Authenticator Logo

Fast jede Microsoft 365-Einführung ist unterschiedlich, aber fast alle haben einen gemeinsamen Nenner: Endlich ist es einfach möglich eine Multi-Faktor-Authentifizierung bei den Usern umzusetzen. Das freut den IT-Security-Beauftragten genauso wie den Datenschützer und das zurecht: Durch MFA werden laut Microsoft 99,9% der Angriffe auf Accounts erfolgreich abgewehrt. 

Spätestens jetzt sollten auch die letzten Zweifler einsehen, dass das Thema eine hohe Relevanz hat für die sichere Nutzung der Cloud-Dienste. Um loszulegen braucht es nur eine passende Lizenz bei Microsoft, ein paar Klicks, um eine Conditional Access Policy festzulegen und schon bekommen die Anwender beim nächsten Login die Aufforderung eine weitere Methode zur Authentifizierung zu hinterlegen. 

Der Admin / IT-Consultant, der es gut mit seinen Usern meint, hat vielleicht noch vorab eine kurze Warnung verschickt, dass da jetzt „so eine Meldung kommt“. In manchen Unternehmen, mit IT-affiner Belegschaft, soll das schon gereicht haben – in den meisten wird es aber jetzt erst richtig interessant. Denn, welche Optionen werden mir zur Multi-Faktor-Authentifizierung angeboten? Konkret stehen zur Auswahl: 

Ohne (dienstliches) Mobiltelefon bleibt die Option Anruf oder SMS auf eine Festnetznummer. Beides hat den entscheidenden Nachteil, dass es in der Regel an den Büroarbeitsplatz gebunden ist. Möchte ein Mitarbeiter also im Homeoffice den 2ten Faktor bestätigen, stehen wir vor einem Problem. Eine Variante dieses Problem zu lösen wäre, dass der Mitarbeiter einfach auf sein privates Smartphone zurückgreift. Aus Sicherheitsaspekten wäre das auf jeden Fall akzeptabel, aber die Erfahrung zeigt, dass das nicht jeder Mitarbeiter möchte. Genau diesen Problemfall gilt es jetzt aufzulösen.

Variante 1: Jeder Mitarbeiter mit MFA bekommt ein Smartphone.

Pro: Einfach.

Contra: Teuer. Wer sich damit anfreunden kann, ist an dieser Stelle fertig mit dem Blog. 

 

Variante 2: Wir suchen einen anderen zweiten Faktor. Aber wo bekommen wir den her? Was heißt überhaupt „mehrere Faktoren“? Die Theorie sagt, dass man mehrere (typischerweise zwei) Faktoren haben sollte. Also etwas, das man weiß, besitzt oder das man „ist“ (Biometrie). Der erste Faktor ist in der Regel immer etwas, das ich weiß: Mein Passwort. Biometrie als echter Faktor ist nach wie vor noch etwas komplizierter, somit verbleibt aus den drei Optionen nur noch „etwas das man besitzt“. Bei der Zusendung von TANs per SMS, Anruf oder App geht es also nur darum zu prüfen, ob ich ein Stück Hardware besitze. Dementsprechend gilt es jetzt ein anderes Stück Hardware zu suchen, das als zweiter Faktor dient. Die einfachste Variante ist es, das Firmennotebook hierfür zum Einsatz zu bringen. 

Computer statt Smartphone als zweiten Faktor 

Es mag zunächst wenig intuitiv erscheinen den Computer als zweiten Faktor einzusetzen, denn wo sollte sich der Mitarbeiter sonst einloggen? Aber es geht ja nicht um den Mitarbeiter, sondern um potenzielle Angreifer von außen und das diese Zugriff auf ein Firmennotebook haben, ist dann schon ungewöhnlich. Wichtig für das Konzept ist, dass es sich eben tatsächlich um einen bekannten Firmen-Computer handelt. Das lässt sich mit einfachen Mitteln in der Microsoft 365 Cloud feststellen. Wenn man noch über ein klassisches AD verfügt, ist die einfachste Variante den Hybrid-Join für Geräte zu aktivieren. Dadurch erhalten alle Domain-Joined-Devices einen „Sonderstatus“ im Azure AD. Diesen Sonderstatus kann ich dann in meinem Regelwerk für den Multi-Faktor-Zugriff (-> Conditional Access) abfragen und entsprechende Geräte von einer MFA-Abfrage via Smartphone ausnehmen. Wichtig dabei ist jetzt nur noch einen Prozess zu haben, der alte oder verlorengegangene Geräte auch aus dem eigenen Verzeichnis entfernt. Mitarbeiter müssen weiterhin sensibilisiert werden den Verlust eines Firmennotebooks unmittelbar zu melden. Alles in allem hat man aber so eine Variante, wie man bei einem hohen Sicherheitsniveau die Zahl der SMS-Tokens deutlich reduziert und die Notwendigkeit für Firmen-Smartphones in der breiten Masse abschaffen kann. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.