MULTI-FAKTOR-AUTHENTI-FIZIERUNG (mfA)

Was ist eine Multi-Faktor-Authentifizierung (mfA)?

Wenn Sie sich an einem System anmelden möchten, wie z. B. auf einer Social-Media-Plattform, müssen Sie sich in aller Regel mit einem Benutzernamen und einem Passwort einloggen. Das „präsentieren“ des Passwortes wird Authentisierung genannt. Da Sie ausschließlich nach einem Passwort gefragt werden um sich zu authentisieren, also nur einen einzigen Faktor angeben, spricht man in diesem Fall von einer Ein-Faktor-Authentisierung. Der Nachteil ist, dass sich jeder in Ihrem Namen auf der Social-Media-Plattform einloggen kann, der in Kenntnis Ihres Passworts gelangt ist. Bei einer Authentisierung mit mehreren Faktoren werden Sie zusätzlich zum Passwort z. B. nach einer Chipkarte, einem Einmalcode aus einem TAN-Generator (z. B. einer App) oder einem Fingerabdruck gefragt. Je nach Ausgestaltung des Authentisierungsprozesses handelt es sich um eine mehrstufige oder eine Multi-Faktor-Authentisierung (MFA).

Bei einer mehrstufigen Authentisierung werden die Faktoren nacheinander separat geprüft (z. B. zuerst Nutzername/Passwort und nach erfolgreicher Prüfung danach ein Einmalcode aus einem TAN-Generator) und sind dadurch getrennt voneinander angreifbar. Bei einer Multi-Faktor-Authentisierung sind die Faktoren miteinander verknüpft (z. B. PIN-Eingabe entsperrt Chipkarte) und dadurch nicht getrennt angreifbar, was die Sicherheit wesentlich erhöht.

Als Beispiel sei angenommen, ein Nutzer muss sich zunächst in der ersten Stufe mit Nutzername/Passwort authentisieren und wird erst nach erfolgreicher Überprüfung in einer zweiten Stufe nach einem Fingerabdruck gefragt. Für einen Angreifer ist es daher möglich, zunächst das Passwort zu kompromittieren (z. B. durch Social Engineering, Phishing, …). Daher können Angriffe auf den Fingerabdrucksensor gezielt für Konten mit kompromittierten Passwörtern durchgeführt werden. Um diesen Angriffsvektor auszuschalten, darf eine Rückmeldung zum Erfolg eines Authentisierungsversuchs erst erfolgen, nachdem sowohl Passwort als auch Fingerabdruck präsentiert wurden.

Was tun?

Es gibt drei Kategorien von Authentisierungsfaktoren, die miteinander kombiniert werden können:

Wissen

Wissensfaktoren sind Geheimnisse, die nur die berechtigte Person kennt. Darunter fallen z. B. Passwörter, PINs oder Passphrasen. Wissensfaktoren können zusätzlich mit einem Fehlbedienungszähler ausgestattet werden, sodass weitere Anmeldeversuche z. B. nach drei Falscheingaben (zeitlich) blockiert werden. So kann man sich vor Brute-Force-Attacken schützen und die Sicherheit weiter erhöhen.

Besitz

Besitz ist etwas, über das Sie die physische Kontrolle ausüben. Z. B. eine Smartcard/ein Ausweis, ein physischer Hardwaretoken mit einem RFID-Chip oder auch ein Softwaretoken/-zertifikat. Wichtig ist, dass der Besitzfaktor gegen Duplizierung und Manipulation geschützt sein muss.

Biometrie

Biometrie ist eine physische Eigenschaft einer Person, die als Sicherungsfaktor genutzt wird. Darunter zählen z. B. Fingerabdruck, Gesichtserkennung oder Retina.

Grundsätzlich ist eine Kombination von beliebig vielen Faktoren aus beliebigen Kategorien möglich. Wichtig ist die Verknüpfung von Faktoren aus verschiedenen Kategorien, wie z. B. bei der Online-Ausweisfunktion. Hier entsperrt eine sechsstellige PIN (Wissen) einen kryptografischen Schlüssel, der im Chip der Ausweiskarte sicher gespeichert ist (Besitz).

