WatchGuard Blog

MFA-Müdigkeit im Unternehmen verhindern

Die Implementierung einer Multifaktor-Authentifizierung (MFA) ist für Unternehmen zweifellos ein wichtiger Schritt, um IT-Infrastrukturen und Daten zu schützen. Doch gerade, wenn es um die Absicherung und Verwaltung digitaler Identitäten geht, gilt es – sowohl aus Anwender- als auch Administratorensicht – unterschiedlichste Ansprüche rund um Effizienz, Komfort und Sicherheit unter einen gemeinsamen Hut zu bringen. Dies ist eine nicht zu unterschätzende Herausforderung, die jedoch gemeistert werden kann. 

Vor allem Anwender stehen dem MFA-Einsatz nach wie vor meist kritisch gegenüber, sehen die zusätzliche Authentifizierung eher als Hindernis, das die Produktivität herabsetzt, und befürchten „unnötigen“ Aufwand. Wenn es darum geht, sich zwischen Geschwindigkeit und Sicherheit entscheiden zu müssen, geben viele der Geschwindigkeit den Vorrang. Glücklicherweise gibt es MFA-Lösungen, mit denen das eine das andere nicht ausschließt. Richtig angewendet, tragen diese dazu bei, die Cybersicherheit deutlich zu erhöhen – ohne dass dabei die Produktivität auf der Strecke bleibt oder sich IT-Verantwortliche und Endanwender in zusätzlicher Komplexität verstricken.

Mit der richtigen MFA-Lösung die Akzeptanz fördern

Bei der Auswahl einer geeigneten MFA-Lösung müssen Unternehmen die Bedürfnisse ihrer eigenen Organisation bewerten und dabei sowohl die Art der zu schützenden Daten als auch die Komplexität der Sicherheitsanforderungen ins Kalkül ziehen. Dies ist enorm wichtig, da immer die Gefahr besteht, dass Benutzer dieser Technologie überdrüssig werden und in Folge versuchen, sie zu umgehen. Die Wahl der richtigen Lösung kann den Unterschied ausmachen. Die folgenden Tipps sollen dazu beitragen, MFA-Verdruss zu verhindern. In dem Zusammenhang kommt es vor allem darauf an, die Endnutzer gezielt abzuholen und aufzuzeigen, wie man MFA-Prozesse effektiv und richtig im Arbeitsalltag integriert.

1. MFA-Aufklärungsarbeit leisten

Auch wenn es banal klingt: Am besten tritt man Widerstand und Unsicherheit mit Aufklärung und Information entgegen. Der Mensch ist in der Regel das schwächste Glied in der Abwehrkette, daher sollte umso mehr Wert darauf gelegt werden, Anwendern die Bedeutung der Multifaktor-Authentifizierung zu vermitteln.

2. MFA und SSO (Single Sign-On) kombinieren

Single Sign-On-Authentifizierung trägt dem Anspruch der Anwenderfreundlichkeit ganz klar Rechnung. Der Zugriff auf Unternehmensanwendungen erfolgt gleichzeitig sicher und komfortabel. Auf diese Weise können Vorbehalte gegenüber der Einführung der MFA-Technologie wirksam abgebaut werden.

3. Authentifizierungseinstellungen und -vorgaben überprüfen

Unternehmen sollten sich vergewissern, dass die MFA-Lösung sicher konfiguriert ist und alle Benutzer wissen, wie man sie richtig einsetzt. Darüber hinaus kann es von Vorteil sein, verschiedene Authentifizierungsfaktoren bzw. -prozesse auf der Grundlage von Rollen zu bestimmen. So kann die Abfrage besonders verlässlicher Faktoren und komplexerer Authentifizierungsschritte beispielsweise bei Anwendungen und Konten mit hoher Kritikalität im Geschäftsalltag Wirkung entfalten, während in weniger kritischen Szenarios einfachere und dennoch effektive Authentifizierungsläufe Anwendung finden.

4. MFA-Leistungsfähigkeit im Zuge neuer Angriffstrends hinterfragen

Inzwischen erfreut sich eine neue Social-Engineering-Technik, die auf dem Szenario der „MFA-Müdigkeit“ aufsetzt, unter Hackern immer größerer Beliebtheit. Der Grund: die hohe Effektivität. Dabei senden böswillige Akteure zahlreiche MFA-Anfragen in der Hoffnung, dass der eigentliche Benutzer aufgrund der überhandnehmenden Warnmeldungen irgendwann so frustriert ist, dass er die MFA-Lösung deaktiviert – im Glauben, diese funktioniere nicht richtig. Fälle, in denen sich ein Cyberbösewicht als Support-Mitarbeiter ausgibt und den Code anfordert, den er benötigt, um sich beim Benutzerkonto anzumelden, sind keine Seltenheit, ebenso wie Prompt Bombing-Angriffe.

Eine gute MFA-Lösung muss sich konsequent weiterentwickeln und sollte Funktionen umfassen, die an die neuesten Strategien der Cyberkriminellen angepasst sind. So ist es beispielsweise sinnvoll, wenn Spam-Nachrichten, die auf einen Phishing-Angriff hindeuten, automatisch blockiert werden können. Wenn sich in einem solchen Fall Push-Benachrichtigungen deaktivieren lassen, wird nicht nur der MFA-Müdigkeit auf Mitarbeiterseite vorgebeugt, sondern auch Angreifern die Tour vermasselt.

86 Prozent der Angriffe auf Webanwendungen von Unternehmen sowie fast 40 Prozent aller BEC-Angriffe beruhen auf dem Diebstahl von Zugangsdaten. MFA sorgt für deutlich mehr Schutz, schließlich geht es darum, sich erst zu vergewissern, ob derjenige, der sich Zugang zu einer Online-Anwendung oder einem Konto verschaffen will, auch wirklich der ist, der er vorgibt zu sein. Die Wirksamkeit einer MFA-Lösung steht und fällt jedoch mit der Anwenderfreundlichkeit. Wenn Vorbehalte der Endnutzer nicht entkräftet werden können, kann selbst die beste MFA-Lösung ihre Stärken nicht ausspielen.

Unternehmen, die es schaffen, Sicherheit und Anwenderfreundlichkeit im Hinblick auf MFA-Prozesse in Einklang zu bringen, haben ganz klar die Nase vorn, wenn es darum geht der von kompromittierten Passwörtern ausgehenden Gefahr zu begegnen. Denn diese wird keinesfalls kleiner – ganz im Gegenteil.