Identitätsklau vorbeugen / neues ETH-Projekt MFA-SSO
Multifaktor-Authentifizierung (MFA) mag ein sperriger Begriff sein, mit der Einführung von MFA erhöhen aber die Informatikdienste die Sicherheit in den zentralen Web-Applikationen merklich. Die flächendeckende MFA-Einführung an der ETH Zürich ist auf die zweite Jahreshälfte geplant.
Passwörter sind längst zu einem festen Bestandteil unseres Alltags geworden. Brauchen doch alle im digitalen Leben unzählige verschiedene Passwörter. Sie bieten Zugang zu Benutzerkonten in allen möglichen Lebensbereichen – vom Streaming-Dienst über das E-Mail-Konto bis zum Online-Banking.
Ein Passwort ist der erste Schutzwall gegen Kriminelle, die sich Zugang zu einem Benutzerkonten verschaffen möchten, und – wenn keine Multifaktor-Authentifizierung aktiviert ist – oft auch der einzige Schutz. Ist diese Hürde allerdings überwunden, haben Kriminelle uneingeschränkten Zugriff auf alle Daten, die in dem jeweiligen Konto gespeichert sind. Nach dem erfolgreichen Einstieg können sie darüber hinaus versuchen, technische Schwachstellen des betroffenen Systems auszunutzen, um sich noch weitergehende Zugriffsrechte zu verschaffen.
Bedrohungen bestehen heute aber auch durch Phishing- und Ransomware-Angriffe. Dabei wird mithilfe von Täuschungen versucht, Anmeldedaten von Nutzenden abzugreifen. Dazu werden etwa Phishing-E-Mails verschickt, die Nutzende zur Eingabe ihres Passworts auf einer – natürlich gefälschten – Website auffordern. Damit das funktioniert, sieht die Website meist täuschend echt aus. Phishing funktioniert aber auch per Telefon. Dann fragt beispielsweise ein angeblicher Kundensupport die Anmeldedaten für einen bestimmten Account ab. Mit dem ergatterten Logindaten verschaffen sich die Kriminellen Zugang zu Daten, verschlüsseln diese oder sorgen dafür, dass der reguläre Zugriff nicht mehr funktioniert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.
Multifaktor-Authentifizierung bringt mehr Sicherheit
Neben dem Passwort braucht es bei einer Anmeldung mit Multifaktor-Authentifizierung auch noch eine zweite Anmeldebestätigung. Diese wird in Form eines Einmal-Passworts (One Time Passwort OTP) generiert. Dieses OTP wird auf einer sogenannten Authenticator App erzeugt und ist immer nur 30 Sekunden gültig. Diese Methode macht den Login-Vorgang zwar etwas umständlicher, führt aber zu zusätzlicher Sicherheit. Deshalb sollen künftig möglichst alle zentral von den Informatikdiensten betriebenen Cloud-Services und Web-Applikationen an die MFA-Lösung angeschlossen werden.
Nutzung von MFA noch verbesserungswürdig
In einer kürzlich veröffentlichen Studie zur MFA-Nutzung wurde klar, dass ein «grosser Teil der Schweizer Bevölkerung bereits über ein Bewusstsein für sichere Internetdienstnutzung verfügt». Gleichzeitig gebe es aber noch viel Luft nach oben, erklärte der Studienleiter, Thomas Uhlemann, Sicherheitsexperte bei Eset in einem Interview mit der Fachzeitschrift IT Magazine. So verwende zwar fast die Hälfte (48 Prozent) der über 1’000 Befragten einen zusätzlichen Faktor neben dem Passwort, um die Zugangsdaten zu schützen: 14 Prozent bei jedem Online-Dienst und 34 Prozent teilweise. Demgegenüber steht jedoch ein Drittel der Bevölkerung, die entweder nie MFA nutzen (11 Prozent) oder gar nicht wissen, was das ist (19 Prozent).
Zeit, die Komfortzone zu verlassen
«Wir sollten die digitale Komfortzone jetzt verlassen», empfiehlt Urs Spätig, Projektleiter MFA-SSO. Die Aktivierung der Multifaktor-Authentifizierung für sämtliche Mitarbeitende und Studierende ist auf die zweite Jahreshälfte 2022 geplant. In einem ersten Schritt erfolgt dies für die zentralen Cloud-Anwendungen wie Microsoft 365, Google Workspace, Adobe Creative Cloud und Zoom.
«Damit erhöhen wir die Sicherheit der Web-Applikationen merklich. Wir bewegen uns aber im Spannungsfeld von Sicherheit und Benutzerfreundlichkeit.» Wenn die Benutzerfreundlichkeit zu stark beeinträchtigt werden, suchen die Nutzenden nach Umgehungslösungen, es gibt Ablehnung in der Organisation und beeinträchtigt damit die Wirksamkeit der Initiative. Deshalb werden die Informatikdienste eine Lösung implementieren, bei welcher in regelmässigen Abständen ein neues OTP verlangt wird, aber nicht bei jeder Anmeldung.
Auflösung Tatort
Im Newsletter inside|out Nr. 28 haben wir aufgerufen das hinterlegte Lösungswort zu suchen. Bitte mailen Sie uns das Lösungswort an insideout@id.ethz.ch.
Posted on
in IT-Sich, News, Passwort, Applikationen, Software, Arbeitsplätze, Support
siehe auch «MFA: Mehr Sicherheit für Ihre Daten» https://ethz.ch/staffnet/de/news-und-veranstaltungen/intern-aktuell/archiv/2022/07/mfa-mehr-sicherheit-fuer-ihre-daten.html