Die bloße Verwendung von zwei oder mehr Faktoren sagt dabei noch nichts über die Sicherheit der Gesamtlösung aus. Für die Wahl und Umsetzung von Mechanismen und Maßnahmen können die Vertrauensniveaus und deren Ausgestaltung gemäß der BSI TR-03107 hilfreich sein.

Was ist das Vertrauensniveau?

Das Vertrauensniveau (Level of Assurance) beschreibt das Vertrauen z. B. in den Nachweis einer Identität im Zuge einer Authentisierung gegenüber einem Onlinedienst oder auch bei der Identifizierung einer natürlichen Person durch verschiedene Maßnahmen. Hierfür definiert die BSI TR-03107 die Vertrauensniveaus normal, substanziell und hoch (im eIDAS-Kontext low, substantial, high). Diese betrachten den potenziellen Schaden für die betroffene Stelle bei einer Kompromittierung des Systems, wie z. B. gering bzw. verkraftbar (normal), erheblich bzw. geschäftsschädigend (substanziell) oder unmittelbar existenzbedrohend (hoch) und erheben daran den Schutzbedarf. Das Vertrauensniveau eines Authentisierungssystems beinhaltet neben den technischen Eigenschaften des Authentisierungsmittels auch dessen Lebenszyklus (wie Ausgabe, Sperrung, Widerruf), die verwendeten Protokolle und auch die Absicherung von Kommunikationsbeziehungen, sowie eine Resistenz gegen Angreifer mit entsprechenden Möglichkeiten (Angriffspotenzial, siehe auch ISO 18045 sowie die Common Criteria Evaluation Methodology (CEM)).

Im NIS-2-Umsetzungsgesetz ist nicht vorgegeben, dass die eingesetzte Authentisierungslösung ein bestimmtes Vertrauensniveau erreichen muss. Auf Basis der verpflichtenden Risikoanalyse muss die betroffene Einrichtung selbst entscheiden, welche Lösung Sie umsetzen möchte. Hierbei können die Anforderungen für Vertrauensniveaus aus der eIDAS-Verordnung oder der BSI TR-03107 als Orientierungshilfe dienen.

Was ist eine sichere Kombination von Faktoren?

Mit einem einzelnen Faktor kann bei entsprechender Ausgestaltung, z. B. anhand der Umsetzung der Grundschutz++ Anforderungen, das Vertrauensniveau normal erreicht werden.

Für die Vertrauensniveaus substanziell und hoch muss (mindestens) eine Zwei-Faktor-Authentisierung mit zwei Faktoren aus unterschiedlichen Kategorien verwendet werden, die nicht unabhängig voneinander angreifbar sind. Ein mehrstufiger Anmeldeprozess ist ungeeignet.

Für den Schutz gegen Angreifer mit besseren technischen Möglichkeiten werden für die höheren Vertrauensniveaus häufig Besitzfaktoren wie Chipkarten verwendet, da hier die Manipulationssicherheit durch entsprechende Zertifizierungen (z. B. nach Common Criteria (CC)) nachgewiesen werden kann.

Normal

Ein entsprechend ausgestalteter Faktor

widerstandsfähig gegen Angriffspotenzial enhanced-basic

Substanziell

Zwei-Faktor-Authentisierung

widerstandsfähig gegen Angriffspotenzial moderate

Hoch

Zwei-Faktor-Authentisierung

manipulationssicheres Authentisierungsmittel

widerstandsfähig gegen Angriffspotenzial high

Generell gibt es für das Authentisierungsmittel und gegebenenfalls seine einzelnen Faktoren Mindestanforderungen für eine Eignung zum Erreichen eines bestimmten Vertrauensniveaus. Das betrifft z. B. die Zeichenlänge von Passwörtern und PINs sowie Fehlbedienungszähler, oder die Art und Weise der Speicherung kryptografischer Schlüssel.

Das Gesamtsystem ist nach dem Prinzip des „schwächsten Glieds“ zu bewerten. Dabei spielt zum Beispiel eine Rolle, wie eine Person bei der Registrierung seine Identität nachweist, wie die Authentisierungsmittel an die registrierte Person übergeben werden oder ob die Person einen Besitzfaktor persönlich ausgehändigt oder per Post zugestellt bekommt.

Quelle: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-MFA/NIS-2-MFA_node.html#doc1190620bodyText4

Infomaterial Download