So stellte Check Point Research fest, dass die Zahl der wöchentlichen Angriffe auf das durchschnittliche Unternehmensnetzwerk im Jahr 2021 um 50 Prozent gegenüber dem Vorjahr gestiegen ist. Das Identity Theft Resource Center kam zu dem Ergebnis, dass die Zahl der Datenkompromittierungen im Jahr 2021 sogar um 68 Prozent gegenüber 2020 gestiegen ist – und damit einen neuen Rekord darstellt. Untersuchungen von Beyond Identity ergaben, dass 70 Prozent der Kunden die Nutzung eines Dienstes aufgrund eines bekannt gewordenen Sicherheitsverstoßes beendeten. Ein deutlicher Hinweis welche Umsatzeinbrüche Unternehmen drohen, wenn sie die Cybersicherheit nicht ernst nehmen.
Die Pandemie hat den Trend zur Fernarbeit weiter beschleunigt. Dabei werden Protokolle und Applikationen verwendet, die für Hacks und Sicherheitsverletzungen anfällig sind. Zwar haben die Entwickler diese Schwachstellen, sobald sie entdeckt wurden, meist schnell behoben und viele Unternehmen bemühen sich um eine Verbesserung ihres Schutzes. Doch meistens sind ihnen die Hacker immer einen Schritt voraus.
Hacking-Tools wie Ransomware-as-a-Service ermöglichen Angriffe selbst mit wenig Programmierkenntnissen. Hinzu kommt, dass die erbeuteten Informationen immer höhere Lösegelder einbringen. Unternehmen müssen daher dringend ihre Netzwerke schützen. Die sicherste Methode ist die Implementierung einer Zero-Trust-Sicherheit, die auf einer passwortlosen und nicht manipulierbaren Multi-Faktor-Authentifizierung (MFA) aufbaut.

Grundlagen von Zero Trust

Zero Trust stellt die traditionelle Burggraben-Mentalität der Cybersicherheit auf den Kopf, bei der sich alle Sicherheitsvorkehrungen am Rande des Netzwerks befinden. Beim herkömmlichen Sicherheitsdenken vertraut man dem Benutzer, indem man seine Identität überprüft. In der Regel erfolgt dies durch den Benutzernamen und das Kennwort, manchmal auch durch MFA (mit zusätzlichen Faktoren wie Einmalpasswörtern oder SMS-Nachrichten).
Bei Zero Trust wird niemals vertraut, sondern immer überprüft und jede Aktion im Netzwerk als potenzielle Bedrohung betrachtet. MFA spielt dabei eine zentrale Rolle, wobei manchmal Faktoren wie kryptografische Tokens verwendet werden, die an ein bestimmtes Gerät und einen bestimmten Benutzer gebunden sind. Während einer Sitzung hat der Benutzer nur Zugriff auf das, was er zur Erfüllung seiner Aufgabe benötigt.
Im Hintergrund wird die Sitzung auf ein verdächtiges Verhalten überwacht, wodurch automatisch die Anzahl der Faktoren erhöht wird, um die Legitimität einer Anfrage sicherzustellen. Aber selbst mit diesen zusätzlichen Maßnahmen gelangen Hacker immer noch durch die Ausnutzung von Passwörtern und durch inhärente Probleme mit herkömmlicher MFA ins System.

Herkömmliche MFA bietet kein Zero Trust

Die passwortbasierte MFA ist bei Unternehmen seit langem der Standard, um eine bessere Cybersicherheit zu implementieren. Doch im Kern beruht die herkömmliche MFA immer noch auf einem gewissen Maß an Vertrauen, das nicht mit der Zero-Trust-Sicherheit übereinstimmt.
Passwörter, die immer wieder gehackt werden, sind immer noch ein Faktor, ebenso wie andere leicht zu kompromittierende Faktoren wie Push-Benachrichtigungen, Texte oder nur einmal verwendbare Links (magic links). All diese Faktoren sind unsicher und bieten nicht die Sicherheit, die MFA eigentlich bieten sollte. Denn diese Codes sind leicht abzufangen und zu fälschen, und das passiert öfter als man denkt. Außerdem kann keiner dieser Faktoren sicherstellen, dass die Person, die sich anmeldet, auch diejenige ist, die sie vorgibt zu sein. Sie helfen daher nicht, eine Zero-Trust-Sicherheit zu erreichen. Es ist daher an der Zeit, Texte, Codes, Push-Benachrichtigungen und auch das Passwort hinter sich zu lassen.

