NIS-2 macht Ernst mit MFA
– zumindest große Player bieten die Methode bereits standardmäßig für ihre Logins an.
Multi-Faktor-Authentifizierung (MFA) ist nichts Neues, aber die mehrstufige Login-Methode war bis vor ein paar Jahren lediglich für privilegierte Accounts vorgesehen. Mit den Vorgaben der neuen Cyber-Sicherheitsrichtlinien in NIS-2 wird Multi-Faktor-Authentifizierung plötzlich State-of-Art. Und zwar für alle Arten von Nutzern. Darüber hinaus empfiehlt der Gesetzgeber den Einsatz einer kontinuierlichen Authentifizierung, die bisher nur wenige große Player, wie z.B. Google, umgesetzt haben.
Keycloak unterstützt MFA out-of-the-box
Aber bleiben wir zunächst bei den mehrstufigen Authentifizierungsmethoden. Multi-Faktor-Authentifizierung lässt sich app-gesteuert über verschiedene Wege umsetzen:
- Mobiler Token, auch als Push-Notification oder pushTAN bekannt
Jeder, der ein Google-Konto hat oder Online-Banking nutzt, kennt diese Methode sicherlich. Man erhält eine Push-Nachricht auf dem Handy und gibt diese Anfrage mit Hilfe eines PIN-Codes oder über ein biometrisches Verfahren frei. Keycloak kann hier im Zusammenspiel mit Drittanbietern, wie die Microsoft Authenticator-App als MFA Enabler fungieren. Die Gefahr hierbei kann jedoch ein MFA Spamming sein, genauer könnt ihr das auf dem IAM-Blog von intension nachlesen:
https://www.intension.de/infoblog/was-ist-mfa-fatigue/
- One Time Password (OTP)
Mit One-Time-Passwort-Generatoren (OTP), wie FreeOTP oder etwa mit dem Google Authenticator, lässt sich Keycloak im Handumdrehen zu einem zuverlässigen MFA-Tool konfigurieren. Mehr darüber findet Ihr hier: One Time Password (OTP) policies
- SMS oder E-Mail
Dies ist eine nicht so sichere Methode den zweiten Faktor abzufragen. Das Bundesamt für Informationssicherheit (BSI) rät von dieser Möglichkeit der Bestätigung eher ab. Nachlesen könnt ihr das auf dem Blog der RWTH Aachen oder beim BSI selbst.
- Passkeys
Eine neue, sicherere und benutzerfreundlichere Methode zur Authentifizierung, sind Passkeys. Diese machen Passwörter überflüssig. Anwender müssen sich kein komplexes Passwort mehr merken. Denn Passwörter sind anfällig für Phishing und andere Angriffe. Passkeys verwenden hingegen kryptografische Schlüssel, die sie sicher auf dem Gerät des Benutzers speichern. Diese Schlüssel sind einzigartig und an das Gerät gebunden, was sie extrem sicher macht. Über QR-Codes wird die Anmeldung an anderen Geräten unterstützt.
Mehr zu Passkeys findet ihr beim Bundesamt für Sicherheit in der Informationstechnik.
Historisch einzuordnen sind analoge TAN-Listen als eine der ersten MFA-Methoden überhaupt. Diese Option nutzen mittlerweile die meisten Anwender nicht mehr. Sie werden umständlich per Post versendet und bieten nur eine begrenzte Sicherheit.
Sichere MFA-Verfahren mit Hardware-Tokens
Ein sehr gutes Security-Level für MFA bieten dabei Hardware-Token. Darunter fallen USB-Schlüssel oder auch zum Beispiel Smartcards, wie die ProID Smartcard des tschechischen Unternehmens Monet+. Smartcards sind weit verbreitet, auch eine EC-Karte oder die Krankenkassenkarte sind eine solche.
Verschiedene MFA-Technologien für interne oder externe Nutzer
Welche Methode und welche Endgeräte oder -tools zum Einsatz für die Umsetzung von MFA zu wählen sind, hängt ganz von dem Use Case ab. Ist die MFA-Technologie für die Mitarbeiter umzusetzen oder braucht man zudem diese sichere Authentifizierungsmethode auch für externe Nutzer, wie Partner, Lieferanten, Zeitarbeiter, Kunden, Mitglieder, Bürger oder Patienten?
Hierzu ist im Vorfeld eine Analyse zu empfehlen, welche Systeme und Identitäten das Unternehmen mit der MFA-Technologie schützen möchte. Findet man eine hybride Landschaft von Anwendungen für interne und externe Zwecke vor, bietet es sich an, Keycloak mit Hilfe von User Federation an Verzeichnisdienste, wie Active Directory (AD) und auch LDAP anzubinden. Zugleich ist der Anschluss http-basierter Anwendungen über Keycloak als „Broker“ einfach möglich, wenn diese Webanwendungen über OIDC oder SAML mit dem Identity Broker verbunden sind.
Keycloak und AD schließen sich nicht aus
Anfänglich ist es hierbei wichtig zu definieren, welches System das Federführende für die Identitäten ist. Keycloak kann als zentrale Nutzerverwaltung fungieren, muss es aber nicht. Und somit kann ein Active Directory (AD) weiterhin das identitätsführende System bleiben. Keycloak ist dann mit AD über User Federation angebunden, um über seine Single-Sign-On-Funktion zentral die Authentifizierungen aller Identitäten zu managen.
Fazit: Der Einsatz von Keycloak in der Multi-Faktor-Authentifizierung ermöglicht es bestehende Dienste, wie Active Directory oder Entra ID weiter zu nutzen. Mit einer entsprechenden app- oder hardwarebasierten Technologie, ist Keycloak ein wertvolles Tool, um MFA gemäß der NIS-2-Directive umzusetzen.
Das war: NIS-2: Multi-Faktor-Authentifizierung umsetzen mit Keycloak
Quellen:
Adaptive Authentifizierung
https://patents.google.com/patent/US10630693B1/en
Google’s Sicherheitsmechanismen für den Login
https://cloud.google.com/blog/products/identity-security/best-practices-for-a-more-secure-login-in-google-cloud?hl=en
Microsoft bestätigte schon in 2020, dass fast 100 % aller kompromittierten Konten keine MFA nutzten. https://cloud.google.com/blog/products/identity-security/best-practices-for-a-more-secure-login-in-google-cloud?hl=en
RWTH Aachen, Blog zur MFA-Sicherheit
https://blog.rwth-aachen.de/itc/2024/01/03/sicherheitsmechanismen-kurz-erklaert-mfa/
BSI 2-FA-Tipps für Consumer
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
Gerne finden wir mit Ihnen Ihre Lösung zur Umsetzung von MFA.
Cyber-Sicherheit ist heute unerlässlich! Vereinbaren Sie unverbindlich einen Termin mit uns.