Artikel

Was ist Multi-Faktor-Authentifizierung (MFA)?

Security
Lesezeit: 14 min

Multi-Faktor-Authentifizierung (MFA) ist eine mehrstufige Authentifizierungsmethode, bei die Identität eines Nutzers mithilfe von mindestens zwei Formen der Validierung geprüft wird. Erst dann wird Zugriff auf Ressourcen wie Apps, Server oder VPNs gewährt. Das Ziel von Multi-Faktor-Authentifizierung ist es, Unbefugten durch mehrstufige Schutzmaßnahmen den Zugriff auf ein Ziel (z. B. einen physischen Standort, einen Computer, ein Netzwerk oder eine Datenbank) zu verwehren. Falls ein Faktor kompromittiert wird, gibt es bei der Multi-Faktor-Authentifizierung mindestens noch ein weiteres Hindernis, bevor Zugriff gewährt wird.

Multi-Faktor-Authentifizierung ist eine Kernkomponente des Identitäts- und Zugriffsmanagements (IAM) und hat den Zweck, den Zugriff auf Ressourcen zu erschweren. Obwohl die Zwei-Faktor-Authentifizierung technisch gesehen eine Form der Multi-Faktor-Authentifizierung ist, werden normalerweise mehr als zwei Faktoren verwendet.

Warum Multi-Faktor-Authentifizierung notwendig ist

Der Hauptvorteil von Multi-Faktor-Authentifizierung ist, dass sie die allgemeine Sicherheitslage von Unternehmen verbessert. Sie geht über Benutzernamen und Passwort hinaus und erhöht die Wirksamkeit des Zugriffsschutzes enorm. Das Hinzufügen zusätzlicher Faktoren kann Passwortverletzungen verhindern, da es Hacker davon abhält, mit gestohlenen Anmeldedaten auf ein Konto zuzugreifen.

Darüber hinaus kann Multi-Faktor-Authentifizierung gefährliche Verhaltensweisen verhindern, die für Nutzer selbstverständlich sind, aber ihre Anmeldedaten anfällig für Brute-Force-Angriffe machen. Dazu gehören:

  • Wiederverwenden von Passwörtern
  • Aufbewahren von Passwörtern auf Haftnotizen oder an digitalen Orten (z. B. Dokumente, Tabellen, Kontakte)
  • Verwenden einfach zu erratender Passwörter

Vorteile von Multi-Faktor-Authentifizierung

  • Lässt sich an verschiedene Anwendungsfälle anpassen.
  • Erhöht die Sicherheit auf Hardware-, Software- und persönlicher Identifikationsebene.
  • Ermöglicht es Administratoren, Richtlinien durchzusetzen, die den Zugriff auf eine bestimmte Tageszeit oder einen bestimmten Standort beschränken.
  • Lässt sich von Nutzern leicht einrichten.
  • Senkt den Verwaltungsaufwand, da sie sich auf als verdächtiges Verhalten konzentriert. So müssen Administratoren nicht alle Aktivitäten überwachen.
  • Nutzer brauchen nicht mehr verschiedene Passwörter für mehrere Konten zu speichern und zu verwalten.
  • Nutzt ein mehrschichtiges Abwehrsystem, das unbefugte Nutzer oder Cyberkriminelle daran hindert, auf Ressourcen wie Konten, Geräte, Netzwerke oder Datenbanken zuzugreifen.
  • Ermöglicht die Verwendung von Einmalpasswörtern, die nach dem Zufallsprinzip in Echtzeit generiert und per SMS oder E-Mail verschickt werden.
  • Gewährleistet Compliance mit Richtlinien, die von der Unternehmensführung, der Regierung oder Branchenstandards festgelegt werden.
  • Erhöht das Vertrauen der Nutzer durch den Schutz von personenbezogenen Daten.
  • Ermöglicht Nutzern, die keine Internetverbindung haben, den Offline-Zugriff.
  • Erhöht die Produktivität, indem es den Nutzern den Zugriff auf Ressourcen von jedem Gerät oder Standort aus erleichtert, ohne die allgemeine Sicherheit zu gefährden.
  • Überwacht die Nutzeraktivitäten, um Anomalien zu erkennen, z. B. die Verarbeitung von Transaktionen mit hohem Wert oder den Zugriff auf sensible Daten von unbekannten Netzwerken und Geräten aus.
  • Bietet eine skalierbare Kostenstruktur für Budgets jeder Größe.
  • Verhindert Betrug, indem sie sicherstellt, dass Nutzer wirklich jene Personen sind, für die sie sich ausgeben.
  • Reduziert Sicherheitsprobleme deutlich effektiver als Passwörter allein.
  • Beseitigt Einführungshindernisse, indem es einen reibungslosen Ablauf für die Nutzer schafft.
  • Verfolgt die Nutzung anhand verschiedener Risikofaktoren, wie Geolokalisierung, Internetprotokoll (IP)-Adresse und der Zeit seit der letzten Anmeldung.

