Zum Inhalt springen
RSA Cloud Security kostenlos testen

Starten Sie jetzt Ihre ID Plus Testversion

Jetzt starten

Die Multi-Faktor-Authentifizierung (MFA) ist nicht mehr optional, sondern eine wichtige Voraussetzung für den sicheren Zugriff auf sensible Systeme und Daten. Da Cyber-Bedrohungen immer raffinierter werden, müssen Sicherheits- und Identitäts- und Zugriffsmanagement (IAM)-Verantwortliche in Finanzdienstleistungsunternehmen, Behörden, im Gesundheitswesen, im Energiesektor und in anderen sicherheitsorientierten Umgebungen die sich entwickelnden MFA-Anforderungen bewältigen, um die Einhaltung von Vorschriften zu gewährleisten, Sicherheitsrisiken zu mindern und wichtige Anlagen zu schützen.

Im Folgenden finden Sie weitere Informationen zu MFA-Anforderungen, Compliance-Standards, Sicherheitsschwachstellen und Best Practices zur Stärkung der Authentifizierungssicherheit, einschließlich der Frage, wie die externen Authentifizierungsmethoden (EAM) von RSA mit Microsoft Unternehmen dabei helfen, strenge gesetzliche Vorgaben zu erfüllen.

MFA-Anforderungen und deren Einhaltung

Die MFA-Anforderungen definieren die Authentifizierungsrichtlinien, die Unternehmen implementieren müssen, um die Sicherheit zu erhöhen und das Risiko von Angriffen mit Anmeldeinformationen zu verringern. Diese Anforderungen variieren je nach Branche und gesetzlichem Rahmen, schreiben aber in der Regel die Verwendung von zwei oder mehr Authentifizierungsfaktoren vor:

  • Etwas, das Sie kennenPasswörter, PINs
  • Etwas, das Sie habenHardware-Tokens, mobile Authentifikatoren
  • Etwas, das Sie sindBiometrische Daten (Fingerabdruck, Gesichtserkennung)

MFA ist in vielen Branchen vorgeschrieben, um unbefugten Zugriff zu verhindern, Betrug zu reduzieren und die allgemeine Cybersicherheit zu verbessern. Einige Compliance-Rahmenwerke und technische Anforderungen, die MFA erzwingen, um sicherzustellen, dass Organisationen identitätsbezogene Bedrohungen abwehren, sind:

  • DORA (Digital Operational Resilience Act) setzt strenge MFA-Anforderungen für Finanzinstitute in der EU durch und verbessert die Cybersicherheit und die operative Widerstandsfähigkeit.
  • NIS2 (Network and Information Security Directive 2) verschärft die Authentifizierungsanforderungen für kritische Sektoren in der EU.
  • PCI DSS (Payment Card Industry Data Security Standard) schreibt MFA für den nicht konsoldierten administrativen Zugriff und den Fernzugriff auf Karteninhaberdaten vor.
  • CMMC 2.0 (Cybersecurity Maturity Model Certification) fordert eine phishing-resistente MFA für Bundesauftragnehmer, die mit sensiblen Regierungsdaten umgehen.
  • Die GDPR (General Data Protection Regulation) schreibt sichere Authentifizierungskontrollen zum Schutz personenbezogener Daten vor.
  • Microsofts MFA-Anforderungen für Cloud-Anwendungen wie Azure AD erfordern eine starke Authentifizierung für Benutzer- und Administratorkonten.

RSA® ID Plus bietet Makrofinanzhilfen an, die alle diese Vorschriften und Anforderungen erfüllen. Zum Beispiel ist die RSA EAM-Integration mit Microsoft ermöglicht es Unternehmen, Phishing-resistente MFA, adaptive risikobasierte Richtlinien und eine kontinuierliche Überwachung der Authentifizierung zu implementieren und die Sicherheit über das Microsoft-Ökosystem hinaus zu erweitern, um hybride und Multi-Cloud-Umgebungen zu schützen.
Die Nichteinhaltung dieser Anforderungen kann zu Geldstrafen und teureren Cyber-Versicherungspolicen führen. Außerdem laufen Unternehmen, die keine moderne Authentifizierung einsetzen, Gefahr, ihre Gefährdung drastisch zu erhöhen. Die überwiegende Mehrheit der Cyberangriffe zielt auf schwache Anmeldedaten wie gestohlene Passwörter ab. MFA ist von entscheidender Bedeutung für die Verringerung des Risikos, das jeder einzelne kompromittierte Berechtigungsnachweis darstellt.

Bewährte Praktiken für die Implementierung von MFA

Um MFA effektiv zu implementieren, sollten Organisationen die folgenden Best Practices beachten:

  • Holen Sie sich die richtigen Protokolle für die richtigen Benutzer: MFA sollte nicht für alle gleich sein. Unterschiedliche Benutzergruppen können unterschiedliche Anforderungen haben. So können Benutzer, die in Reinräumen oder anderen hochsicheren Einrichtungen arbeiten, möglicherweise keine mit dem Internet verbundenen Geräte oder Mobiltelefone zur Authentifizierung verwenden. Stellen Sie sicher, dass Sie wissen, was Ihre Benutzer verwenden können, was sie nicht verwenden können und womit sie vertraut sind.
  • Schaffen Sie keine isolierten Authentifizierungserfahrungen: Unternehmen müssen zwar die Anforderungen verschiedener Benutzergruppen berücksichtigen, sollten aber keine Einzellösungen verwenden, um MFA für jede einzelne Gruppe bereitzustellen. Dies erschwert den Betrieb und verursacht höhere Beschaffungs- und Verwaltungskosten. Stattdessen sollten Unternehmen Anbieter bevorzugen, die eine Reihe von MFA-Methoden über eine zentrale Identitätsplattform unterstützen können.
  • Wenn Sie nicht für Ausfälle planen, dann planen Sie zu scheitern: Wenn Sie einen Cloud-Anbieter für MFA nutzen, müssen Sie sich fragen, was passiert, wenn die Cloud ausfällt. Im besten Fall bedeutet dies, dass Benutzer nicht auf ihre Anwendungen zugreifen können; im schlimmsten Fall können Bedrohungsakteure auf diese Weise einen Angriff starten. Organisationen müssen ihre kritische Infrastruktur widerstandsfähiger machen, insbesondere MFA
  • BYOD sicher halten: Da Mobiltelefone, Heimarbeit und BYOD-Richtlinien (Bring Your Own Device) in allen Branchen weit verbreitet sind, führen immer mehr Benutzer die MFA mit persönlichen Geräten durch. Das erhöht zwar die Bequemlichkeit, kann aber auch Risiken für den Authentifizierungsprozess mit sich bringen: Malware, Man-in-the-Middle-Angriffe, Social Engineering und vieles mehr können den Authentifizierungsprozess gefährden und damit Unternehmensdaten, Unternehmensvermögen oder Kundendaten in Gefahr bringen.
  • Stellen Sie sicher, dass Sie die richtige passwortlose Authentifizierung verwenden: Wenn Sie vorhaben, passwortlose MFA zu verwenden, dann ist das eine großartige Möglichkeit, das Risiko Ihres Unternehmens zu senken und seine Zero Trust-Reife zu entwickeln. Aber nicht alle passwortlosen Authentifizierungen sind gleich: Unternehmen müssen den Unterschied zwischen synchronisierten Passkeys, die keine ausreichende Unternehmenssicherheit bieten, und gerätegebundenen Passkeys kennen, die Unternehmen sicher machen können.
Verständnis der MFA-Sicherheitsrisiken

Auch wenn MFA die Sicherheit deutlich erhöht, ist sie nicht unfehlbar. Angreifer entwickeln ihre Taktiken zur Umgehung von Authentifizierungskontrollen ständig weiter, so dass es für Unternehmen entscheidend ist, potenzielle Schwachstellen zu erkennen und zu beseitigen.

Wie MFA kompromittiert werden kann
  • Social-Engineering-Angriffe: Phishing-, Spear-Phishing- und MFA-Müdigkeitsangriffe verleiten Benutzer dazu, betrügerischen Authentifizierungsanfragen zuzustimmen.
  • Ausnutzung des Helpdesks: Angreifer nutzen Social Engineering, um IT-Support-Mitarbeiter dazu zu bringen, MFA-Anmeldedaten zurückzusetzen oder betrügerische Zugriffsanfragen zu genehmigen.
  • Malware-basierte Angriffe: Keylogger und Remote-Access-Trojaner (RATs) können MFA-Zugangsdaten abfangen und die Authentifizierungskontrollen umgehen.
  • SIM-Wechsel: Die Angreifer kapern die Telefonnummer des Opfers, um SMS-basierte MFA-Codes abzufangen.
  • Man-in-the-Middle-Angriffe (MitM): Angreifer fangen Authentifizierungsanfragen ab und stehlen Sitzungs-Tokens.
  • MFA-Bombardierung oder Prompt-Bombardierung: Angreifer überhäufen Benutzer mit MFA-Genehmigungsanfragen, bis sie unbeabsichtigt den Zugriff genehmigen.

Beispiele für MFA-Sicherheitslücken sind 2022 Uber veranlasst Bombenanschlag und die Social-Engineering-Angriffe von 2023, die auf Resorts in Las Vegas. Diese zeigen, wie Bedrohungsakteure schwache MFA-Implementierungen und andere MFA-Sicherheitsschwachstellen ausnutzen können. Organisationen müssen Phishing-resistente Authentifizierungsmethoden wie RSA FIDO2-basierte Passkeys und adaptive risikobasierte Authentifizierung einsetzen, um diesen Bedrohungen zu begegnen.

Stärkung der Makrofinanzhilfe durch Zero-Trust-Prinzipien

MFA allein reicht nicht aus. Unternehmen müssen sie in eine Zero Trust Architecture (ZTA) integrieren, um eine kontinuierliche Überprüfung der Benutzeridentität und Gerätesicherheit zu gewährleisten.

Zero Trust geht davon aus, dass kein Benutzer oder Gerät von Natur aus vertrauenswürdig ist und erfordert eine kontinuierliche Authentifizierung und richtlinienbasierte Zugriffskontrolle. Die Integration von RSA in das Zero Trust-Framework von Microsoft ermöglicht es Unternehmen,:

  • Erzwingen Sie mit adaptiven, risikobasierten MFA-Richtlinien den Zugriff mit den geringsten Rechten.
  • Nutzen Sie phishing-resistente Authentifizierung wie FIDO2-Sicherheitsschlüssel und gerätegebundene Passkeys.
  • Überwachen Sie Authentifizierungsanfragen in Echtzeit, um Anomalien zu erkennen und die Kompromittierung von Zugangsdaten zu verhindern.
Bewährte Verfahren für die Implementierung einer sicheren MFA

Um die Sicherheit und die Einhaltung von Vorschriften zu maximieren, sollten Unternehmen die folgenden Best Practices berücksichtigen:
Die Wahl der richtigen MFA-Lösung

  • Verwenden Sie phishing-resistente MFA, wie RSA FIDO2-basierte Authentifizierung oder gerätegebundene Passkeys.
  • Vermeiden Sie SMS-basierte MFA aufgrund von Schwachstellen wie SIM-Swapping.
  • Implementieren Sie Hardware-Sicherheitsschlüssel für eine hochsichere Authentifizierung.
  • Verwenden Sie eine moderne Authentifizierung, die passwortlos, anpassungsfähig und risikobewusst sein soll. Die moderne Authentifizierung geht über die herkömmliche MFA hinaus, indem sie die Benutzer während der gesamten Sitzung und nicht nur bei der Anmeldung verifiziert. Moderne Authentifizierung macht Passwörter überflüssig, nutzt Kontext- und Risikosignale, um die Sicherheit zu erhöhen, und funktioniert nahtlos in Cloud-, Hybrid- und lokalen Umgebungen.

Aufklärung der Benutzer über MFA-Sicherheit

  • Schulung der Mitarbeiter zur Erkennung von Social-Engineering- und Phishing-Angriffen, die auf MFA abzielen.
  • Ermöglichen Sie die Wiederherstellung der Authentifizierung per Selbstbedienung, um den IT-Support zu entlasten.
  • Ermutigen Sie die Benutzer, verdächtige MFA-Aufforderungen zu melden.

Kontinuierliche Überwachung und Rechnungsprüfung

  • Erkennen Sie Identitätsbedrohungen in Echtzeit, um ungewöhnliches Authentifizierungsverhalten zu erkennen.
  • Regelmäßige Aktualisierung der MFA-Richtlinien, um den sich entwickelnden Bedrohungen der Cybersicherheit zu begegnen.
  • Durchführung von Penetrationstests, um die Widerstandsfähigkeit der MFA gegenüber Angriffsmethoden zu bewerten.

Durch die Nutzung von RSA EAM mit Microsoft können Unternehmen nahtlose, konforme und hochsichere MFA-Implementierungen erreichen und gleichzeitig die Zero Trust-Prinzipien einhalten.

MFA ist eine wichtige Säule der modernen Identitätssicherheit. Sie muss jedoch strategisch eingesetzt werden, um den Schutz vor sich entwickelnden Bedrohungen zu maximieren. Durch das Verständnis der MFA-Anforderungen, die Anpassung an Compliance-Frameworks wie DORA und NIS2 und die Integration von MFA in ein breiteres Zero-Trust-Framework können Unternehmen die Sicherheit erhöhen und Authentifizierungsrisiken minimieren.

Kontakt zur RSA um mehr darüber zu erfahren, wie RSA eine Reihe von MFA-Lösungen anbietet, die globale Vorschriften erfüllen und in eine umfassendere Strategie zur Identitätssicherheit integriert werden können.

Sie könnten auch interessiert sein an...

Demo anfordern

Demo anfordern