Als IT-Dienstleister oder IT-Verantwortliche Person eines Unternehmens kennt man die Herausforderung. Multi-Faktor-Authentifizierung (MFA) sollte aus Sicherheitsgründen aktiviert werden, jedoch fehlt oft das Bewusstsein und die Akzeptanz bei den Anwendenden und Entscheidungsträgern/-innen. Drei unterschiedliche Ansätze, um den zusätzlichen Aufwand der Arbeitnehmenden zu reduzieren und damit die Akzeptanz auch bei Entscheidungsträger/-innen von Unternehmen zu erhöhen.
Es gibt einige unterschiedliche Ansätze für eine MFA welche von diversen Herstellern standardmässig angeboten werden. Dazu gehören zeitbasierten Einmalkennwörter aus einer App, Push Benachrichtigungen, SMS, Telefonanrufe oder auch E-Mails. Alle diese Methoden haben ihre Vor- und Nachteile bezüglich Sicherheit und Benutzerfreundlichkeit. Aber auch das Speichern von bisherigen Anmeldungen für einen bestimmten Zeitraum gehört in vielen Fällen zum Standard.
Conditional Access
Mit Conditional Access von Microsoft Azure werden zusätzlich zu den oben genannten Methoden weitere Signale für eine MFA verwendet. Anhand dieser Benutzer- und Geräteidentitäten wird bestimmt, ob eine zweite Benutzerinteraktion (MFA) benötigt wird um sicherzustellen, dass es sich um eine autorisierte Person handelt oder ob es überhaupt notwendig ist, diese zusätzlich zu überprüfen. Damit können die Benutzerinteraktionen reduziert und somit das Benutzererlebnis erhöht werden, ohne Kompromisse bei der Sicherheit zu machen.
1. Standort Informationen (IP-Adressen)
Die aus meiner Sicht wohl spannendste Möglichkeit ist die Ausnahmen von IP-Adressen. Durch Hinterlegen der fixen IP-Adresse des Unternehmens werden Zugriffe aus dem Firmeninternen Netzwerk nicht oder nur einmalig mit MFA geprüft. Somit wird MFA nur auf Zugriffe von ausserhalb des Unternehmens wie zum Beispiel aus dem Homeoffice angefordert.
2. MFA nur bei sensiblen Daten und Administratoren
Nicht jeder Zugang/Login hat Zugriff auf sensible oder unternehmenskritische Daten. Durch konsequentes Verwalten der Benutzerrechte können diese Informationen dazu verwendet werden, MFA nur anzufordern, wenn auf sensible Daten zugegriffen werden.
3. Bekannte Geräte zulassen
Diverse Geräteinformationen wie eine Geräte ID können ebenfalls dazu verwendet werden die MFA Anforderung zu steuern. Damit ist es möglich, dass Geräte des Unternehmens keine MFA erfordern.
Die Ablehnung hat viele Gründe
MFA funktioniert gut, ist eigentlich keine Hexenkunst und ist vor allem beim E-Banking sehr verbreitet. Einer Einführung von MFA in Unternehmen scheint nichts im Wege zu stehen. Trotzdem scheitert es immer wieder bei der Anwendung oder Akzeptanz. Die Gründe sind vielfältig:
- Zu viel Aufwand, um 6 Zahlen abzuschreiben -> unproduktiv
- Das Smartphone möchte man nicht immer bei sich tragen
- Das private Smartphone möchte man nicht für unternehmerische Zwecke nutzen
Und dann gibt es noch diejenigen welche bereits bei der erstmaligen Installation Schwierigkeiten bekunden und damit eine Abneigung gegen neue Dinge entwickeln. Alle diese Faktoren führen dazu, dass Unternehmen beim Wechsel in die Cloud das Thema Sicherheit vernachlässigen und auf MFA verzichten möchten.
Ausgewogen soll es sein
Dabei gilt es zu beachten, dass je weniger die Anwender in Berührung mit MFA kommen, desto weniger gewöhnen Sie sich daran. Dies führt wiederum dazu, dass im Falle einer Anforderung die Anwendenden nicht wissen was sie damit machen sollen. Die Schwierigkeit liegt darin eine ausgewogene Balance zu finden zwischen MFA Anfordern und diese weg zu lassen.