Ob elektronischer Zahlungsverkehr, Cloud-Services und Webanwendungen, Netzwerke, Rechnersysteme oder Zutrittsberechtigung geschützter Bereiche – ein möglichst zweifelsfreier Identitätsnachweis ist hierbei von höchster Priorität. Viele der mehr als 40.000 europaweiten Datenschutzpannen hätten mit Sicherheit, durch entsprechende Prävention, verhindert werden können.
Das Passwort zur Anmeldung hat viele Mängel. Passwörter bieten keine ausreichend starke Identitätsprüfung. Alle, die das Passwort in die Hände bekommen, können einfach in einen Account einsteigen und einsehen, was sie brauchen. Darüber hinaus basiert die Sicherheit des Accounts ausschließlich auf der Stärke des Passworts, das, wie wir alle wissen, normalerweise nicht stark genug ist. Niemand erinnert sich gerne an Zeichenfolgen, welche Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Benutzende wollen etwas einfaches, was leicht zu merken ist – womit es leider dann auch, oft unwissentlich, einfach zu hacken ist.
Dies ist der Grund, weshalb wir Unternehmen die Multi-Faktor-Authentifizierung, kurz MFA genannt, empfehlen. Hierbei wird das Passwort als Mittel zur Zugriffskontrolle um einen weiteren „Faktor“ ergänzt. Aber zunächst einmal: Was ist MFA?
Die mehrstufige Authentifizierung (MFA) mit Office 365
Die mehrstufige Authentifizierung (MFA) bietet während der Anmeldung eine zusätzliche Schutzebene. Für den Zugriff auf Konten oder Apps müssen Nutzer einen zweiten Identitätsnachweis erbringen, zum Beispiel durch Scannen eines Fingerabdrucks, die Eingabe eines an das Mobiltelefon gesendeten Codes, oder durch Freigabe in einer Authenticator App auf dem Mobiltelefon.
Neben der Eingabe des Benutzernamens und des Passwortes wird also ein zweites Authentifizierungsverfahren erzwungen. Dazu wird neben dem Benutzernamen und dem Passwort in der Regel, über ein im Besitz des Benutzers befindliches Medium, eine Freigabe erwartet. Dies kann ein Passwort, ein biometrisches Merkmal oder ein temporärer Zahlencode sein.
Bisher wurde das Loginverfahren mit einem Benutzernamen und einem Kennwort erledigt. Leider ist dies keine sehr gute Methode. Benutzernamen sind häufig einfach zu entdecken und da Kennwörter meist aufgrund ihrer Anforderungen nur schwer zu merken sind, neigen Benutzende dazu, einfache Kennwörter zu wählen oder dasselbe Kennwort auf vielen verschiedenen Websites zu verwenden.
Dies birgt eine große Gefahr, gerade, wenn Dritte beispielsweise durch Phishing an Ihre Daten gelangen, oder Ihnen durch Verschlüsselung Ihrer wichtigen Unternehmensdaten den Zugang komplett sperren. Auf dieser Basis können Erpressungen mit sehr hohen Geldforderungen folgen.
Mit MFA schützen sie Ihren Account mit einem zweiten Schritt. Im Falle von Microsoft 365 ist dies eine Authenticator App auf Ihrem Mobiltelefon. Sie loggen sich online ein, geben Benutzername und Passwort ein. Nun wird eine Pushnachricht in die Authenticator App gesendet, Sie öffnen die App und geben das Login frei, wenn Sie sich selbst angemeldet haben. Waren Sie es nicht selbst, geben Sie das Login in der App nicht frei. Ein möglicher Angreifer bleibt ausgesperrt.
Laut Microsoft können 99,9 Prozent der Angriffe durch das Hinzufügen von Multi-Faktor-Authentifizierung verhindert werden.
MFA von Microsoft 365 in zwei unterschiedlichen Varianten
Einfache MFA:
Die einfache Version der MFA für Microsoft 365 schützt Unternehmensaccounts, wie bereits oben beschrieben über einen zweiten Faktor. Dieser kann durch einen authentifizierungs-Anruf, eine Verifizierungs-SMS mit einem Code, einem temporären Code aus einer Authenticator App, oder durch die einfache Freigabe des Logins über eine Push-Nachricht in einer Authenticator-App erfolgen.
MFA mit bedingtem Zugriff:
Bei der MFA mit bedingtem Zugriff können Regeln und Bedingungen definiert werden, unter denen immer eine MFA erfolgen muss. Ebenso können aber auch Bedingungen definiert werden, bei denen einen Nutzende die MFA nicht ausführen müssen. Dort reicht eine einfache Anmeldung mit Benutzername und Passwort aus.
Ein Beispiel:
Greift ein Nutzender, unabhängig vom Standort und dem Land in dem er sich befindet, auf Unternehmens-Apps zu, dann ist eine MFA erforderlich. Greift der Benutzende jedoch direkt von einem der bekannten Unternehmensstandorte auf Unternehmens-Apps zu, dann reicht eine einfache Authentifizierung.
In diesem Beispiel wird die MFA immer angefordert, es sei denn, der Loginversuch stammt von einer bekannten IP-Adresse von einer Ihrer Unternehmensstandorte. Diese IP ist dem System bekannt und wird somit beim Versuch des Zugriffs erkannt und die Zugriffsfreigabe erfolgt durch die einfache Username und Passwort-Abfrage. Bei einer unbekannten IP-Adresse muss demnach also immer eine MFA ausgeführt werden.
Würde in einem solchen Fall eine angreifende Person im Besitz von Nutzername und Passwort sein, könnte sie dennoch keinen Zugriff erhalten, da von außerhalb, und somit von einer unbekannten IP-Adresse, zugegriffen wird. MFA mit Conditional Access kann somit unterschiedliche Bedingungen abfragen wie etwa bekannte Orte, unternehmensverwaltete/ -konforme Geräte, sowie Zugriff mit bestimmten Apps etc.
Sie möchten mehr über Sicherheit in Microsoft 365 erfahren?
Die Multifaktor Authentifizierung ist nur ein kleiner Baustein im Gefüge der Sicherheitsmaßnahmen von Microsoft 365. Eine Vielzahl weiterer Stellschrauben kann Ihr Business schützen. Wir unterstützen Sie gern, bei der Umsetzung Ihrer Sicherheitsstrategie. Sprechen Sie gerne uns an.
Unsere Microsoft Teams Workshops
Haben Sie Interesse an Schulungen für Ihr Unternehmen, wenden Sie sich gerne direkt an Axel Steffen unter asteffen@dicide.de oder +49 171 4324043.