Multi-Faktor-Authentifizierung in Microsoft 365: Ein Guide

IT-Sicherheit ist in Unternehmen ein so wichtiges Thema wie nie zuvor. Jährlich steigt die Zahl der Cyberangriffe, während Cyberkriminelle ständig neue Methoden entwickeln, um Daten abzugreifen und Unternehmen zu schädigen. Einen inzwischen unerlässlichen Bestandteil des IT-Sicherheitskonzepts stellt dabei die Multi-Faktor-Authentifizierung dar.  

Im Privatleben ist uns diese Methode bereits bekannt, etwa für Online-Zahlungen oder den Login ins Online-Banking. Was im privaten Umfeld zuverlässigen Schutz bietet, gewinnt auch in Unternehmen immer mehr an Bedeutung. Mitarbeiter verifizieren sich durch zwei oder mehr Faktoren, um Zugriff auf ihre Konten zu erhalten, sodass das Risiko erfolgreicher unbefugter Zugriffe deutlich gesenkt werden kann.  

Microsoft ist sogar inzwischen so weit gegangen, die Multi-Faktor-Authentifizierung zum Standard zu machen: In neuen Entra-Mandaten wird sie inzwischen standardmäßig aktiviert, in bestehenden Mandaten soll sie sukzessive verpflichtend werden. Es zeigt sich: Multi-Faktor-Authentifizierung funktioniert. Aber wie genau? Dieser Artikel gibt Einblicke in die Funktionsweise und erklärt, wie Sie die MFA in Microsoft 365 erfolgreich in Ihrem Unternehmen einführen.  

‍

Multi-Faktor-Authentifizierung im Überblick: So funktioniert MFA

Bei der Multi-Faktor-Authentifizierung (MFA) handelt es sich um ein Verfahren zur Authentifizierung, das Anmeldeverfahren und Transaktionen durch die Kombination von zwei oder mehr Berechtigungsnachweisen absichert. Möchten Mitarbeiter sich etwa in ihr Microsoft 365 Konto einloggen, reicht die Eingabe des Passworts nicht mehr aus. Zusätzlich dazu kommt noch mindestens eine weitere Methode zum Einsatz.

‍

• TAN / OTP mit Authenticator Apps: Bei Anmeldung oder zur Ausführung einer Transaktion muss der User ein One Time Password (OTP) eingeben, das über eine Authenticator App generiert wird. In der Regel ändern sich diese Passwörter nach 60 Sekunden. Alternativ kann das OTP auch via Push-Nachricht versendet werden oder in Form eines QR-Codes dargestellt werden. Da Mitarbeiter die Authenticator Apps häufig auch auf ihrem privaten Smartphone installieren, sollten Unternehmen die Geräte mit einer entsprechenden MDM-Lösung verwalten.  

• Kryptographische Token: Statt einmaliger Passwörter kann auch ein kryptographisches Token für die Authentifizierung eingesetzt werden. Dazu wird ein privater kryptographischer Schlüssel gespeichert, der auf Anforderung an das Token gesendet wird. Bekannt ist diese Methode beispielsweise von ELSTER: Hier wird ein Software-Zertifikat erstellt, das für die Anmeldung benötigt wird.  

• Biometrische Systeme: Ob für die Entsperrung von Smartphones oder als Ersatz für die Anmeldung im Online-Konto via OTP – biometrische Systeme sind für die Authentifizierung im Alltag vieler Menschen angekommen. Statt ein Kennwort einzugeben oder ein Token zu generieren, können User sich mit Methoden wie Windows Hello oder FaceID direkt durch ihre biometrischen Merkmale authentifizieren. Das ist zwar oft bequemer, aber auch fehleranfälliger als tokenbasierte Methoden.

‍

Kritische Geschäftsdaten schützen mit Multi-Faktor-Authentifizierung  

Der Einsatz einer zweiten Methode zur Authentifizierung zeigt schnell: Die Sicherheit für Anmeldevorgänge oder Transaktionen ist deutlich höher. Besonders, wenn man sich die Herausforderungen der traditionellen Kennwort-Sicherheit anschaut: Passwörter, die auf Zetteln am Bildschirm kleben oder ungesichert in einer Excel-Liste gespeichert werden, sind noch immer die Realität in vielen Unternehmen. Außerdem erstellen viele Benutzer noch immer Passwörter, die leicht zu merken und damit unsicher sind. Der Empfehlung, alphanumerische Passwörter zu erstellen, die Sonderzeichen enthalten und eine Mindestlänge erfüllen, gehen nur wenige Mitarbeiter freiwillig nach. Die Multi-Faktor-Authentifizierung kann hier durch die zweite Sicherheitsbarriere helfen. Dadurch erlangt die MFA für Unternehmen eine wichtige Bedeutung:  

• Sie schützt zuverlässig vor Identitätsdiebstahl.  
• Sie verhindert den unbefugten Zugriff auf Daten und Informationen.
• Damit verringert sie das Risiko für Datenlecks.
• Sie bietet einen erweiterten Schutz vor Phishing.  
• Sie ermöglicht Unternehmen den Schutz kritischer Geschäftsdaten.

