen sich damit aushebeln”, erklärt der Autor, der sich seit 34 Jahren mit IT-Security beschäftigt und elf Jahre an der Sicherheit von Windows bei Microsoft gearbeitet hat. 

„Mein MFA-Hacking-Talk ist der erfolgreichste meiner Karriere”, verrät Grimes. „Sie sollten mal die Gesichter im Publikum sehen, wenn ich denen zeige, wie leicht man mit einer Kevin-Mitnick-Phishing-Mail an MFA vorbeikommt. Die sind schockiert – und das sind IT-Profis!” 

Grimes setzt dagegen auf Aufklärung und das Schulen von Mitarbeitern. Zum Beispiel seine Pin-Codes nicht am Telefon an Fremde weiterzugeben und so zu leichten Opfern zu werden.

Verwundbar bei Ransomware-Attacken

„MFA-Systeme wurden bereits über zehn Millionen Mal kompromittiert”, ist sich Grimes sicher. Eine der erfolgreichsten Methoden in Deutschland sind nach wie vor 

  • simple Phishing-Mails, 
     
  • das Einschleusen von Malware durch Sicherheitslücken in ungepatchter Software sowie

  • die Verschlüsselung von Daten per Ransomware mit anschließender Erpressung.

„MFA kann an all dem nicht viel ändern”, erklärt Grimes, „höchstens in fünf bis zehn Prozent der Fälle.” MFA sei somit „die falsche Lösung für das Ransomware-Problem”.


Auch der bekannte Security-Experte Bruce Schneier warnt: „Wie alle Sicherheitstechniken ist MFA ist kein Allheilmittel.“ Grimes MFA-Hacking-Buch nennt er eine „durchdachte Demonstration“.

Darin erklärt Grimes auch im Detail, wie Angriffe auf MFA-Systeme ablaufen – und wie man sich als IT-Administrator dagegen wehren kann. „Jeder, der dir erzählt, dass MFA nicht gehackt werden kann, ist entweder naiv oder versucht, dir etwas zu verkaufen”, warnt er. 

Text: Helge Denker 

www.helgedenker.de

 

Teilnahmebedingungen

Mit der Teilnahme an der Verlosung akzeptieren Sie diese Teilnahmebedingungen:

Veranstalter der Verlosung ist die ERGO Group AG, ERGO-Platz 1, 40198 Düsseldorf.

Teilnahmeberechtigt sind alle natürlichen Personen, die mindestens 18 Jahre alt sind. Ausgeschlossen von der Teilnahme sind alle Mitarbeiter der ERGO Group AG und ihrer Tochtergesellschaften, deren Angehörige und alle an der Konzeption und Umsetzung des Gewinnspiels beteiligten Personen.

Die Teilnahme ist kostenlos und unabhängig von dem Erwerb von Waren oder Dienstleistungen des Veranstalters. Eine Mehrfachteilnahme ist unzulässig und eine Barauszahlung des Gewinnes nicht möglich. ERGO ist nicht verantwortlich für aufgrund von Verzögerungen oder Störungen des Internets zu spät eingereichte oder verloren gegangene Nachrichten, für Probleme oder technische Störungen bei Telefon-, Breitband- oder anderen Netzwerken sowie das Nichtankommen von Nachrichten.

Die jeweiligen Gewinner werden von ERGO per E-Mail benachrichtigt. Die Gewinner werden darin um eine Versandadresse gebeten. Sollte sich ein Gewinner binnen drei Wochen nicht zurückmelden, verfällt der Anspruch auf den Gewinn. Der Gewinn wird per Post an die vom Gewinner angegebene Adresse verschickt. Für die Richtigkeit der angegebenen Adresse ist der Teilnehmer selbst verantwortlich. 

Personenbezogene Daten wie der Vor- und Nachname, die E-Mail-Adressen und Postadressen werden von ERGO ausschließlich im Rahmen der Verlosung, zur Benachrichtigung der Gewinner und zum Versand der Bücher genutzt. Diese Daten werden streng vertraulich behandelt. Die im Rahmen der Verlosung genutzten personenbezogenen Daten werden nach der Benachrichtigung der Gewinner und der Übergabe der Preise umgehend gelöscht. Die im Rahmen des Gewinnspiels genutzten personenbezogenen Daten werden nicht für Werbezwecke genutzt. 

Der Rechtsweg ist ausgeschlossen.