So funktioniert Multi-Faktor-Authentifizierung

Bei der Multi-Faktor-Authentifizierung werden neben dem Benutzernamen und dem Passwort zusätzliche Verifizierungsdaten, die so genannten Faktoren, abgefragt, wenn ein Nutzer versucht, auf eine Ressource zuzugreifen. Erst wenn der Nutzer authentifiziert ist, wird er mit der Ressource verbunden.

Multi-Faktor-Authentifizierung wird für Geräte und Apps verwendet:

  • MFA für Geräte verifiziert einen Nutzer bei der Anmeldung.
  • MFA für Apps verifiziert einen Nutzer, um ihm Zugriff auf eine oder mehrere Apps zu gewähren.

Adaptive Multi-Faktor-Authentifizierung

Bei der adaptiven Multi-Faktor-Authentifizierung, die auch als risikobasierte Authentifizierung bezeichnet wird, werden zusätzliche Faktoren analysiert, die den Kontext und das Verhalten berücksichtigen. Die adaptive Multi-Faktor-Authentifizierung nutzt künstliche Intelligenz (KI), um Kontextdaten zu sammeln und zu verarbeiten. So wird mit Hilfe von Echtzeitanalysen das Risiko des Anmeldeversuchs berechnet.

Basierend auf der Risikobewertung kann die optimale Methode zur Nutzerauthentifizierung bestimmt werden. Beispiel:

  • Ein geringes Risiko würde nur ein Passwort erfordern.
  • Ein mittleres Risiko würde eine Multi-Faktor-Authentifizierung erfordern.
  • Ein hohes Risiko würde zusätzliche Authentifizierungsprozesse erfordern.

Die adaptive Multi-Faktor-Authentifizierung ist dynamisch und folgt keinen statischen Anmelderegeln. Mit KI kann sie sich an das Verhalten und die Eigenschaften der Nutzer anpassen und die am besten geeignete Art der Identitätsüberprüfung für jede Nutzersitzung wählen. Zu den berücksichtigten Faktoren gehören:

  • Gerät
    Versucht der Nutzer, sich mit einem nicht zugelassenen Gerät anzumelden?
  • IP-Adresse
    Handelt es sich um dieselbe IP-Adresse, die der Nutzer normalerweise verwendet, wenn er sich bei dieser Ressource anmeldet?
  • Ort
    Hat der Nutzer innerhalb kurzer Zeit versucht, sich von zwei verschiedenen Orten aus bei einem Konto anzumelden? Ist der Anmeldeort für den Nutzer ungewöhnlich? Versucht der Nutzer, sich von einem öffentlichen Netzwerk und nicht von einem Firmennetzwerk aus anzumelden?
  • Vertraulichkeit
    Versucht der Nutzer, auf sensible Daten zuzugreifen?
  • Uhrzeit der Anmeldung
    Stimmt die Anmeldezeit mit den normalen Anmeldezeiten eines Nutzers überein?

Beispiele für adaptive Multi-Faktor-Authentifizierung

Die adaptive Multi-Faktor-Authentifizierung kann einen Nutzer identifizieren, der versucht, sich spätabends von einem Café aus anzumelden, was ein ungewöhnliches Verhalten ist. Der Nutzer wird dann aufgefordert, zusätzlich zum Benutzernamen und Passwort ein Einmalpasswort einzugeben, das per SMS an sein Handy geschickt wird.

Anders wäre das, wenn der Nutzer versucht, sich wie jeden Tag um 8 Uhr morgens vom Büro aus anzumelden. In diesem Fall wird er möglicherweise nur aufgefordert, seinen Benutzernamen und sein Passwort einzugeben.

