Nicht noch eine App! MFA ist auf dem Handy angekommen
Wie viele Apps sind auf Ihrem Smartphone installiert? 70, 80 oder mehr? Im Schnitt wird jede vierte App nach dem Download nur einmal geöffnet. Und jetzt ist da einfach noch mehr: eine, zwei oder drei "Authenticator"-Apps von verschiedenen Herstellern, die man selbst nie so wirklich freiwillig öffnet und die sich auf Anforderung auch nicht immer freiwillig selbst öffnen (Microsoft Authenticator, du weißt genau, welche Push-Benachrichtigungen ich meine.)
Einfach löschen und Multi-Faktor-Authentifizierung ignorieren ist leider auch keine richtige Lösung. Microsoft erzwingt zum 15.10.2024 die Anmeldung mit MFA für bestimmte Portale.
Wofür man dieses MFA (oder 2FA) eigentlich braucht, was das ist, wie man es am besten in der Firma einführt und warum SMS böse sind, erfahren Sie hier.
Aber mein Passwort reicht doch!
Wer von Ihren Freunden oder Familie kennt eigentlich Ihr Netflix Passwort (gerne hier beliebigen Streaming-Anbieter einfügen)? Kommt Ihr näheres Umfeld im Notfall an Ihre privaten E-Mails? Und jetzt ehrlich: Ist eines dieser Passwörter zumindest teilweise deckungsgleich mit Ihrem Passwort in der Firma?
Passwörter können abgegriffen werden: sei es durch freiwilliges Weitergeben und daraus resultierenden Kontrollverlust, durch versehentliches Eingeben auf unechten Portalen (z. B. mit Phishing-E-Mails) oder einfach dadurch, dass der private Mail-Anbieter gehackt wird und das Passwort auch noch an einer anderen Stelle verwendet wird.
Wenn ein Angreifer über einen dieser Wege unbemerkt in Ihren Firmenaccount käme und damit Schindluder treiben würde, wäre das die Totalkatastrophe.
Ist ein zweiter Faktor eingerichtet, kommt ein Dritter auch mit dem Passwort nicht weiter. Im besten Fall kriegen Sie eine Benachrichtigung von Ihrer Authenticator-App auf dem Handy und können Ihre IT über einen unbefugten Zugriff informieren.
Was sind das für Zahlen und Buchstaben? MFA, 2FA, OTP und TOTP
Warum zeigt meine App eigentlich diese Zahlenkombinationen an und wie funktioniert das eigentlich?
Eine Authenticator-App zeigt ein Einmalpasswort (One Time Password) an, das in der Regel zeitlich (Zeit → Time) begrenzt ist. Also ein zeitlich begrenztes Einmalpasswort (Time-based One Time Password).
Dabei werden die in der Regel sechsstelligen Codes auf Basis eines geheimen Schlüssels, den nur Ihr Handy und der Server kennt, mit einem Algorithmus berechnet (für die interessierten Mathematiker geht es hier lang).
Dieser Code auf Ihrem persönlichen Handy fungiert als zweiter Faktor zur Anmeldung (2FA) am geforderten Dienst. Der erste Faktor ist in der Regel das Kennwort. Da mittlerweile mehrere Faktoren zur Anmeldung genutzt werden, ist der Begriff Multi-Faktor-Authentifizierung aktuell geläufiger.
Diese Faktoren können in drei Hauptkategorien eingeteilt werden:
- Wissen: z. B. ein festes Passwort
- Besitz: das Smartphone mit der Authenticator-App
- Biometrie: wie Fingerabdruck oder Gesichtserkennung
Zum Thema Biometrie komme ich noch mal in einem späteren Absatz.
Meine Kollegen haben für so etwas keine Zeit!
Mittlerweile habe ich schon etliche Argumente gegen eine firmenweite Einführung von MFA gehört:
- Nicht jeder hat ein Firmenhandy
- Das darf nicht auf das Privathandy, sonst kann meine Firma mich überwachen
- Das behindert die Kollegen beim Arbeiten
- Was ist, wenn ich im Ausland bin und nicht an meine Daten komme?
- Ich muss dringend spät abends arbeiten, diese App geht nicht und ich erreiche niemanden im Support, was dann?
- Niemand kennt sich damit aus!
Das alles sind im ersten Schritt valide Bedenken, die wir aber bisher mit all unseren Kunden aus dem Weg räumen konnten.
Dazu vorab: Sicherheit und Bequemlichkeit stehen diametral zueinander. Es ist viel einfacher, die Haustür offen zu lassen, schließlich kann man sich so nicht selbst aussperren. Sicherer ist eine offene Tür eher nicht.
Aber gehen wir die Punkte nacheinander durch:
Nutzung auf Smartphones
Es ist nicht in jeder Firma üblich, dass jeder Mitarbeiter, der auch einen Login am Computer bekommt, ein Firmen-Smartphone zur Verfügung gestellt bekommt. Natürlich darf jeder Mitarbeiter selbst entscheiden, was er auf seinem privaten Handy einrichtet und was nicht. Aber soweit kann ich zum Thema Überwachung Entwarnung geben: Die aktuellen Apps geben der Firma keine Kontrolle über das Handy. Das Einzige, was die Apps können, ist ein bisschen rechnen (s. o.) oder im äußersten Fall ein paar Zahlen anzeigen.
