Auf der Suche nach Lücken: Die Gefahr eines einzigen Authentifizierungsfaktors
Die Verwendung von Authentifizierungsfaktoren – eines der grundlegendsten und am besten verstandenen Konzepte der Informationssicherheit – ermöglicht einen sicheren Zugriff auf Anwendungen, Services und Netzwerke. Zwar verbessert eine angemessene Authentifizierung die Sicherheit, doch die drastische Zunahme von Datendiebstahl und Systemangriffen basiert weitgehend auf kompromittierten Authentifizierungsverfahren.
Authentifizierungsfaktoren werden wie folgt klassifiziert:
„Etwas, das ich weiß“, z. B. Website-Anmeldedaten
„Etwas, das ich habe“, wie z. B. ein Hardware-Sicherheitsschlüssel
„Etwas, das ich bin“, wie z. B. ein Fingerabdruck
Die häufigste Authentifizierungsmethode sind Nutzeranmeldeinformationen, auch als Nutzername und Passwort bezeichnet. Anmeldeinformationen werden häufig verwendet, um den Zugriff auf Onlineservices zu authentifizieren, von Bankkonten über Warenkörbe bis hin zu Unternehmensnetzwerken. Da Anmeldedaten immer häufiger genutzt werden, nahmen auch der Diebstahl und Missbrauch dieser Authentifizierungsmethode zu und entwickelten sich weiter. Am auffälligsten sind Angriffe rund um den Missbrauch von Anmeldedaten, bei denen gestohlene Nutzernamen und Passwörter verwendet werden, um Konten zu kompromittieren. Hierbei wird die gängige Gewohnheit ausgenutzt, die gleichen Anmeldedaten bei verschiedenen Diensten zu verwenden.
Die erhebliche Zunahme von Datenschutzverletzungen, die wir in den letzten Jahren beobachtet haben, waren hauptsächlich auf kompromittierte Anmeldedaten zurückzuführen. Kompromittierte Anmeldedaten bieten Bedrohungsakteuren die Möglichkeit, internetweite Angriffe zum Missbrauch von Anmeldedaten zu starten. Hierbei suchen sie nach Konten, auf die sie mit den gestohlenen Anmeldedaten zugreifen können.
Die Verstärkung dieser Angriffe wird durch die Verwendung spezieller Tools erreicht, die an die gezielte Login-Oberfläche angepasst werden können, sowie durch die Verwendung von Botnet- und Proxy-Services, die den Angriffsursprung verteilen und verbergen.
Abbildung: Anzahl der täglichen missbräuchlichen Anmeldeversuche 2020
Diese Abbildung zeigt die Anzahl der täglichen missbräuchlichen Anmeldeversuche auf der Akamai-Plattform – sie betrug 2020 mehr als 200 Millionen pro Tag. Darüber hinaus zeigt der jährliche Angriffstrend einen weiteren Anstieg der Anzahl von Missbrauchsversuchen, die Ende September 2020 einen Höchststand von über 600 Millionen erreichten.
Dieser anhaltende Anstieg der Angriffe ist auf die erhöhte Motivation von Bedrohungsakteuren zurückzuführen, an kompromittierte Konten zu gelangen. Grund dafür ist die gestiegene Nachfrage nach gestohlenen Anmeldedaten – hauptsächlich solche für Medienservices. Eine ähnliche und damit verbundene Auswirkung auf die Bedrohungslandschaft hat das Threat Research Team von Akamai in den Monaten der Phishing-Angriffe 2020 beobachtet: die wachsende Motivation von Bedrohungsakteuren, die Anmeldedaten von Nutzern zu stehlen, um sie später in Betrugsmaschen zum Missbrauch von Anmeldedaten zu verwenden.
Da Angriffe rund um den Missbrauch von Anmeldedaten in den letzten Jahren zugenommen haben, erkannten Unternehmen schnell, dass Anmeldedaten allein nicht ausreichen, um die Authentizität des verbundenen Nutzers zu gewährleisten. Dies führte zu einer verstärkten Einführung von MFA-Architekturen (Multi-Faktor-Authentifizierung). Unternehmen waren die ersten, die MFA eingeführt haben, da kompromittierte Konten potenziell Datenschutzverletzungen, gestohlenes geistiges Eigentum und Reputationsschäden bedeuten können.
MFA ermöglicht die Stärkung der Nutzerauthentifizierungsprozesse durch die Verwendung von mehr als einem einzigen Identifikationsfaktor, um das Risiko betrügerischer und böswilliger Aktivitäten zu verringern. Jeder unabhängige Authentifizierungsfaktor bietet mehr Sicherheit in Bezug auf die Authentizität des verbundenen Nutzers und reduziert das Risiko eines unbefugten Zugriffs, falls einer dieser Faktoren gestohlen wird oder verloren geht.
Wenn mehr als ein Faktor verwendet wird, müssen alle Authentifizierungsfaktoren gestohlen oder kompromittiert werden, damit die nicht autorisierte Authentifizierung erfolgreich ist. Ein solches Szenario ist zwar schwieriger zu realisieren, aber jüngste Forschungsberichte von Akamai zeigen, dass Bedrohungsakteure ihre Bemühungen intensiviert haben und MFA mittlerweile überwinden können.
Die Kompromittierung eines Kontos, das durch MFA geschützt ist, ist schwieriger, aber nicht unmöglich. In den letzten Jahren haben wir immer mehr Betrugsmaschen beobachtet, die die Fehler der Opfer und die Schwachstellen der MFA ausnutzen. So können Cyberkriminelle ausgeklügelte Angriffe auf Unternehmen durchführen, Betrugsaktivitäten ausführen und sensible Daten stehlen.
Ein wichtiger Treiber für MFA ist die Kombination aus Umfang und Größenordnung der Angriffe zum Missbrauch von Anmeldedaten und dem potenziellen Schaden und dem Wert der kompromittierten Konten.
Im nächsten Blogbeitrag werde ich die Details einiger zuletzt beobachteter Angriffe behandeln, die gängigsten MFA-Umgehungsmethoden erläutern und darüber sprechen, was getan werden kann, um die Nutzerauthentifizierung zu verbessern und unnötige Risiken und potenzielle Schäden zu vermeiden.
Weitere Informationen zur MFA-Lösung von Akamai finden Sie unter akamai.com/de/products/akamai-mfa.