Künstliche Intelligenz (KI) und Multi-Faktor-Authentifizierung

Indem man die Multi-Faktor-Authentifizierung mit künstlicher Intelligenz (KI) kombiniert, verbessern sich die Wirksamkeit und Effizienz dieser Sicherheitsmethode. Cyberkriminelle entwickeln sich ständig weiter und sind inzwischen sehr geschickt darin, die Anmeldedaten von Nutzern zu stehlen. KI erschwert es Cyberkriminellen, die Multi-Faktor-Authentifizierung zu überwinden.

KI-basierte Multi-Faktor-Authentifizierungssysteme lernen und passen sich im Laufe der Zeit an, um Cyberkriminellen einen Schritt voraus zu sein und negative Auswirkungen auf die Endnutzer zu vermeiden.

KI-gestützte MFA kann die Identität von Nutzern basierend auf ihrem Verhalten überprüfen. Die Verhaltensbiometrie erfasst zum Beispiel alles: von der Art, wie der Nutzer sein Handy hält, bis hin zu seinem einzigartigen Gang.

Die KI-gestützte Multi-Faktor-Authentifizierung umfasst auch:

  • Biometrische Authentifizierung
  • Gesichtserkennung
  • Fingerabdruckerkennung
  • Iriserkennung
  • Handflächenerkennung
  • Spracherkennung

Beispiele für Multi-Faktor-Authentifizierung

Biometrische Prüfung

Smarte Geräte oder Computer mit biometrischen Anmeldefunktionen können zur Prüfung der Identität herangezogen werden. Biometrie wird zunehmend als Teil der Multi-Faktor-Authentifizierung eingesetzt, da sie den Nutzern eine reibungslose Anmeldung ermöglicht und die Sicherheit erhöht, da so gut wie kein Betrug möglich ist.

Tokenbasierte Authentifizierung per E-Mail

Bei der tokenbasierten Authentifizierung per E-Mail erhalten die Nutzer ein Einmalpasswort per E-Mail. Dieses Einmalpasswort und eine oder mehrere Authentifizierungsmethoden werden verwendet, um die Identität des Nutzers zu prüfen. Sie wird oft als Alternative zur tokenbasierten Authentifizierung per SMS für jene Nutzer angeboten, die gerade kein Handy zur Hand haben.

Tokenbasierte Authentifizierung per Hardware-Token

Hardware-Token werden bei der Multi-Faktor-Authentifizierung verwendet, um eine zusätzliche Sicherheitsebene zu schaffen. Diese Methode ist zwar teurer als die Authentifizierung per E-Mail- oder SMS-Token, gilt aber als die sicherste. Hardware-Token müssen sich in einem Gerät befinden, bestätigen die Identität des Nutzers und geben danach Zugriff auf das Gerät.

Authentifizierung mit Social-Login

Der Social-Login kann für die Multi-Faktor-Authentifizierung verwendet werden, wenn ein Nutzer bereits bei einer Social-Media-Plattform angemeldet ist. Sie gilt zwar als risikoreicher als andere Authentifizierungsmethoden, kann aber in Verbindung mit anderen Methoden der Identitätsüberprüfung sinnvoll sein.

Tokenbasierte Authentifizierung per Software-Token

Auch Authentifizierungs-Apps auf smarten Geräten können für die Multi-Faktor-Authentifizierung verwendet werden. Diese Apps verwandelt das smarte Gerät in einen Token, der mit Authentifizierungsdiensten für die Multi-Faktor-Authentifizierung verbunden werden kann.

Risikobasierte Authentifizierung

Die risikobasierte Authentifizierung (RBA) ergänzt die Multi-Faktor-Authentifizierung, da sie zusätzlich noch das Verhalten und die Aktivitäten (z. B. Standort, Gerät, Tastenanschläge) überwacht. Anhand der Ergebnisse bestimmt die RBA die Häufigkeit einer Multi-Faktor-Authentifizierung, um die Sicherheit zu erhöhen und das Risiko zu senken.

Sicherheitsfragen

Für die Multi-Faktor-Authentifizierung können statische oder dynamische Sicherheitsfragen als Art der wissensbasierten Authentifizierung genutzt werden. Die Antworten auf die statischen Fragen werden vom Nutzer bei der Kontoeröffnung angegeben, danach werden die Fragen während des Anmeldevorgangs nach dem Zufallsprinzip vorgelegt.