Wenn die Kollegen aber weiterhin Bedenken haben, gibt es günstige Alternativen: Reiner SCT bietet ein kleines gelbes Gerät an, bei dem die MFA mit Microsoft 365 und vielen weiteren Anbietern problemlos funktioniert. Das Gerät gibt es bei den großen bekannten Online-Shops problemlos zu kaufen. Wir haben mit den Geräten bisher durchweg gute Erfahrungen gemacht.
MFA stört
Ja, MFA mag besonders bei der Einführung ein wenig nerven. Wir arbeiten primär in Umgebungen mit Microsoft 365 und können sagen: Nein, die Aufforderungen kommen nicht bei jeder Anmeldung am PC und auch nicht jeden Tag. Zum einen kann ein Zeitraum festgelegt werden, in dem keine weiteren MFA-Eingaben notwendig sind. Unsere Schmerzgrenze liegt hier bei 28 Tagen. Zusätzlich prüft Microsoft – neben vielen weiteren Punkten – ob das Gerät bekannt ist, auf dem die Anmeldung geschieht, und ob der physische Ort ungewöhnlich ist (beispielsweise arbeiten Sie normalerweise im Office in Frankfurt, sind aber heute in Heidelberg). Sollten diese weiteren Punkte nicht passen, kann auch während des festgelegten Zeitraums eine zusätzliche Eingabe der MFA-Daten notwendig sein.
Sobald MFA einmal eingeführt wurde, kommen die Kollegen sehr schnell in die Routine rein. Meldungen, dass Mitarbeiter bei der Arbeit behindert werden, hatten wir bisher noch nicht.
Die IT ist nicht da, nichts funktioniert und ich muss dringend an meine Daten!
Das ist bestimmt jedem schon mal passiert: Man hat einen dringenden Task, den man abends noch schnell abschließen möchte, aber das Einloggen funktioniert nicht richtig, weil das Smartphone leer ist, auf dem die App installiert ist, und die IT ist nicht erreichbar.
Für so einen Fall lohnt es sich, eine Notfalllösung anzuschaffen: zum Beispiel einen weiteren Faktor als alternative Methode am Schlüsselbund oder Portemonnaie. Wir nutzen kleine batterielose USB-Sticks, die zur Authentifizierung in verschiedenen Umgebungen, unter anderem auch Microsoft 365, geeignet sind. Einfach kaufen, im Konto einrichten und anmelden. Diese Sticks decken den Faktor Besitz – und je nach Preispunkt – auch Biometrie ab.
Natürlich können solche Sticks auch statt einer Authenticator-App angeschafft werden. Wir empfehlen in diesem Fall, bei einem möglichen Verlust, einen zweiten Stick pro Mitarbeiter anzuschaffen, der an einem sicheren Ort aufbewahrt wird.
Und wie bedient man das jetzt?
Nicht jeder hatte mit dem Thema MFA bisher Berührungspunkte und kann eine Authenticator-App selbstständig einrichten oder anfänglich korrekt bedienen. Die Angst, etwas falsch einzurichten und sich nicht mehr einloggen zu können, ist da.
Deshalb: Schult eure Mitarbeiter. Dafür gibt es mehrere Möglichkeiten:
- Kurze Vor-Ort- oder Video-Schulungen mit Demonstration der gewählten MFA-Methode für alle Mitarbeiter
- Kurze, prägnante und bebilderte Anleitungen. Viele Anbieter von MFA-Software und Hardware stellen Anleitungen zur Verfügung
- Für den Fall der Fälle: eine ausgedruckte Version der Anleitung
Und ganz wichtig: Gebt den Mitarbeitern genug Zeit, bevor ihr MFA in eurem Unternehmen erzwingt. So können Kollegen sich ohne Stress vorab mit dem Thema auseinandersetzen und die Einrichtung durchführen.
Ich brauche keine App, man kann hier SMS auswählen
Das stimmt. Einige Plattformen, unter anderem auch Microsoft 365, bieten noch die Einrichtung von MFA per SMS und Telefon an. Microsoft hat jedoch bereits im Juli 2023 SMS und Telefon als schwächste Form von MFA klassifiziert und rät von der Nutzung dringend ab. Einer der Faktoren für die Unsicherheit ist die unverschlüsselte Übertragung der OTPs. Die Tech-Community erwartet eine Abschaltung dieser Methoden.
Deshalb: Wenn ihr jetzt beginnt, MFA einzurichten, beginnt direkt mit den modernen Methoden.
Fazit
MFA ist für Firmen mittlerweile ein unabdingbares Sicherheitsfeature und wird auch von Cyberversicherungen vorausgesetzt. Auch wenn die Hürden am Anfang hoch scheinen: Mit Schulungen und den korrekten Tools wird die Nutzung für die Kollegen schnell alltäglich. Sollten Sie immer noch Fragen oder Bedenken zum Thema Multi-Faktor-Authentifizierung im Unternehmen haben, schreiben Sie uns einfach. Wir stecken gerne mit Ihnen die Köpfe zusammen.
Foto Credits
Foto von Pathum Danthanarayana auf Unsplash , Foto von Towfiqu barbhuiya auf Unsplash , Foto von Paulius Dragunas auf Unsplash , Foto von Johnny OP auf Unsplash