MFA schützt vor dem Aussterben
Seit Kurzem setzt sich meine Familie an einem Abend in der Woche zusammen, um einen Film zu sehen und etwas thematisch dazu Passendes zu essen. Das macht uns so viel Spaß, dass wir diese Routine auch nach unserem anstehenden Urlaub beibehalten möchten. Die Kinder sind immer ganz aufgeregt, wenn sie einen der Umschläge auswählen dürfen, mit denen wir auslosen, welchen Film wir uns diese Woche ansehen. Und wir Eltern legen uns ins Zeug, dass das Essen „stilecht” ist. Familientraditionen sind doch wirklich etwas Schönes. Aber nun komme ich endlich auf den Sicherheitsaspekt dieser Geschichte zu sprechen.
Letzte Woche zogen die Kinder den Umschlag für „Jurassic World: Dominion“. Sofort überlegte ich, wie ich das Menü gestalten könnte (Raubtierklauen aus Käse, Dino-Nuggets, vielleicht essbare Pterodaktylus-Flügel), aber ich war doch einigermaßen überrascht, als sich durch den Film ein interessantes Gespräch mit den Kindern zum Thema Cybersicherheit ergab. Sie gehen inzwischen in die Grund- und weiterführende Schule, wo sie immer häufiger mit unterschiedlichsten Technologien in Kontakt kommen und sich entsprechende Gedanken machen.
Was ist Multifaktorauthentifizierung?
Jurassic World: Dominion hat etwas mit Sicherheit zu tun? Natürlich, da sind zum Beispiel die Dinosaurier, die die Zäune ihrer Gehege durchbrechen. Aber auf diese Art Sicherheit möchte ich gar nicht hinaus. Ich hoffe, dass ich nicht spoilere, wenn ich erzähle, dass es eine Szene gibt, in der Ian Malcolm sein High-Tech-ID-Sicherheitsarmband heimlich an Dr. Ellie Sattler weitergibt. Die wiederum nutzt es gemeinsam mit Dr. Alan Grant, um in den gesperrten Bereich des Labors zu gelangen. Dort stehlen sie DNA-Material, was zu den beängstigenden, aber enorm spannenden Abenteuern führt, für die die Jurassic-Park-Serie bekannt ist.
Mein Argument ist folgendes: Die beiden haben nur das ID-Armband benötigt, um ins Labor zu kommen, zu dem Besucher sonst keinen Zutritt haben. Sie brauchten keinen Fingerabdruck und keinen zusätzlichen Sicherheitscode. Ganz ehrlich – nicht der glaubhafteste Moment in diesem Film. Aber exakt so gelang es ihnen, Eigentum von Biosyn zu stehlen.
In der Cybersicherheit würden wir davon sprechen, dass die Multifaktorauthentifizierung (MFA) oder Zwei-Faktor-Authentifizierung fehlt. Wenn nur eine Art der Identifikation – in diesem Fall das Armband – verlangt wird und in die Hände unbefugter Personen gerät, sind die geschützten Objekte in Gefahr. Ergänzt um eine zweite (oder dritte und vierte) Authentifizierung – wie eine PIN, Netzhauterkennung oder auch eine bestimmte Antwort auf eine Frage –, haben wir eine echte Multifaktorauthentifizierung. Wenn in solch einem Fall eine Art der Identifizierung verloren geht, ist das Risiko viel geringer.
Wie funktioniert die Multifaktorauthentifizierung?
Vermutlich benutzen Sie im Alltag längst immer wieder Multifaktorauthentifizierung, ohne sich dessen bewusst zu sein. Wenn Sie sich zum Beispiel bei Ihrem Online-Banking anmelden, geben Sie wahrscheinlich Ihren Benutzernamen (oder Ihre Kontonummer) und Ihr Passwort (oder Ihre PIN) ein. Falls Sie sich nicht vertippt haben, erwarten Sie, dass die Anmeldung funktioniert. Aber wenn Sie zum ersten Mal ein neues Mobiltelefon oder einen neuen Computer benutzen, gibt es eventuell eine Meldung, dass die Website dieses Gerät nicht erkennt. Es funktioniert nämlich als zweite Authentifizierungsinstanz.
