Es klingt offensichtlich, aber die Cybersicherheit eines Unternehmens kann nicht stückweise erfolgen. Auch wenn ein Unternehmen bestimmte Benutzer anders behandelt als andere und für Benutzer mit höherem Risiko zusätzlichen Schutz benötigt, muss ein Sicherheitsprogramm jeden Benutzer berücksichtigen.
Die Erfüllung dieser Anforderung kann mit zunehmender Größe des Unternehmens immer komplexer werden, da die IT-Leiter die Kosten von Multi-Faktor-Authentifizierungslösungen (MFA) zusammen mit dem Benutzerverhalten bewerten und gleichzeitig einen robusten Rahmen für die Cybersicherheit schaffen müssen.
Für viele Unternehmen stellen mobile Geräte einen pragmatischen Kompromiss zwischen Sicherheit, Kosten und Komfort dar. Mobile Geräte sind allgegenwärtig und einfach zu verwenden, um die Anforderungen der Multi-Faktor-Authentifizierung (MFA) zu erfüllen: 73% der Nutzer sind der Meinung, dass Smartphones die bequemste Methode zur Erfüllung der MFA sind.
So gut die auf mobilen Apps basierende Authentifizierung auch sein mag, wenn es darum geht, ein unternehmensweites Sicherheitsprogramm zu erstellen und die Kosten auszugleichen, sie ist kein Allheilmittel, das immer und für jeden funktioniert. Die Kosten der Multi-Faktor-Authentifizierung variieren je nach Art der Lösung und Implementierungsstrategie.
Benutzerpräferenzen und Fähigkeiten
In bestimmten Situationen ist es einigen Benutzern nicht möglich, mobile Geräte zu verwenden oder sich auf eine mobile Verbindung zur Authentifizierung zu verlassen (z. B. in einem Reinraum in der Produktion). In anderen Fällen ist es für die Mitarbeiter möglicherweise unangenehm, vom Unternehmen vorgeschriebene Anwendungen auf ihren persönlichen Geräten zu installieren, um Sicherheitsanforderungen zu erfüllen.
Hardware-Merkmale
Wir sehen, dass Unternehmen zwei Arten von Lösungen für die Authentifizierung dieser Benutzer einsetzen. Die erste sind Hardware-Authentifikatoren mit Einmal-Passcodes (OTPs). Hardware-Authentifikatoren wie der DS100 sind der Goldstandard in der Authentifizierung: Sie helfen Organisationen, passwortlos zu werden, indem sie die kryptographischen Vorteile der FIDO2-Protokolle und die Sicherheitsvorteile von OTP vereinen.
Die zweite Lösung ist die herkömmliche MFA wie die SMS-basierte Authentifizierung (die OTPs direkt an die persönlichen Geräte der Benutzer sendet) und die Sprach-OTP.
Wartungs- und Unterstützungsgebühren
Auch Wartungs- und Supportgebühren können im Laufe der Zeit die Gesamtkosten in die Höhe treiben, insbesondere bei mobilfunkbasierten MFA-Lösungen. Diese Kosten umfassen häufig laufende Updates für mobile Anwendungen, die Gewährleistung der Kompatibilität mit den neuesten Betriebssystemen und die Behebung von Sicherheitslücken, die für mobile Plattformen spezifisch sind. Anbieter können auch für die Aufrechterhaltung zuverlässiger Push-Benachrichtigungsdienste, die Behebung gerätespezifischer Probleme oder die Bereitstellung von Support für Benutzer mit verschiedenen mobilen Geräten Gebühren verlangen. Darüber hinaus müssen Unternehmen möglicherweise in die Schulung der Benutzer investieren, um Updates für mobile Anwendungen zu handhaben und eine nahtlose Integration in ihr IT-Ökosystem zu gewährleisten. Im Laufe der Zeit können diese Faktoren die Gesamtbetriebskosten für mobile MFA-Implementierungen erheblich beeinflussen.
SMS- und Sprach-OTP haben bekannte Sicherheitsmängel: SMS OTP ist nicht verschlüsselt und anfällig für Netzwerkausfälle, SIM-Swapping, Social Engineering, SS7 und Man-in-the-Middle-Angriffe. RSA empfiehlt, dass Unternehmen langfristig zu einer stärkeren, wirklich passwortlosen Authentifizierung übergehen.
Viele Organisationen verlassen sich jedoch immer noch auf diese Methoden, weil sie:
- Unterstützung verschiedener Benutzergruppen mit unterschiedlichem Zugang und Risiko.
- sind oft die günstigsten MFA-Optionen für kleinere Unternehmen oder spezielle Umgebungen.
Das US National Institute of Standards and Technology (NIST) schrieb, dass die Behörden "die praktischen Aspekte der heutigen Implementierungen mit den Anforderungen der Zukunft abwägen" müssen und dass die Nutzung von "SMS to Mobile als zweiter Faktor heute weniger effektiv ist als einige andere Ansätze, aber effektiver als ein einzelner Faktor".
Es gibt nicht den einen richtigen Weg, um ein Gleichgewicht zwischen der Notwendigkeit, alle Benutzer zu berücksichtigen, die Cybersicherheit zu verbessern und die Kosten zu kontrollieren, herzustellen. Unternehmen müssen jeden dieser Faktoren für sich selbst abwägen und sich für Lösungen entscheiden, die auf ihrem individuellen Risikoprofil, ihren Ressourcen, Benutzern und Zielen basieren.
Hier finden Sie praktische Schritte, um die Kosten der Multi-Faktor-Authentifizierung zu kontrollieren:
- Nutzung vorhandener Geräte wie Mobiltelefone zur Minimierung der Hardware-Investitionen.
- Wählen Sie skalierbare MFA-Lösungen, die mit Ihrem Unternehmen wachsen.
- Nutzen Sie kostenlose Testversionen oder Pilotprojekte, um Lösungen zu evaluieren, bevor Sie sich für eine langfristige Investition entscheiden.
Auch wenn es keinen richtigen Weg gibt, so gibt es doch zumindest einen falschen Weg: Unternehmen sollten sich ihre Sicherheitslösungen nicht von Anbietern vorschreiben lassen. Diese Faktoren auszubalancieren, ist schon schwierig genug: Es wird noch schwieriger, wenn Anbieter Fristen setzen oder Funktionen entfernen, die zwar unvollkommen sind, aber dennoch wichtige Anforderungen erfüllen.