Passwortlose und nicht manipulierbare MFA

Die passwortlose und nicht manipulierbare MFA erhielt in den USA Anfang des Jahres einen enormen Auftrieb, als die Biden-Administration ihre lang erwartete Zero-Trust-Richtlinie für die Bundesregierung veröffentlichte. In ihrer ehrgeizigen Strategie hofft die Regierung, die gesamte digitale Regierungsinfrastruktur bis September 2024 auf Zero Trust umzustellen.
Doch wie unterscheiden sich passwortlose und fälschungssichere MFA von herkömmlichen MFA-Lösungen:

• Passwortlos: Das Passwort wird abgeschafft. Die Benutzer müssen sich über ein Authentifizierungs-Token identifizieren, das dem Benutzer und dem Gerät zugewiesen ist, um den Zugriff von nicht autorisierten Geräten oder den Diebstahl von Zugangsdaten zu verhindern.
• Fälschungssicher: MFA-Codes und Herausforderungen, die über unsichere Methoden wie Sicherheitsfragen, SMS, Push-Benachrichtigungen und E-Mails gesendet werden, können leicht abgefangen werden. Biometrische, hardware- und softwarebasierte Schlüssel sind dagegen viel schwieriger zu knacken.

Durch die Abschaffung des Passworts wird das Risiko von passwortbasierten Angriffen, der Hauptursache für Datenschutzverletzungen, beseitigt. Indem man die MFA weniger anfällig für Phishing macht, sinkt gleichzeitig das Risiko eines Angriffs nahezu auf null. Wenn dann zusätzlich noch eine kontinuierliche Überwachung im Hintergrund erfolgt, können Unternehmen die Zero-Trust -Anforderung erfüllen: vertraue nie, überprüfe immer.

Fazit

Die passwortlose und unverfälschbare MFA ist die einzige Möglichkeit, eine echte Zero-Trust-Strategie umzusetzen. Das liegt daran, dass sie die einzige Lösung ist, die eine sichere Identität bietet. Eine passwortbasierte MFA kann das nicht, da sie immer noch zu einem gewissen Maß darauf vertraut, dass die Passwörter den rechtmäßigen Benutzer erreichen.
Ein weiterer wichtiger Unterschied ist, dass man sich bei den meisten herkömmlichen MFAs nur einmal authentifizieren muss. Bei passwortloser und nicht änderbarer MFA wird der Benutzer ständig authentifiziert und gleichzeitig der Zugriff auf der Grundlage des Risikos angepasst.
Herkömmliche MFAs sind zudem nicht gerade anwenderfreundlich. Die Implementierung von Zero-Trust-Maßnahmen bringt aber nur etwas, wenn die Benutzer sie auch annehmen. Eine passwortlose MFA beseitigt diesen Widerstand und ist somit erfolgreicher.
Es reicht jedoch nicht aus, dass die MFA passwortlos und unveränderbar ist. Sie sollte auch unsichtbar sein. Dabei erhalten die Besucher nach einem einfachen Registrierungsprozess einen unveränderlichen kryptografischen Berechtigungsnachweis, der an das Gerät und den Benutzer gebunden ist. Das Einloggen nach der Registrierung ist so einfach wie ein Klick. Alle MFA-Faktoren sind für den Benutzer unsichtbar und werden in den Prozess integriert. Das Risiko von passwortbasierten Angriffen wird eliminiert, und dank der kontinuierlichen Überwachung werden das Risiko und der Umfang von Insider-Angriffen drastisch reduziert. Eine unsichtbare MFA ist Zero Trust in seiner reinsten Form.