‍

MFA und Microsoft 365: Ein starkes Team für KMUs  

Der Zugriff auf Anwendungen und Daten kann inzwischen immer komfortabler gestaltet werden, besonders mit cloudbasierten Lösungen wie Microsoft 365. Firmen nutzen SharePoint, Teams und OneDrive mittlerweile als Ersatz zum klassischen Server und ermöglichen so den Zugriff unabhängig von verwendetem Gerät und Standort der Benutzer. Was den Komfort der Mitarbeiter deutlich erhöht, bringt jedoch auch Sicherheitsrisiken mit sich: Durch Phishing-Mails, Ransomware oder andere Angriffe können Kriminelle sich Zugang nicht nur auf ein Endgerät, sondern auf die gesamte Cloud und ihre Daten verschaffen.

Das Ausmaß der Folgen durch unbefugte Zugriffe auf sensible Unternehmensdaten, etwa durch kriminelle Banden, Hacker oder Erpresser kann enorm sein:  

• Entfall der Geschäftskontinuität durch Datenverlust und Schäden an PC- und Serversystemen  
• Hohe Kosten für Reparaturen und möglicherweise Lösegelder
• Rechtliche Folgen durch Nichteinhaltung von Richtlinien und Gesetzen
• Verlust der Reputation sowie unzufriedene Kunden

Der Schutz der Benutzerkonten mit Zugriff auf Daten in der Cloud sollte damit oberste Priorität haben. Umgesetzt werden kann dieser Schutz in Microsoft 365 unter anderem durch Microsoft Entra. Dabei handelt es sich um eine cloudbasierte Identitäts- und Zugriffsverwaltungslösung, die das zentrale Management aller Identitäten und ihrer individuellen Zugriffsberechtigungen ermöglicht. Seit Kurzem hat Microsoft bei Entra für neue Mandate automatische Conditional Access Policies eingeführt: Für Admins, Nutzer mit per-user MFA Einstellungen und Anmeldungen mit hohem Risiko ist eine Multi-Faktor-Authentifizierung verpflichtend. Bisher mussten Unternehmen diese Richtlinien manuell aktivieren, ab jetzt muss aktiv widersprochen werden. Sukzessiv soll die MFA für alle Mandate verpflichtend werden. Die Gründe für diese Entwicklung sind gleichzeitig Vorteile für Unternehmen:  

• Proaktive Sicherheitsmaßnahme gegen Cyberbedrohungen
• Zusätzliche Schutzschicht in der IT-Sicherheit
• Ressourcen und Identitäten zentral verwalten und schützen

‍

So funktioniert die Implementierung von MFA mit Microsoft 365 in Ihrem Unternehmen  

Laut einer durch Microsoft selbst durchgeführten Studie bietet die MFA einen Schutz von 99 % gegen unautorisierte Account-Übernahmen. Allein darin liegt ein überzeugender Grund für die Implementierung von MFA im Unternehmen. Dennoch wird die Einführung zusätzlicher Sicherheitsmaßnahmen immer noch häufig als lästig bezeichnet – schließlich müssen Mitarbeiter eine zusätzliche App installieren und bei jeder Anmeldung einen zusätzlichen Schritt gehen, der den Nutzungskomfort einschränkt.  

Inzwischen hat die Multi-Faktor-Authentifizierung sich jedoch so sehr bewiesen, dass ihre Einführung sich etwa mit der Einführung des Sicherheitsgurts durch Volvo Ende der 50er Jahre vergleichen lässt: Für viele Menschen wirkte sie zu Beginn lästig, war aber unbedingt erforderlich – heute ist der Sicherheitsgurt eine Selbstverständlichkeit. Die Aufklärung der Mitarbeiter bildet damit eine zentrale Aufgabe bei der Implementierung von MFA. Mit Microsoft 365 können die Schritte so aussehen:

‍

Einstellungen & Richtlinien

In Microsoft Entra werden personalisierte MFA-Einstellungen festgelegt und Richtlinien sowie Ausnahmen definiert. Jeder Mitarbeiter oder einzelne Mitarbeitergruppen erhalten individuelle Berechtigungen, die unter anderem abhängig von ihrem Risikofaktor sind. Wer beispielsweise regelmäßig von unterschiedlichen Netzwerken auf seinen Zugang zugreift, bringt ein größeres Risiko mit als jemand, der meist von einem festen Standort oder aus dem Homeoffice arbeitet.  