MFA ist ein mehrstufiger Ansatz, um Daten oder eine Anwendung zu schützen. Dafür verlangt das System vom Benutzer mindestens zwei Anmeldeformen, mit denen seine Identität bestätigt werden kann. Diese Anmeldeformen lassen sich in drei Kategorien einordnen:
- Wissen – ein Passwort oder die Antwort auf eine Sicherheitsfrage
- Besitz – ein Gerät, ein Hardware-Token, ein ID-Armband oder eine App auf dem Mobiltelefon, womit Sie die Anmeldung bestätigen können
- Inhärenz – also etwas, das Sie „sind“, wie Fingerabdruck oder Netzhauterkennung
Im Falle des Online-Bankings gehört das registrierte Geräte in die Kategorie „Besitz“.
Es ist jedoch wichtig zu wissen, dass eine beliebige Kombination aus mehreren Überprüfungsfaktoren noch keine Multifaktorauthentifizierung ist. Es müssen immer Elemente aus den verschiedenen Kategorien genutzt werden, d. h. die Eingabe eines Passworts und eine Antwort auf eine Sicherheitsfrage sind keine Multifaktorauthentifizierung, weil sie beide zur Kategorie „Wissen“ gehören. Wenn Sie aber ein Passwort eingeben und danach einen eindeutigen Code, der Ihnen über eine App auf dem Mobiltelefon angezeigt wird, haben Sie eine Multifaktorauthentifizierung aus „Wissen“ und „Besitz“.
Arten der Multifaktorauthentifizierung
Es gibt also verschiedene Arten der Multifaktorauthentifizierung. Am häufigsten für ein Konto sind die folgenden in Kombination mit einem Passwort oder einer PIN:
- Push-Benachrichtigung über eine offizielle Authentifizierungs-App
- Einmalpasswort als eindeutiger Code für die einmalige Nutzung, der nur über eine Ihnen eindeutig zugewiesene Kommunikationsmethode zur Verfügung steht (zum Beispiel über eine E-Mail, eine SMS oder eine App)
- Zwei-Faktor-Token als physischer Token, den Sie anschließen bzw. von dem Sie einen Code erhalten
- Biometrik wie Fingerabdruck, Gesichts- oder Netzhauterkennung
Warum ist das so wichtig? Wäre bei Biosyn nach dem Vorhalten des ID-Armbands noch eine Gesichtserkennung erforderlich gewesen, hätten Ellie und Alan keinen Zutritt zum verbotenen Laborbereich gehabt. Falls jemand mit schlechten Absichten Ihren Benutzernamen und Ihr Kennwort stiehlt, kommt er nicht ins System, wenn zusätzlich ein Einmalpasswort notwendig ist, das nur an Ihr Mobiltelefon gesendet wird.
MFA muss zur Routine werden
Inzwischen bieten viele Systeme ihren Benutzern die Multifaktorauthentifizierung an. Zu Beginn mag sie umständlich wirken, doch je öfter wir damit in Kontakt kommen, desto mehr wird MFA zur Routine – und somit ganz selbstverständlich. Es ist nur ein kleiner Schritt, eine zusätzliche Überprüfung hinzuzufügen, aber der macht einen großen Unterschied: Kommen die aufdringlichen Paläontologen in Ihr Labor oder müssen sie draußen bleiben? In Jurassic World: Dominion war es natürlich ein Glück für die „Guten“, dass es im Labor keine MFA gab. Aber in der Realität sind es nun einmal Cyberkriminelle, die es auf unsere Daten abgesehen haben. Und denen sollten wir das Leben so schwer wie möglich machen.
MFA als grundlegender Faktor für digitale Sicherheit
Multifaktorauthentifizierung ist ein schwieriges Wort, aber der Prozess ist es nicht. Sie wird schnell zu einem ganz normalen Teil Ihres Lebens, wie das Online-Banking selbst. Und die positiven Auswirkungen auf Ihre digitale Sicherheit sind groß. Es ist gar nicht so schwierig, sich im Internet zu schützen, wenn man weiß, welche grundlegenden Schritte es umzusetzen gilt.
Wenn Sie nun auch überlegen, einmal in der Woche mit Ihrer Familie einen Film zu schauen und dazu etwas Gutes dazu zu essen, kann ich das nur empfehlen. Fangen Sie doch einfach mit Jurassic World: Dominion an – und erklären Sie Ihren interessierten Kindern, wie MFA dafür sorgt, dass niemand ihre Daten klauen kann. Haben Sie vielleicht Empfehlungen für mich? Gibt es noch andere gute Filme, aus denen Sie etwas über Cybersicherheit gelernt haben?
