MFA und weitere Security-Massnahmen sind für jedes Unternehmen wichtig, bei vielen Mitarbeitenden jedoch nicht gerne gesehen, da Sie zwangsläufig einen minimen Mehraufwand für Mitarbeitende mit sich bringen. Dieser Mehraufwand ist in Anbetracht der Risiko-Minimierung jedoch mehr als gerechtfertigt.
MFA im privaten Umfeld
Ich frage Sie mal andersrum: würden Sie e-Banking nutzen ohne jegliche Art von MFA? Wohl kaum. Jeder e-Banking Anwender ist sich der Risiken bewusst, die er oder sie bei einem einfachen Login ohne zusätzliches Verfahren eingehen würde. Kommt hinzu, dass die Banken das von Beginn weg nicht erlaubt haben. Wenn Sie 45jährig oder älter sind, mögen Sie sich wie ich an die Anfänge des e-Bankings und die Entwicklung der mehrstufigen Authentifizierung erinnern: waren es zu Beginn häufig «Streichlisten» (zugestellt per Briefpost 😊), wurden diese abgelöst von den unterschiedlichsten Hardware-Tokens oder Card-Readern. Auf diese folgten die heute geläufigen Methoden mit SMS, QR-Scan oder Freigabe der Anfrage über die Mobile-App.
Analog zur MFA-Nutzung beim e-Banking verhält es sich bei Online-Bezahlung von grösseren Beträgen über die Kreditkarte. Auch da sind wir uns der Risiken bewusst und die meisten von uns nutzen ein mehrstufiges Verfahren, um sich vor Missbrauch zu schützen, respektive ist dies von den meisten Card-Issuern inzwischen in den Payment-Prozess integriert.
Weshalb dieser Exkurs?
Ich finde es gut und richtig, dass wir im privaten Bereich, insbesondere wenn es um unser Geld geht, alle die Möglichkeiten von MFA nutzen (müssen) und dies auch akzeptieren. Wohl, weil wir unseren eigenen Vorteil sehen und das Risiko für uns minimiert wird.
Wie verhält es sich im Unternehmen?
Laut Studien von Thales nutzen rund 56% der Unternehmen MFA (globale Zahlen). Für die Schweiz liegen keine gesonderten Zahlen vor. Aus unseren Erfahrungen muss jedoch davon ausgegangen werden, dass – mit Ausnahme von Gross-Unternehmen – auch hierzulande MFA noch nicht konsequent eingesetzt wird.
Weshalb macht MFA im Unternehmen Sinn?
Viele Unternehmen, auch kleinere und mittlere, sind während COVID auf hybride Arbeitsmodelle umgestiegen. Mitarbeitende schätzen auch heute und in Zukunft die flexible Kombination von Arbeiten im Geschäft und im Home-Office, hybrides Arbeiten ist gekommen, um zu bleiben. Somit haben sich die Anforderungen an eine mehrstufige Authentifizierung erhöht, da wir nicht mehr nur im geschützten Unternehmens-Netzwerk sind.
MFA ist eine der Möglichkeiten, den erhöhten Anforderungen Rechnung zu tragen und die Risiken entsprechend zu minimieren.
Ist es mit MFA getan?
Nein, MFA ist einer der Bausteine in einer modernen Zero-Trust Architektur. Eine Zero-Trust Architektur umfasst dabei im Wesentlichen:
- Identitätskontrollen (unter anderem mit MFA)
- Endpunkte und Anwendungen
- Netzwerk und Infrastruktur
- Daten
Auch zu berücksichtigten ist der sichere Umgang mit Passwörtern.
Was kann ich konkret tun und ist die Einführung aufwändig?
Als ersten Schritt empfehlen wir die Durchführung des Microsoft Zero-Trust Sicherheitsstatus. Es handelt sich dabei um einen einfach auszufüllenden Self-Check, verfügbar unter https://www.microsoft.com/de-CH/security/business/zero-trust/maturity-model-assessment-tool. Benefit: Der Check verschafft einen ersten guten Überblick über den Reifegrad in den verschiedenen Sicherheits-Bereichen und dient als Basis für die Einführung von zum Beispiel MFA.
Die Einführung von MFA ist nicht sehr aufwändig. Wie so oft, liegt auch hier erstens «der Teufel im Detail» und zweitens sollte man die Mitarbeitenden richtig involvieren und abholen.
Quellen:
- Bild 1: FHNW und Deutschlandfunk
- Bild 2: Microsoft
Weiterführende Links:
- Zero Tust Status Questionnaire: https://www.microsoft.com/de-CH/security/business/zero-trust/maturity-model-assessment-tool
- Sicherheit mit Zero Trust proaktiv umsetzen: https://www.microsoft.com/de-ch/security/business/zero-trust
- Zero Tust Sicherheitsarchitektur: https://learn.microsoft.com/de-de/microsoft-365/security/microsoft-365-zero-trust?view=o365-worldwide
- Implementing a Zero Trust security Model at Microsoft: https://www.microsoft.com/en-us/insidetrack/implementing-a-zero-trust-security-model-at-microsoft
