Multi-Faktor-Authentifizierung (MFA)

Mittlerweile spielt das Internet in nahezu allen Lebensbereichen eine große Rolle: Angefangen beim Onlineshopping über das Onlinebanking, die Nutzung von Streaming-Portalen, Onlinezugängen von Behörden und Ämtern bis hin zur Arbeit im Homeoffice über die Cloud oder einen VPN-Zugang. Was auf der einen Seite eine große Erleichterung bedeutet, Wege und Zeit spart, birgt auf der anderen Seite ein hohes Sicherheitsrisiko. 

Phishing, Malware, Brute Force, Ransomeware, Fake Onlineshops oder Credential Cracking: Es vergeht kaum ein Tag ohne eine Meldung über Cyberangriffe, die das Ziel haben, an die Zugangsdaten von Nutzer:innen und damit letztendlich an ihr Geld zu kommen. 2019 lag die Anzahl der Opfer von Internetkriminalität in Deutschland bei rund 18 Millionen.

Die Kombination aus Benutzername und Passwort bietet einen gewissen Schutz vor unberechtigten Zugriffen. Allerdings lassen sich diese Daten vergleichsweise einfach ausspähen. Schwieriger wird es, wenn ein weiterer unabhängiger Faktor zur Authentifizierung eines Nutzers benötigt wird, um auf Konten, Anwendungen oder vertrauliche Daten zugreifen zu können. 

Bei der Multi-Faktor-Authentifizierung werden verschiedene Technologien genutzt, um die Identität eines Nutzers zu bestätigen. Die verwendeten Technologien müssen dabei aus mindestens zwei unterschiedlichen Authentifizierungsfaktoren bestehen, die miteinander kombiniert werden. Die Multi-Faktor-Authentifizierung läuft in mehreren Schritten ab.In einem ersten Schritt gibt der Nutzer beispielsweise seinen Benutzernamen und ein Passwort ein, um Zugang zu einer Anwendung oder einem Benutzerkonto zu erhalten. In einem zweiten Schritt wird die Identität des Nutzers noch einmal überprüft. Hierzu wird der Faktor, der zuvor genutzt wurde, mit einem weiteren Faktor kombiniert. Erst mit dem zusätzlichen Identitätsnachweis wird dem Nutzer der Zugriff gewährt.

Das MFA-Verfahren beruht auf der Kombination von mindestens zwei oder mehrerer unterschiedlicher Faktoren zur Prüfung der Identität eines Nutzers zum Tragen, um Anmeldeverfahren abzusichern und Transaktionen zu verifizieren. Diese Faktoren lassen sich in drei unterschiedliche Kategorien einordnen:

Der Faktor „Wissen“ basiert auf Informationen, über die nur der Nutzer selbst verfügt. Dabei kann es sich um eine PIN, ein Passwort oder die Antwort auf eine Sicherheitsfrage handeln. Diese Informationen dürfen nur der Benutzerin oder dem Benutzer bekannt sein und müssen so beschaffen sein, dass sie weder zu erraten noch zu ermitteln sind.Sichere Passwörter beispielsweise bestehen aus mindestens 10 Zeichen, enthalten Groß- und Kleinbuchstaben sowie Sonderzeichen und stehen in keiner Verbindung zu dem Nutzer. 

Der Faktor „Besitz“ beruht auf Objekten, die sich physisch im Besitz von Nutzern befinden. Hierbei kann es sich um ein Smartphone handeln, über das der Nutzer beispielsweise ein One Time Passwort erhält. Weitere Gegenstände, um sich zu authentifizieren möchte, sind Ausweise, Zugangskarten, Schlüssel, Software-Zertifikate oder ein Hardware-Token. Entsprechend muss man diese Gegenstände immer bei sich tragen und sie vor Zugriff unbefugter schützen. 

Der Begriff Inhärenz beschreibt den Umstand, dass manche Eigenschaften notwendigerweise zu bestimmten Sachen dazugehören. Im Fall der Multi-Faktor-Authentifizierung beschreibt der Faktor „Inhärenz“ eindeutige physische Merkmale, die unverwechselbar mit der Identität eines Nutzers verbunden sind. Zu diesen sogenannten biometrischen Merkmalen zählen Fingerabdrücke, das Gesicht, das Muster der Iris oder die Stimme eines Nutzers, die mithilfe von Scannern oder Stimmerkennungssystemen überprüft werden.Die biometrische Authentifizierung umfasst zudem die sogenannte Verhaltensbiometrie. Dabei werden Nutzer auf Basis der Interaktion mit ihrem Computer oder ihrem Smartphone beispielsweise anhand von Tastenanschlägen, Wischmustern oder Mausbewegungen authentifiziert.

Dank der Integration von maschinellem Lernen (ML) und künstlicher Intelligenz (KI) in die Multi-Faktor-Authentifizierung werden beispielsweise auch die standort- oder die risikobasierte Authentifizierung möglich.Die standortbasierte MFA greift auf die Ortung des geografischen Standorts oder auf eine IP-Adresse zu. Bei der risikobasierten MFA spielt das Nutzerverhalten eine Rolle. Hierbei wird überprüft, ob ein Nutzer zu den üblichen Zeiten auf eine Anwendung zugreift, von welchem Gerät der Zugriff erfolgt oder ob eine Verbindung über ein privates oder ein öffentliches Netzwerk stattfindet. Bei einem abweichenden Verhalten muss sich ein Nutzer zusätzlich beispielsweise über ein One Time Password authentifizieren.

Die Zwei-Faktor-Authentifizierung (2FA) ist die einfachste Form Multi-Faktor-Authentifizierung, bei der maximal zwei Faktoren miteinander kombiniert werden, um die Anmeldung eines Nutzers zu authentifizieren. In der Regel werden hier die Faktoren Wissen und Besitz kombiniert.Im Vergleich dazu ist die Multi-Faktor-Authentifizierung aufwendiger. Hier werden in mehreren Schritten mehr als zwei Faktoren im Rahmen des im Authentifizierungsprozess miteinander kombiniert. Werden die drei Faktoren „Wissen“, „Besitz“ und „Inhärenz“ kombiniert, spricht man auch von der Drei-Faktor-Authentifizierung (3FA). Wird zu den drei Faktoren der Standort als vierter Faktor hinzugezogen, spricht man von der Vier-Faktor-Authentifizierung (4FA).

Der Vorteil der Multi-Faktor-Authentifizierung ist der zusätzliche Schutz vor Cyberkriminellen. Selbst wenn Zugangsdaten wie Benutzername und Passwort in die Hände unbefugter Dritter geraten, erhalten sie ohne einen weiteren Faktor keinen Zugriff auf Daten, Anwendungen oder Bankkonten.Entsprechend fordert die überarbeitete EU-Richtlinie über Zahlungsdienste (PSD2) von Zahlungsdienstleistern im Europäischen Wirtschaftsraum, dass elektronische Zahlungen zum Schutz der Kunden mit einer Multi-Faktor-Authentifizierung durchgeführt werden müssen, um die Anforderungen an eine starke Kundenauthentifizierung (Strong Customer Authentication, kurz SCA) zu erfüllen. 

Je mehr Faktoren bei der Multi-Faktor-Authentifizierung zum Einsatz kommen, desto komplexer werden die entsprechenden Prozesse. Diese Komplexität geht häufig zulasten der Benutzerfreundlichkeit (Usability): Geht ein Faktor verloren, bleibt der Zugang verwehrt, bis dieser ersetzt werden konnte.