Dynamische Fragen werden in Echtzeit aus öffentlich verfügbaren Informationen generiert. Meist werden dem Nutzer eine Frage und mehrere Antwortmöglichkeiten angezeigt (z. B. in welcher Stadt wurden Sie geboren, haben Sie an einer dieser Adressen gewohnt, war eine dieser Nummern einmal Ihre Telefonnummer). Um die Identität zu überprüfen, müssen die Nutzer die richtige Antwort auswählen.

Authentifizierung per SMS

Bei der tokenbasierten Authentifizierung per SMS wird eine SMS mit einer persönlichen Identifikationsnummer (PIN) gesendet. Die PIN ist ein Einmalpassport mit einem oder mehreren Faktoren.

Die tokenbasierten Authentifizierung per SMS ist eine relativ einfach zu implementierende Multi-Faktor-Authentifizierungsmethode. Sie wird meist als Alternative zur tokenbasierten Authentifizierung per E-Mail angeboten.

Authentifizierung mit zeitbasierten Einmalpasswörtern

Zeitbasierte Einmalpasswörter werden bei der Anmeldung generiert und laufen nach einer bestimmten Zeit ab. Zeitbasierte Einmalpasswörter werden per SMS oder E-Mail an die Smartphones oder Computer der Nutzer gesendet.

Methoden

Multi-Faktor-Authentifizierung kombiniert mehrerer Authentifizierungsmethoden. Die wichtigsten MFA-Methoden basieren auf drei Informationstypen, die zur Identitätsüberprüfung verwendet werden:

  • Wissen: etwas, das der Nutzer weiß
  • Besitz: etwas, das der Nutzer besitzt
  • Eigenschaften: etwas, das der Nutzer ist
  • Zeitbasierte Authentifizierung

Wissensbasierte Identitätsprüfung

Die wissensbasierte Identitätsüberprüfung sieht vor, dass der Nutzer eine Sicherheitsfrage beantwortet. Beispiele dafür sind:

  • Antworten auf Sicherheitsfragen (z. B. Geburtsort des Nutzers, Lieblingsfarbe, Name der Schule)
  • Einmalpasswörter
  • Passwörter
  • PINs

Besitzbasierte Identitätsprüfung

Ein Besitzfaktor sieht vor, dass der Nutzer Zugriff auf ein Objekt hat, um sich anzumelden. Dieses wäre für Cyberkriminelle nur schwer zu beschaffen. Zu den Besitzobjekten in der MFA gehören:

  • Ausweise bzw. Erkennungsmarken
  • Schlüsselanhänger
  • Schlüsselbänder
  • Handys
  • Physische Token
  • Smartcards
  • Softtoken
  • USB-Sticks

Eigenschaftsbasierte Identitätsprüfung

Bei der Multi-Faktor-Authentifizierung kann jedes biologische Merkmal des Nutzers zur Identitätsüberprüfung genutzt werden. Zur Eigenschaftskategorie gehören die folgenden biometrischen Verifizierungsmethoden:

  • Gesichtserkennung
  • Fingerabdruck-Scan
  • Sprachauthentifizierung
  • Netzhaut- oder Iris-Scan
  • Sprachauthentifizierung
  • Handgeometrie
  • Scanner für digitale Signaturen
  • Geometrie des Ohrläppchens

Zeitbasierte Multi-Faktor-Authentifizierung

Auch Zeit kann für die Multi-Faktor-Authentifizierung verwendet werden. Die zeitbasierte Authentifizierung bestätigt die Identität einer Person, indem sie ihre Anwesenheit zu einem bestimmten Zeitpunkt feststellt und danach Zugriff auf ein System oder Zugang zu einem Ort gewährt. Bankkarten werden zum Beispiel gesperrt, wenn Geld in den USA abgehoben wird und zehn Minuten später eine Abhebung in China versucht wird.

Best Practices

Multi-Faktor-Authentifizierung zu implementieren ist zwar nicht schwierig. Dennoch gibt es bewährte Praktiken, die befolgt werden sollten, um eine effiziente Bereitstellung zu ermöglichen. Nachfolgend finden Sie einige gängige Praktiken für die Implementierung und Verwaltung von MFA-Systemen.

