Warum ein Hardware-Authenticator sicherer ist als eine 2FA-App
Die Zwei-Faktor-Authentisierung ist ein Sicherheitsgurt gegen Identitätsdiebstahl und Datenverlust. Durch ausgefeilte Phishing-Kits und die aktuellen politischen Entwicklungen droht Unternehmen aber eine regelrechte 2FA-Angriffswelle. Höchste Zeit also, die eigenen Verfahren auf den Prüfstand zu stellen und unsichere Smartphone-Apps gegen einen Hardware-Authenticator zu tauschen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt angesichts der weltweiten politischen Entwicklungen eine erhöhte Bedrohungslage für Deutschland fest. Unternehmen, Organisationen und Behörden sollten demnach ihre IT-Sicherheitsmaßnahmen überprüfen und der gegebenen Bedrohungslage anpassen. Das gilt auch für die Zwei-Faktor-Authentisierung, denn nicht jedes 2FA-Verfahren bietet ausreichende Sicherheit. Im schlimmsten Fall steckt der Trojaner sogar direkt in der Authenticator-App auf dem Smartphone!
Wieso 2FA mit TOTP sicherer ist als mit Anrufen oder SMS
Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.
Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.
Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitl
Im Microsoft Entra (Azure AD) Blog der Tech Community hat Alex Weinert, Director of Identity Security bei Microsoft, schon 2020 dringend von telefonbasierten 2FA-Lösungen abgeraten, die Einmalpasswörter per SMS und Sprachanruf versenden. SMS- und Sprachprotokolle nutzen keine Verschlüsselung und sind abhörbar. Zudem drohen Angriffe über Zweit-SIM-Karten (SIM-Swapping) oder Trojaner, die SMS auf dem Smartphone abfangen. Die telefonbasierte Zwei-Faktor-Authentisierung birgt aber noch ganz andere Gefahren. So senden Hacker, die bereits den Benutzernamen und das Passwort eines Anwenders (den ersten Faktor) besitzen, inzwischen ganze Anfrageserien zur telefonbasierten Authentisierung an deren Handy, um auch an den zweiten Faktor zu gelangen.
Drückt der Nutzer nun die #-Taste, um seine 2FA-Anmeldung zu bestätigen, erhalten die Angreifer vollen Zugriff auf dessen Nutzerkonto. Ein Mitglied der Ransomwaregruppe Lapsus$ beschreibt das simple Verfahren wie folgt: „Rufen Sie den Mitarbeiter hundertmal um ein Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren.“ Auf diese Weise kaperten die Hacker laut eigenen Angaben auch den VPN-Zugang eines Microsoft-Mitarbeiters. Ganz neu ist die Methode aber nicht, denn laut den Sicherheitsexperten von Mandiant nutzte zuvor auch schon die Hackergruppe Nobelium, die US-Geheimdienste dem russischen Auslandsgeheimdienst SVR zurechnen, das sogenannte „MFA Prompt Bombing“ für ihre Angriffe.
Deutlich sicherer als die Übermittlung des zweiten Faktors per Anruf oder SMS sind zeitlich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.ich limitierte TOTP-Einmalkennwörter. Diese Time-based One-Time-Passwords lassen sich mit Hilfe eines Authenticators anhand eines geheimen Schlüssel generieren. Die Vertraulichkeit dieses Secret-Keys ist beim Einsatz von 2FA und TOTP allerdings entscheidend.
Wie riskant Authenticator-Apps auf dem Smartphone sind
Laut dem Mobile Security Index 2021 von Verizon haben 40 Prozent der befragten Firmen erkannt, dass mobile Geräte die größte IT-Sicherheitsbedrohung für ihr Unternehmen darstellen. Trotzdem setzen viele Unternehmen bei der Zwei-Faktor-Authentisierung weiterhin auf Smartphone-Apps. Das kann durchaus fatale Folgen für die Vertraulichkeit der Secret-Keys und anderer Login-Daten haben:
- Phishing-Overlays: Der im März 2022 entdeckte Trojaner Escobar entwendet nicht nur Bankdaten und SMS-Nachrichten, sondern auch über den Google Authenticator generierte TOTP-Einmalpasswörter für den 2FA-Login. Laut den Cyble Research Labs nutzt die als McAfee-Antivirusprogramm getarnte Malware Overlay-Anmeldeformulare, um Eingabemasken zu verdecken und unbemerkt Login-Daten zu stehlen.
- Malware-Dropper: Forscher von Pradeo entdecken Anfang 2022 eine Smartphone-App namens 2FA Authenticator, die über Google Play mehr als 10.000-mal installiert wurde. Cyberkriminelle haben mit dieser App die Malware Vultur nachgeladen, die sensible Daten durch Bildschirmaufzeichnungen entwendet. Über derartige Malware-Dropper lässt sich theoretisch jedwede Art von Schadsoftware auf ein Smartphone schleusen.
