Mythen, die Multifaktor verhindern.
In diesem ausführlichen Artikel liefern wir mehr Hintergründe und Argumente für eine Steigerung der IT-Sicherheit, ohne die Produktivität oder den Komfort der Anwender einzuschränken.
Bei den allermeisten Einführungen von Microsoft 365 (oder jedem anderen Cloud-Dienst) führen wir die gleiche Diskussion: Ist MFA wirklich notwendig?
Leider ist diese Frage zwar äußerst einfach zu beantworten, es braucht aber eine außergewöhnlich große Portion Erläuterungen, um die Fragenden zu überzeugen.
Kurzexkurs: Was soll MFA?
In lokalen Netzwerkumgebungen glaubt der Betreiber (oft ungerechtfertigterweise), dass Logins von Arbeitsstationen grundsätzlich implizieren, dass der User vor der Maschine ein Mitarbeiter des Unternehmens ist. Damit geht man (oft ebenfalls ungerechtfertigterweise) davon aus, dass ein Benutzernamen und ein Passwort als Legitimation ausreichend sind.
Bei Online-Diensten ist das nicht so: der User sitzt an einem X-beliebigen Rechner irgendwo auf der Welt. Nur weil er "Max Mustermann" eintippt und das Geburtsdatum von Max-Mustermann kennt (oder auch ein anderes "sicheres" Passwort) soll man ihm Zugriff auf alle Unternehmensdaten geben? Undenkbar! Hier kommt MFA ins Spiel: will der User sich anmelden, muss er auf einem weiteren Weg nachweisen, wer er ist - z.B. indem er in einer Handy-App seine Anmeldung bestätigt, den Code aus einer SMS eintippt oder auch ein USB-Token einsteckt.
Jeder kennt das von seiner Bank. Die Homepage lässt einen Login nur auf diese Weise zu. Damit wird verhindert, dass sich Dritte Zugriff zum Banking der Kunden verschaffen. Beim Eingeben des Usernamens/des Passworts kann man beobachtet worden sein - der MFA erfordert aber immer den Zugriff auf irgendetwas physikalisches (das Handy, den Stick, die Karte usw) - damit ist MFA außerhalb der Reichweite eines Hackers, der aus dem Ausland versucht gerade Zugriff zu bekommen.
Die schlimmsten, existenzbedrohlichen Fehleinschätzungen im Zusammenhang mit MFA
Existenzbedrohlich ist eine heftige Ansage - aber stellen Sie sich vor: Ihre gesamten Unternehmensdaten werden öffentlich im Netz verfügbar gemacht. Wir sind uns einig: das ist nichts weniger als "existenzbedrohlich".
"Bei mir ist nichts zu holen"
Die Lieblingsaussage der Security-Verweigerer. Einerseits stimmt das meistens nicht, andererseits wird damit der wichtigste Punkt ignoriert: es muss auch gar nichts zu holen geben. Die heutigen Angriffe erfolgen meist auf Breitbandbasis - 10.000-de Ziele werden gleichzeitig angegriffen. Man sucht schlicht nach Lücken und Konten, die man für seine Zwecke missbrauchen kann. Was es immer zu holen gibt: ein offizielles, legitimes Userkonto. Das ist für einen Hacker Gold wert. Der macht dann in Ihrem persönlichen Namen oder in dem Ihrer Firma krumme Geschäfte, verbreitet Malware. Beispiel: Die Malware des letzten Angriffs bei uns lag im OneDrive einer der Führungskräfte eines sehr bekannten Freiburger Unternehmens. Der Mann weiß nichts von seinem Glück - die Betroffenen dann schon. Verteilt wurde der Angriff über ein Mailkonto eines anderen Freiburger Unternehmens.
“Ich nutze nur Teams”
Es gibt kein “Teams” als getrennte Lizenz. Ungeachtet dessen, dass es eine der ganz großen IT-Dummheiten ist, Teams ohne M365 betreiben zu wollen: alle, die das tun, haben trotzdem ein M365-Account mit mindestens OneDrive usw. Damit sind wir wieder bei Argument 1: es gibt bei ihnen ein gültiges Konto zu holen - und zudem eines, welches sie besonders wenig im Auge haben.
"Cloud ist immer sicher"
Man kann eine noch so stabile Panzertür in Sekunden knacken, wenn man einfach den Schlüssel hat. Damit ist alles gesagt. Ja: Clouddienste bewegen sich üblicherweise auf einem Sicherheitsniveau, das in lokalen Umgebungen in der Regel unerreichbar ist. Trotzdem: wenn der Schlüssel "Max Mustermann" + "Geburtsdatum Max Mustermann" ist, hilft das nichts.
"für Macs/iPhones gibt es keine Viren"
Diese Einschätzung ist schlicht grob fahrlässig. Genau aufgrund dieser Einschätzung weist das Apple-Ecosystem die höchste Zuwachsrate bei erfolgreichen Angriffen auf. Nicht weiß Apple per se nicht sicher wäre, nicht, weil Apple-Geräte besonders anfällig wären - hier liegt das Problem (wie so oft) zwischen den Kopfhören: die User wägen sich ungerechtfertigt in Sicherheit. Wer in sein Auto steigt, schnallt sich an und achtet darauf, dass Dinge wie Bremsen und Beleuchtung in Ordnung sind. Interessanterweise schaffen viele Menschen die Transformation der Logik dahinter auf die Internet-Nutzung nicht.
"mit zu viel Sicherheit verwirre ich die Anwender"
Zu viel Sicherheit gibt es nicht. Es gibt nur Sicherheit, die man sich leisten kann/will und die, die man sich eben nicht leistet. Jeder Entscheidung im Bereich Sicherheit ist im Endeffekt eine Kosten/Nutzen-Entscheidung. Der Nutzen ist immer die Erhöhung der Sicherheit, die Kosten können monetär, aber natürlich auch in Form von verlorener Leistung und verlorener Motivation anfallen. Daher ist eine gute Sicherheitslösung immer die, von der der User möglichst wenig behindert wird, obwohl sie hervorragenden Schutz bietet. Umgekehrt ist keine Sicherheit nie der billigste und schon gar nicht der beste Weg.
"ich habe noch nie von einem konkreten Zwischenfall gehört"
Wer das von sich behaupten kann, lebt auf einer einsamen Insel. Trotzdem: zuzugeben, dass man gehackt wurde, ist vielen Betroffenen peinlich. Daher ist die Dunkelziffer sicher enorm hoch - aber auch die Fälle, die bekannt werden - von Menschen, die einem persönlich bekannt sind - sollten mehr als klarstellen: dieses Thema ist keine Theorie.
Warum ist M365 ohne MFA "Irrsinn ohne Grund"
Soll für M365 MFA eingeführt werden, bekommt man meist die immer gleichen Nebelkerzen vor die Füße geworfen. Da sich jede dieser Aussagen entkräften lässt, ist "ohne MFA" eben genau das: "Irrsinn ohne Grund".
"Ich möchte keine zusätzliche Lizenz bezahlen"
Für MFA wird keine zusätzliche Lizenz benötigt. Niemals. Jeder User mit irgendeiner M365-Lizenz kann jederzeit MFA nutzen.
"Das kann ich meinen Mitarbeitern nicht zumuten"
Was genau? Das, was jede Bank, jeder Finanzdienstleister den Kunden bei jedem Login zum Banking zumutet? MFA ist mittlerweile selbst bei privaten Diensten wie eBay, Amazon, Paypal usw. absoluter Standard. Das ist keine Zumutung, das ist normal. Vor vielen Jahren gab es auch ganz viele Menschen, die die Einführung der Gurtpflicht für eine Zumutung hielten.
"Ich will nicht bei jedem Login einen MFA-Code eingeben müssen"
Im Gegensatz zu dem, was man vom Banking kennt, ist die Microsoft MFA deutlich intelligenter. Sie erkennt Umgebungsituationen (welcher Standort, welches Netzwerk, welcher Computer usw) und entscheidet Fall zu Fall, wo ein MFA angebracht ist und wo nicht - in einer normalen Anwendersituation ist die Anzahl der tatsächlichen MFA-Abfragen völlig zu vernachlässigen.
"Meine Mitarbeiter wollen keine Firmensoftware auf ihren Handies"
Authenticator-Apps sind keine Firmensoftware. Daher stellen sie für den Anwender kein Problem auf dem privaten Endgerät dar. Wir empfehlen den Usern sogar ausdrücklich, auch ihre privaten Dienste mit der gleichen App abzusichern. Aber auch, wenn man ganz paranoid ist: MFA geht auch per SMS. Dann wir keinerlei App benötigt.
"Ich arbeite nur am Desktop-PC in der Firma - ich brauche kein MFA"
Dass der Mitarbeiter nur in der Firma arbeitet, mag sein. Sein Konto ist aber von überall aus erreichbar - auch wenn er selbst das nicht nutzt: die Hacker freuen sich über diesen Umstand.
"Ich habe kein Firmenhandy und mein privates Gerät stelle ich nicht zur Verfügung"
Auch für die "ganz harten" Situationen gibt es einfache Lösungen: die Festnetznummer in der Firma und sogar ein USB-Token können für MFA genutzt werden.
Lange Rede, kurzer Sinn
Jeder Clouddienst der global erreichbar ist, muss zwingend mit MFA abgesichert sein. Sie werden sonst gehackt. Das ist keine Drohung, das ist eine Feststellung. Ohne MFA bekommen Sie keine Cyberversicherung und es ist nur eine Frage der Zeit, bis irgendein Prüfer das Fehlen als "grob fahrlässig" einstuft. Das ist für das Rating mehr als unangenehm.