Zwei-Faktor-Authentifizierung schützt, wirklich!

Kürzlich hat ein Unternehmen für IT-Sicherheitslösungen eine Werbekampagne mit der Botschaft gestartet, dass 48 Prozent der Cybervorfälle nicht durch eine Zwei-Faktor-Authentifizierung verhindert werden könnten. Die Zwei-Faktor-Authentifizierung wird hierbei als ein grundsätzlich schwaches Sicherheitsinstrument betrachtet. Die – wenig überraschende – Empfehlung lautet, dass ein umfassender Schutz nur vorhanden sei, wenn die Dienste des werbenden Unternehmens in Anspruch genommen würden. Nur dann könne sichergestellt werden, dass die Einrichtung der Zwei-Faktor-Authentifizierung richtig stattgefunden hat.

Selbst wenn die Behauptung wahr wäre, wird eine viel wichtigere Botschaft verschwiegen: Mehr als die Hälfte der Cyberangriffe können durch den Einsatz einer Zwei-Faktor-Authentifizierung verhindert werden! Hierzu will ich ein, zwei wichtige Punkte aufzeigen:

1. Woher kommen die „48 Prozent??

Die Behauptung, dass „48 Prozent der Cybervorfälle? nicht hätten vermieden können, fußt auf eine Deloitte-Studie über die Vorteile der Zwei-Faktor-Authentifizierung aus dem Jahr 2014. In der Einleitung zu diesem Bericht zitiert die international tätige Unternehmensberatung zwei Statistiken über Cybervorfälle im US-amerikanischen Regierungsapparat: So waren im Jahr 2013 etwa 65 Prozent der Vorfälle auf einen Missbrauch von Authentifizierungsdaten zurückzuführen oder hätten mittels Zwei-Faktor-Authentifizierung verhindert werden können. Ein Jahr später, 2014, lag diese Zahl bei 52 Prozent.

Die empirische Quelle für eine Werbebotschaft ist somit eine fünf Jahre alte Statistik, die aus dem Zusammenhang gerissen und nicht näher interpretiert wurden. So gibt es keine weiteren Informationen über die Anzahl der Vorfälle pro Jahr oder über Verbesserungen im Sicherheitsapparat der Regierungsnetze, gar über die eigentlichen Ursachen für Cybervorfälle – menschliches Versagen und mangelnde Sensibilität, sprich Vorsicht.

2. Irreführende Terminologie

In der Meldung fällt auf, dass von „Angriffen“ gesprochen wird, während in der Studie und in der Studie „Vorfälle“ skizziert werden. Eine solche Rhetorik kann auf den Laien einen sehr dramatischen Eindruck machen. Hier sollte man sich vor Augen führen, dass der „Cybervorfall? ein sehr weit gefasster Begriff ist, der alle Angriffe umfasst: vom Regierungsmitarbeiter, der eine unerlaubte Software installiert hat, über eine versehentlich versendete E-Mail mit sensiblen Daten bis hin zu einem echten Cyberangriffen durch kriminelle Hacker. Die hier angewandte Terminologie und Argumentation ist irreführend und stellt ein wichtiges Sicherheitsinstrument in ein falsches Licht.

Um das Thema „Zwei-Faktor-Authentifizierung“ nachvollziehbar zu machen, möchte ich ein kurzes Beispiel erläutern, das wir alle aus unserem Alltag kennen: Nehmen wir an, es gebe eine Statistik, dass in 52 Prozent der Verkehrsunfälle die Verwendung eines Sicherheitsgurtes ein Menschenleben hätte retten können. Ist es also folgerichtig zu behaupten, dass in 48 Prozent der Verkehrsunfälle ein Sicherheitsgurt nicht hilfreich sei? Offensichtlich nicht. Viele Unfälle sind von geringerem Ausmaß, so dass das Leben der Beteiligten nicht gefährdet ist. In anderen Fällen hat auch die gefährliche Fahrweise des Autofahrers zur Unfallursache beigetragen, so dass ein Sicherheitsgurt am Ende auch nicht helfen konnte.

Fazit: In den meisten Verkehrsunfällen retten Sicherheitsgurte Leben – schützen aber nicht zwingend vor einem unachtsamen Verhalten der Verkehrsteilnehmer.

Übertragen wir dieses Beispiel nun auf die 2-Faktor-Authentifizierung. Viele Cybervorfälle halten sich ebenfalls im Rahmen – ihre Folgen sind ähneln einer Beule am Kotflügel. Es wird zwar Zeit und Geld benötigt, um den Vorfall und seine Folgen zu verarbeiten. Dabei steht jedoch nicht die eigene digitale Existenz auf dem Spiel. Bei manchem Cybervorfall könnte auch eine Zwei-Faktor-Authentifizierung nicht helfen. In den meisten Fällen sind eine veraltete Software, unlizensierte Programme von kostenlosen Download-Seiten oder willkürlich geklickte Links oder besuchte Webseiten, die Ursache für einen Cybervorfall. Ein solches Online-Verhalten, ist das Cyber-Äquivalent zu einer Autofahrt auf einer Klippe mit 200km/h: Ein angelegter Anschnallgurt bzw. Die Zwei-Faktor-Authentifizierung wird am Ende auch nicht helfen können.

Schlussendlich treibt das eingangs erwähnte IT-Unternehmen hier ein Produkt voran, das den Zustand eines Sicherheitsgurtes prüft. Das ist zwar wichtig, aber nur, wenn man bereits im Besitz eines solchen Schutzes ist und diesen auch ordnungsgemäß einsetzt. Unfallursachen lassen sich nicht durch physische Vorrichtungen, wie Gurte und Airbags, vermeiden, sondern durch ein verantwortungsvolles Verhalten und die Einhaltung von Sicherheitsbestimmungen.

Internetnutzer – ob privat oder beruflich – müssen zu einem verantwortungsvollen Surfverhalten angeregt werden. Botschaften wie diese forcieren ein fahrlässiges und unachtsames Verhalten und dienen nicht der Sicherheit von Unternehmen oder Internetnutzern.

Wie kann man sich wirklich schützen?

Es gibt keinen 100-Prozentigen-Schutz. Es gibt aber Möglichkeiten, die Ursachen und das Gefahrenrisiko zu vermeiden.

Die Installation neuer Updates, insbesondere von Sicherheits-Updates für Betriebssysteme oder der Einsatz sicherer Passwörter, sind bereits ein erster Schritt, ebenso wie der kritische Blick auf E-Mails mit unbekannten Absendern. Hier sollten keine Link angeklickt oder Anhänge geöffnet werden. Erst wenn solche Sicherheitsregeln befolgt werden, kann auch eine Zwei-Faktor-Authentifizierung wirksam greifen und, bei richtigem Einsatz, Konten und Daten vor unbefugten Zugriffen schützen. Die Zwei-Faktor-Authentifizierung ist ein wichtiges Sicherheitsinstrument, das einen effektiven Schutz vor unerlaubten Zugriffen auf die eigenen Daten bietet und Teil einer umfassenden Cybersicherheitsstrategie sein sollte. Wer sie nutzt, ist auf der sicheren Seite – ohne wenn und aber!

Autor: Benoit Flippen

(c)2019
Vogel Communications Group