IT-Sicherheit braucht mehr als einen Faktor

Die Multifaktor-Authentifizierung, auch MFA genannt, erhöht den Kontoschutz, weil sie im Anschluss an die Anmeldung mittels Benutzernamen und Passwort einen oder mehrere weiteren Identitätsnachweise erfordert. 

Bei der Multi-Faktor-Authentifizierung wird die Identität eines Benutzers anhand einer bestimmten Reihe von Merkmalen überprüft. Am umfassendsten lassen sie sich wie folgt erklären: 

• Wissen: Sicherheitsmaßnahmen, die nur dem Benutzer bekannt sind. Darunter fallen beispielsweise klassische Passwörter oder PIN-Codes.
• Besitz: Sicherheit, die auf etwas basiert, das der Benutzer besitzt, wie z. B. Bankkarte, elektronischer Personalausweis oder eine App zur Authentifizierung,.
• Inhärenz: Sicherheit in Verbindung mit  Eigenschaften, die die Person hat. Solche Eigenschaften sind biometrische Merkmale wie Fingerabdrücke oder Muster der Netzhaut im Auge. Auch Gesichtserkennungsverfahren fallen in diese Gruppe.
• Standort: Authentifizierung auf der Grundlage von geografischen Gebieten, die von Internetprotokolladressen abgeleitet werden.

Dies mag umständlich klingen, ist es aber nicht, denn die Multifaktor-Authentifizierung wird bereits seit Jahren eingesetzt: An Geldautomaten müssen Sie zum Beispiel nicht nur Ihre Karte einführen, sondern auch Ihre persönliche PIN eingeben. Im Onlinebanking ist es Gang und gebe Überweisungen mittels einer App zusätzlich freizugeben. Gleiches gilt, wenn Sie im Supermarkt an der Kasse mit einer Geldkarte bezahlen. Auch bei Bezahlung mit dem Handy, muss dieses zuerst Entsperrt werden. Einige Verfahren kombinieren auch mehrere Faktoren miteinander. Beispielsweise kann bei der Online-Ausweisfunktion des Personalausweises der Faktor "Besitz Chipkarte" nur zusammen mit dem Faktor "Wissen PIN" eingesetzt werden.

Multifaktor-Authentifizierung schützt uns bereits privat in vielen Bereichen vor verschiedenen Arten von Cyberangriffen (z.B. Phishing, Brute-Force-Angriffen oder Man-in-the-Middle-Angriffen). Durch die Verwendung von MFA, müssen Benutzer*innen zusätzliche Informationen oder Merkmale angeben, um Zugriff auf ein Konto zu erhalten. Selbst wenn es Angreifenden gelingt, Kennwörter zu stehlen, ist es unwahrscheinlich, dass diese auch in der Lage sind, die zusätzlichen Authentifizierungsfaktoren zu stehlen oder zu kompromittieren, die für MFA erforderlich sind.

Ein Beispiel aus dem Leben: Sie bestellen häufiger bei Amazon. Für die Autorisierung verwenden Sie eine E-Mailadresse und ein Passwort. MFA kommt nicht zum Einsatz. Durch einen blöden Zufall erhalten Sie eine E-Mail in der Sie zur Eingabe ihrer Zugangsdaten aufgefordert werden und kommen dem nach. Der Angreifer kann sich nun mit ihren Zugangsdaten einloggen und auf Ihre Kosten shoppen. Der Angreifer kann aber auch ihre Zugangsdaten zum E-Mailkonto ergaunert haben. Damit kann der Angreifer bei Amazon die Passwort vergessen Funktion nutzen und sich darüber Zugang zu allen Diensten verschaffen, wo Sie mit ihrer E-Mailadresse angemeldet sind. Mit einem oder mehreren Faktoren können Sie ihre Konten gegen Identitätsdiebstahl absichern.

 Gängige Authentifizierungsmethoden sind:

• Per E-Mail oder SMS versendete Codes
  Der Benutzer erhält eine E-Mail oder SMS-Nachricht, die entweder einen Link zu einer Verifizierungsseite enthält oder einen Einmalcode anzeigt. Dieser Code muss eingegeben werden, bevor der Benutzer sich bei seinem Konto anmelden kann. E-Mail und SMS gelten als unsicher, daher stehen diese Möglichkeiten nicht zur Verfügung.
• Biometrische Authentifizierung
  Bei dieser Art von Authentifizierung kommen biometrische Daten zum Einsatz, um einen Benutzer anhand von physischen Eigenschaften zu erkennen und zu identifizieren. Dazu gehören Verfahren wie Fingerabdruckscans, Gesichtserkennung, Iris-Scans und Spracherkennung. Ein Beispiel für biometrische Authentifizierung ist Face ID bei Apple-Geräten oder Windows Hello.
• Authentifizierungs-Apps (empfohlen) generieren Codes zur einmaligen Verwendung, die dazu dienen, die Identität eines Benutzers zu verifizieren. Dabei handelt es sich um zeitlich begrenzte 6 stellige Codes oder aber zu bestätigende Pushbenachrichtigungen. Zu gängigen Authentifizierungsanwendungen gehören Google Authenticator und Microsoft Authenticator. Auch Keeper fungiert als Authentifizierungs-App ahl bereit. Der Microsoft Authenticator ist in der Lage Pushbenachrichtigungen zu empfangen.
• Standort
  Innerhalb des Standorts MHH, wird die Verwendung eines PCs der nicht mit dem WLAN verbunden ist, werden ebenfalls als vertraulicher Faktor angesehen. Dazu zählen stationäre Rechner oder Kabelgebunde Systeme. 

Der externe Zugriff auf Ihre E-Mails über https://webmail.mh-hannover.de wird künftig durch einen zusätzlichen Zahlencode (OTP) gesichert. Wenn Sie dies bereits für den externen Zugriff über https://citrix.mh-hannover.de getan haben, müssen Sie nichts weiter unternehmen und können denselben Code auch für Webmail verwenden.

Die Einrichtung der Multifaktor-Authentifizierung für Webmail erfolgt über die Webseite otp.mh-hannover.de https://otp.mh-hannover.de

Die Pflege des zweiten Faktors erfolgt ähnlich wie beim „SAP Passwort Reset“ über das „Matrix Self Service Portal“ und „OTP für Citrix/Webmail zurücksetzen“.

Testen können Sie den Webmail-Zugriff mit dem zweiten Faktor bereits jetzt unter https://cag.mh-hannover.de.

IT Dienste für Studierende

Welche Service werden abgesichert?

• Citrix
• Webmail.mh-hannover.de

Sicherer Ressourcenzugriff durch Multi-Faktor-Authentifizierung

• Einrichten eines weiteren Faktors mit MS Authenticator (empfohlen)
• Einrichten eines weiteren Faktors mit alternativen Authenticator

Welche Service werden abgesichert?

• Alle Microsoft 365 Dienste z.B. MS Teams

Welche zusätzlichen Service kann ich nutzen?

• Zurücksetzen des Domänenkennworts im Self Service (Schritt 1)

Zugang zur Mailquarantäne

• Sophos XGS Bedienungsanleitung Webinterface
• Sophos XGS Bedienungsanleitung Webinterface