- Remote-Access-Trojaner: Im August 2019 berichtet Avira über den Banking-Trojaner Cerberus, der gestohlene Bankdaten an den Server des Angreifers versendet. Die Sicherheitsforscher von ThreatFabric entdeckten im Januar 2020 eine neue Version der Schadsoftware, die es nun auch auf die 2FA-Token des Google Authenticator sowie PIN-Codes und Wischmuster für die Bildschirmsperre des Smartphones abgesehen hat.
Diese Beispiele zeigen deutlich, dass die Zwei-Faktor-Authentisierung zwar eine sinnvolle, zusätzliche Sicherheitsebene bietet, aber Unternehmen nicht per se vor Hackerangriffen schützt. Das gilt insbesondere dann, wenn Mitarbeitende die für den 2FA-Login benötigten TOTP-Einmalkennwörter auf kompromittierbaren Geräten generieren, die Daten über eine Internet-Verbindung in Echtzeit an den Angreifer weiterleiten können.
Warum ein Hardware-Authenticator deutlich besser schützt
Deutlich sicherer als eine Authenticator-App auf dem Smartphone sind TOTP-Generatoren mit dedizierter Hardware, die ohne Internet-Verbindung arbeiten. Eine handliche und intuitiv bedienbare Lösung ist beispielsweise der REINER SCT Authenticator, der bis zu 60 Benutzerkonten verwaltet. Das kompakte Gerät lässt sich über QR-Codes ebenso leicht konfigurieren wie eine Smartphone-App und bietet Unternehmen höchste Sicherheit:
- Keine Malware: Als geschlossenes System mit eigener Hardware „Made in Germany“ ist der REINER SCT Authenticator deutlich sicherer als eine Smartphone-Lösung und vor externen Angriffen bestmöglich geschützt. Schadsoftware hat hier keine Chance.
- Kein Datenklau: Der hardwarebasierte Authenticator nutzt keine Online-Dienste und arbeitet ohne Internet-Verbindung. Eine Echtzeit-Übermittlung der zeitlich limitierten TOTP-Einmalkennwörter an potentielle Angreifer ist somit ausgeschlossen.
- Keine Schatten-IT: Eine unternehmensweite Nutzung des Hardware-Authenticators verhindert eine kaum administrierbare Schatten-IT durch private, womöglich schon längst nicht mehr mit Sicherheitsupdates versorgte Smartphones.
Angesichts der Smartphone-Gefahren stellen sich selbst private Anwender die Frage, ob eine Authenticator-App noch eine ausreichende „Sicherheit nach dem Stand der Technik“ garantiert. Unternehmen hingegen müssen sich diese Frage stellen – nicht nur, um die eigene IT-Infrastruktur zu schützen, sondern auch, um die strengen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen. Gegebenenfalls kann es dabei sogar Sinn machen, für Mitarbeitende die ausschließliche Verwendung der Zwei-Faktor-Authentisierung und Nutzung eines Hardware-Authenticators durch eine entsprechende Verpflichtungserklärung zu regeln.
Welche Vorteile ein Hardware-Authenticator für die IT hat
Neben den Sicherheitsaspekten bieten unternehmensweit einheitliche, hardwarebasierte Endgeräte für die Zwei-Faktor-Authentisierung auch diverse Vorteile für die IT-Administration. Denn: Lösungen wie der REINER SCT Authenticator sind „Easy to Use – Easy to Integrate – Easy to Support“. Die intuitive Bedienung reduziert Support-Anfragen beim Ausrollen der Geräte. Eine geschäftliche und private Nutzung des Hardware-Authenticators stellt keinerlei Risiko dar, sondern erhöht eher das Bewusstsein für IT-Sicherheit. Und die Pflege verschiedener Geräteversionen oder gar verschiedener Smartphone-Welten (iPhone/Android) entfällt komplett.
Letztlich entlasten einheitliche Lösungen für 2FA und TOTP die unternehmenseigene IT, und so schaffen sie mehr Zeit für Mitarbeiterschulungen – Schulungen, die angesichts voll automatisierter Cyberangriffe und ausgefeilter Phishing-Kits dringend notwendig sind. Denn hier drohen die nächsten Angriffswellen: Mindestens 1.200 Phishing-Kits, die 2FA-Sicherheitscodes durch Man-in-the-Middle-Angriffe erfassen oder abfangen, haben Wissenschaftler der Stony Brook University und der Palo Alto Networks bereits identifiziert.