Klären Sie Nutzer über die Bedeutung der Multi-Faktor-Authentifizierung und wie sie sie verwenden auf.
Nutzer gelten als das schwächste Glied der Sicherheitskette und spielen eine wichtige Rolle für den Erfolg der Einführung einer MFA. Klären Sie die Nutzer auf, wie das System funktioniert und wie wichtig es ist, die Regeln zu befolgen.

Implementieren Sie Multi-Faktor-Authentifizierung im gesamten Unternehmen.
Vermeiden Sie Lücken, die die Multi-Faktor-Authentifizierung beeinträchtigen könnten, indem Sie alle Zugangspunkte des Unternehmens einbeziehen. Integrieren Sie die MFA auch in den Fernzugriff auf das Netzwerk, um Nutzer zu berücksichtigen, die aus der Ferne auf Systeme zugreifen.

Achten Sie auf eine adaptive Multi-Faktor-Authentifizierung.
Berücksichtigen Sie den Kontext, um einen adaptiven, stufenbasierten MFA-Ansatz zu schaffen, bei dem die Nutzer basierend auf einer Risikobewertung zur Eingabe von zusätzlichen Faktoren aufgefordert werden – und nicht jedes Mal.

Bieten Sie den Nutzern verschiedene Authentifizierungsfaktoren an.
Verbessern Sie das Nutzererlebnis und die Akzeptanz, indem Sie sie zwischen mehreren Authentifizierungsfaktoren wählen lassen. So vermeiden Sie eine Einheitslösung, die von den Nutzern oft als umständlich und einschränkend empfunden wird. Wenn Sie ihnen die Wahl lassen, steigt ihre Zufriedenheit mit dem System und die allgemeine Akzeptanz.

Bewerten Sie die Multi-Faktor-Authentifizierung immer wieder neu.
Führen Sie regelmäßig Bewertungen durch, um sicherzustellen, dass die Multi-Faktor-Authentifizierung mit aktuellen Bedrohungen umgehen kann und weiterhin alle Zugriffspunkte abdeckt.

Wählen Sie einen auf Standards basierenden Ansatz.
Befolgen Sie Standards, um sicherzustellen, dass die Multi-Faktor-Authentifizierung innerhalb der bestehenden IT-Infrastruktur optimal funktioniert. Zu berücksichtigende Standards sind Remote Authentication Dial-in User Service (RADIUS) und Open Authentication (OAuth), die die Authentifizierung aller Nutzer auf allen Geräten in allen Netzwerken ermöglichen.

Nutzen Sie Multi-Faktor-Authentifizierung in Verbindung mit ergänzenden Sicherheitstools.
Die Kombination mit anderen Lösungen zur Zugriffskontrolle wie Single Sign-on (SSO) und dem Prinzip der geringsten Privilegien erhöht die Sicherheit der Multi-Faktor-Authentifizierung.

Die MFA ist eine hervorragende erste Abwehrinstanz

Cyberangriffe kommen aus vielen Richtungen – aber Endnutzer sind häufige Ziele. Wenn die Zugriffspunkte der Endnutzer durch Multi-Faktor-Authentifizierung gesichert werden, gibt es eine zusätzliche Sicherheitsebene, falls Schwachstellen ausgenutzt oder Anmeldedaten gestohlen werden.

Wenn sie mit KI und anderen modernen Technologien kombiniert wird, bleibt die Multi-Faktor-Authentifizierung eine der effizientesten Lösungen zur Sicherung des Endnutzerzugriffs. MFA-Lösungen bieten effektiven Schutz mit minimalen Auswirkungen auf die Endnutzer und vielbeschäftigte IT-Administratoren.

Das könnte Sie auch interessieren

Sarbanes-Oxley Act

Sarbanes-Oxley Act

SOX revolutionierte Unternehmen in den USA und veränderte die Berichterstattung, Rechnungsprüfung und Unternehmensführung. Erfahren Sie mehr.

Mehr erfahren
Funktionstrennung (Segregation of Duties, SoD)

Funktionstrennung (Segregation of Duties, SoD)

Die Funktionstrennung verhindert Sicherheitsrisiken wie Fehler, Betrug, Informationsmissbrauch, Sabotage und Diebstahl. Erfahren Sie mehr.

Mehr erfahren
Was ist Cybersecurity?

Was ist Cybersecurity?

Erfahren Sie, was Cybersecurity ist und warum sich Investitionen in ein solides Cybersicherheitsprogramm lohnen.

Mehr erfahren

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt