Bild generiert durch OpenAI's DALL·E
Die Multi-Faktor-Authentifizierung (MFA) hat sich als wichtige Sicherheitsmaßnahme etabliert, um die Integrität digitaler Identitäten zu gewährleisten, den Zugang zu sensiblen Informationen zu schützen und den Missbrauch von Zugangsdaten zu verhindern. Mit der steigenden Anzahl von Herausforderungen und der zunehmenden Raffinesse von Angriffstechniken wird MFA von immer mehr Nutzern und Organisationen weltweit eingesetzt.
Laut Microsoft sind die Systeme von Microsoft pro Sekunde über 1.000 Passwortangriffen ausgesetzt, ein klares Zeichen für die ernsthaften Cyber-Bedrohungen unserer Zeit. Über 80% der Fortune-500-Unternehmen setzen MFA ein, um ihre digitalen Assets zu schützen. Dennoch sind viele kleinere Unternehmen und private Nutzer noch immer ungeschützt, was sie einem erhöhten Risiko von Identitätsdiebstahl und anderen Sicherheitsverletzungen aussetzt.
Multi-Faktor-Authentifizierung (MFA) ist eine der effizientesten Sicherheitsmaßnahmen gegen die Übernahme von Benutzerkonten. Sie verhindert, dass Angreifer mit kompromittierten Anmeldeinformationen unsere Ressourcen nutzen können, selbst wenn sie Benutzernamen und Passwörter in die Hände bekommen. Somit dient MFA als entscheidende Barriere gegen den Missbrauch von Anmeldeinformationen.
Trotz der weitreichenden Akzeptanz und Effektivität in vielen Bereichen, gibt es Aspekte und Sicherheitslücken, über die nur selten gesprochen wird. Insbesondere die Integration von MFA mit bestimmten Arten von Netzwerktools wie PsExec und Remote PowerShell bleibt problematisch. Diese Tools sind entscheidend für die Netzwerkadministration und zeigen, wo MFA an ihre Grenzen stößt.
MFA Coverage Gap
Haben Sie schonmal daran gedacht, das MFA nicht gleich MFA ist?
Diese Frage stellt sich in verschiedenen Kontexten, insbesondere beim Unterschied zwischen dem Einsatz von Multi-Faktor-Authentifizierung für externe und interne Anmeldungen in Unternehmen. Obwohl viele Unternehmen MFA für alle externen Anmeldungen und SaaS-Dienste nutzen, setzt nur etwa jedes zehnte Unternehmen MFA auch für interne Anmeldungen an Servern und Diensten ein.
Für den Rest dieses Artikels gehen wir davon aus, dass MFA umfassend sowohl extern als auch intern auf allen Systemen implementiert ist. Was der Best-Case ist - bei einem Worst-Case kommen noch mehrere Punkte hinzu.
Trotzdem bleiben Workstations und Server anfällig für laterale Bewegungen, die Verbreitung von Ransomware und andere Identitätsbedrohungen. Angreifer können diese Schwachstellen ausnutzen, indem sie sich über Befehlszeilenbefehle wie PsExec oder Remote PowerShell einloggen, anstatt RDP zu verwenden. Auf diese Weise umgehen sie die MFA-Sicherheitsmaßnahmen, als ob kein Schutz vorhanden wäre.
In der Systemverwaltung werden Befehlszeilenwerkzeuge wie CMD und PowerShell verwendet, um remote auf Benutzergeräte zuzugreifen. Diese Tools, einschließlich PsExec und Remote PowerShell, unterstützen jedoch MFA nicht nativ. Dies liegt daran, dass die zugrundeliegenden Authentifizierungsprotokolle, NTLM und Kerberos, vor der Einführung von MFA entwickelt wurden.
Die Sicherheitsrisiken sind erheblich, da dieser remote Zugangsweg, der in den meisten Netzwerken verwendet wird, anfällig für laterale Bewegungen ist. Selbst wenn MFA vorhanden ist und beispielsweise die RDP-Verbindung schützt, bleibt der Zugriff über Befehlszeilenwerkzeuge wie PsExec ungeschützt. Dadurch können Angreifer problemlos von einem infizierten Gerät auf andere Arbeitsstationen im Netzwerk zugreifen, ohne auf Widerstand zu stoßen. Angreifer wählen diese Methoden, weil sie auf diese Weise einfacher und mit minimalem Aufwand in sensible Bereiche des Netzwerks gelangen können.
Ein Blick in die Vergangenheit: Die Ursprünge von NTLM und Kerberos
NTLM (NT LAN Manager) und Kerberos sind zwei Kernprotokolle für die Authentifizierung innerhalb von Netzwerken, insbesondere in Windows-Umgebungen. NTLM, ein älteres Protokoll, basiert auf einem Challenge-Response-Mechanismus, bei dem der Server eine Herausforderung sendet und der Client eine Antwort zurücksendet, die auf dem Benutzerpasswort basiert, um sich zu authentifizieren. Kerberos hingegen nutzt ein ausgeklügeltes Ticketsystem: Ein Ticket-Granting-Ticket hilft einem Benutzer, weitere "Service-Tickets" für verschiedene Netzwerkdienste zu erhalten, ohne Passwörter erneut senden zu müssen. Beide Systeme wurden entwickelt, bevor Multi-Faktor-Authentifizierung (MFA) gängig wurde und sind primär darauf ausgelegt, die Identität mit einem einzigen Faktor (etwas, das der Nutzer weiß – das Passwort) zu verifizieren. Dies macht die Integration von zusätzlichen Authentifizierungsmethoden, wie sie bei MFA üblich sind, technisch komplexer und war ursprünglich nicht vorgesehen. Das führt dazu, dass bestimmte administrative Tools, die auf diese Protokolle angewiesen sind, eine Herausforderung darstellen, wenn es darum geht, sie mit modernen MFA-Methoden zu sichern.
Die harte Realität: Teilweiser MFA-Schutz ist kein Schutz
Die Implementierung einer Multi-Faktor-Authentifizierung (MFA) auf allen kritischen Servern und Arbeitsstationen kann eine mühsame Aufgabe sein und bietet oft nur begrenzten Schutz vor Identitätsbedrohungen. Auch wenn sie den Anforderungen bestimmter Standards wie ISO 27001 oder BSI IT-Grundschutz teilweise entspricht, sind einige Bereiche ungeschützt und bieten Angreifern kaum Widerstand. Wie ein schwaches Glied in einer Kette kann ein einzelner Schwachpunkt in einer Sicherheitsarchitektur das gesamte Netzwerk gefährden. Selbst wenn MFA den Zugriff auf das Remote Desktop Protocol (RDP) und Desktop-Anmeldungen schützt, werden diese Maßnahmen irrelevant, wenn Angreifer seitlich in die Umgebung eindringen können, indem sie kompromittierte Anmeldedaten für Befehlszeilenwerkzeuge nutzen.
Die Grenzen von MFA in hybriden IT-Umgebungen
In vielen Unternehmen gibt es eine hybride Identitätsinfrastruktur, die AD-verwaltete Workstations und Server sowie SaaS-Anwendungen und Cloud-Workloads umfasst. Trotz der Cloud-Integration sind sowohl lokale Ressourcen wie Legacy-Anwendungen als auch SaaS-Anwendungen durch die Nutzung kompromittierter Anmeldeinformationen gefährdet, oft mangels ausreichendem MFA-Schutz.
Innovative Verschiebung: Von traditioneller MFA zu einheitlichem Identitätsschutz
Die herkömmliche MFA-Integration zeigt Schwächen, da sie jeweils an spezifische Ressourcen gebunden ist. Ein zukunftsweisender Ansatz ist die Verlagerung der MFA-Implementierung auf die Verzeichnisebene. Diese Strategie ermöglicht eine zentrale und einheitliche Überprüfung aller Zugriffsanfragen, unabhängig von der Zugriffsart oder der unterstützenden Technologie der Ressourcen. Dies schließt bestehende Sicherheitslücken und gewährleistet eine lückenlose und durchgehende Absicherung. Ergänzend könnten folgende Maßnahmen erwogen werden:
Erweiterung der Authentifizierungsmethoden
Einsatz von Zugriffssteuerungslösungen
Nutzung von Privileged Access Management
Anpassung von Protokollen
Schulung und Bewusstseinsbildung
Abschließend ist zu betonen, dass die Multi-Faktor-Authentifizierung (MFA) eine unverzichtbare Sicherheitsmaßnahme darstellt. Dieser Artikel soll nicht die Bedeutung von MFA in Frage stellen, sondern aufzeigen, wie sie noch effektiver gestaltet werden kann. MFA ist und bleibt ein kritischer Bestandteil der Netzwerksicherheit.