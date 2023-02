Gute MFA, schlechte MFA

Multifaktor-Authentifizierung wehrt Phishing-Attacken zuverlässig ab – so die landläufige Meinung. Die Cyberangriffe der letzten Monate haben jedoch gezeigt, dass regelmäßige MFA allein nicht vor Phishing schützt, auch wenn Uber, Rockstar oder Cisco dem wohl nur widerwillig zustimmen würden. Phishing-sichere MFA hingegen verhindert zuverlässig Phishing, Prompt Bombing und andere Adversary-in-the-Middle-Angriffe. Wie unser Fachartikel zeigt, lässt sich damit außerdem der Benutzerkomfort erhöhen.

Gerade Phishing-Attacken lassen sich durch MFA nicht automatisch verhindern.

Die Multifaktor-Authentifizierung hat sich innerhalb der letzten Jahre bei vielen Nutzern und Unternehmen etabliert. MFA ergänzt Benutzernamen und Passwort um weitere, sicherere Faktoren. Und das ist auch gut so, bilden schwache Passwörter immer noch einen der Hauptangriffsvektoren für Cyberkriminelle. Denn Passwörter sind häufig zu kurz oder zu einfach und lassen sich mit spezieller Hardware innerhalb kurzer Zeit knacken.



Um ausreichend vor solchen Brute-Force-Attacken zu schützen, müssen Passwörter entsprechend lang und komplex sein: Das BSI empfiehlt Kennwörter mit mindestens acht Zeichen und vier verschiedenen Zeichentypen (Groß-/Kleinbuchstaben, Zahlen, Satzzeichen und Sonderzeichen) zu verwenden. Dies erhöht die Komplexität und macht es Angreifern schwerer, es durch wiederholtes Ausprobieren zu erraten. Gleichzeitig haben User mit steigender Komplexität Probleme, sich die Zugangsdaten zu merken – nicht zuletzt, da ein Kennwort immer nur für einen Dienst Verwendung finden sollte.



Phishing vs. Spear-Phishing

IT-Administratoren stehen indes vor einer weiteren Herausforderung: Egal, wie sicher ein Passwort ist – gerät es in die falschen Hände, haben Cyberdiebe Zugriff auf den Account und damit wichtige Unternehmensdaten. Insbesondere Phishing- beziehungsweise Spear-Phishing-Angriffe stellen hier die größte Gefahr dar: E-Mails, in denen sich die Kriminellen als Kunden, Kollegen oder Vorgesetzte ausgeben, um komplexe Passwörter zu stehlen und sich so Zugang zu Unternehmensdaten zu verschaffen.



Phishing beruht darauf, mit E-Mails eine breite Masse an Personen anzusprechen, von der nur ein kleiner Prozentsatz reagiert. Daher sind die Themen der Mails meist allgemein gehalten ("Ihr Paket ist da", "Zahlen Sie jetzt!" et cetera). Und die Gefahr ist real: 69 Prozent der gesamten Spam-Mails waren 2021 Teil von Cyberattacken, die unter anderem darauf abzielten, an Zugangsdaten und andere vertrauliche Informationen zu kommen – im Finanzbereich waren es sogar 90 Prozent.



Spear-Phishing hingegen geht präziser vor: Cyberkriminelle suchen auf Unternehmenswebseiten, in Social Media und anderen Quellen nach möglichst vielen Informationen zu ihrem Opfer und gehen dieses gezielt mit einer täuschend echten Mail an, um zu ihrem Ziel zu kommen.