‍

Schulung und Sensibilisierung der Mitarbeiter für MFA  

Wichtige Aufgabe ist es, die Mitarbeiter einerseits zum Thema IT-Sicherheit und Multi-Faktor-Authentifizierung zu sensibilisieren und sie andererseits zur Anwendung im Alltag zu schulen. Dieser Schritt ist Grundvoraussetzung, um alle Mitarbeiter an Bord zu holen und ein Verständnis zu schaffen, warum sie leichte Einbußen im Komfort erleben. Es gilt also, die Vorteile der MFA zu erläutern und ein Bewusstsein für die möglichen Folgen ohne die zusätzliche Sicherheit zu schaffen.  

‍

Authenticator Apps und Geräte  

Für die Nutzung der Authenticator Apps ist ein zusätzliches Endgerät nötig. Das kann, sofern vorhanden, ein Firmenhandy sein. In vielen Fällen kommt an dieser Stelle jedoch das private Smartphone zum Einsatz, wodurch wiederum eine neue Frage aufkommt: Wie können die mobilen Endgeräte sicher dienstlich eingesetzt werden?  

Die Antwort auf diese Frage nennt sich Mobile Device und Application Management. Mit einer MDM Lösung, beispielsweise dem Microsoft Endpoint Manager mit Microsoft Intune, können Unternehmen alle Geräte zentral verwalten, Sicherheitsstandards definieren und User verwalten, während eine nahtlose Integration in die Microsoft-Welt möglich ist. Auch das Management der Anwendungen, in diesem Fall der Authenticator Apps, lässt sich in einer solchen Lösung durchführen. Neben der sicheren Einführung der MFA ist Mobile Device Management grundsätzlich eine empfehlenswerte Lösung, sobald Mitarbeiter private Geräte für die Arbeit verwenden – sie ermöglicht die klare Trennung privater und geschäftlicher Daten, eine zentrale Zugriffssteuerung sowie erhöhte Sicherheit.  

‍

Blick in die Zukunft: MFA-Trends und Innovationen  

Multi-Faktor-Authentifizierung ist aktuell eines der zentralsten Themen in der IT-Sicherheit. Eine schnelle Weiterentwicklung der Technologie und die ständige Anpassung an neu aufkommende Cyber-Bedrohungen ist demnach zu erwarten. Schon jetzt zeichnen sich erste Trends für die Zukunft ab.  

• FIDO2-Sicherheitsschlüssel: Statt Passwörtern oder softwarebasierten Token entwickelt sich inzwischen ein Trend hin zur passwortlosen Authentifizierung. Bei einem FIDO2-Sicherheitsschlüssel handelt es sich um ein USB-, Bluetooth- oder NFC-Gerät, das als Hardware-Gerät für maximale Sicherheit bei der Authentifizierung sorgt. Externer Zugriff auf gesicherte Bereiche ist durch eine solche hardwarebasierte Lösung nahezu unmöglich.  

• Künstliche Intelligenz: Nicht nur im Bereich der Multi-Faktor-Authentifizierung, sondern grundlegend in der IT-Sicherheit spielt KI eine zunehmend wichtigere Rolle. Intelligente Algorithmen können verdächtige Aktivitäten erkennen und somit dabei unterstützen, potenzielle Cyberangriffe frühzeitig abzuwehren.  

‍

Fazit: Mit Multi-Faktor-Authentifizierung die Basis für hohe IT-Sicherheit schaffen

Das Bewusstsein für die Relevanz eines IT-Sicherheitskonzepts steigt in Unternehmen zunehmend an – allerdings steigt auch das Risiko für Cyberbedrohungen. Mit der Multi-Faktor-Authentifizierung schaffen Unternehmen ein sicheres Schutzschild, unter anderem für die Microsoft 365 Accounts ihrer Mitarbeiter. Durch die zusätzliche Authentifizierung über eine zweite Methode, die in der Regel ein zusätzliches Endgerät benötigt, ist der unberechtigte Zugriff von Extern kaum noch möglich. MFA sollte deshalb bei allen Zugriffen auf cloudbasierte Software-Anwendungen zum Standard werden. Wichtig ist dafür neben der technischen Implementierung vor allem, die Mitarbeiter abzuholen und sie von den Vorteilen der Methode zu überzeugen. Zieht das gesamte Team an einem Strang, ermöglicht das eine starke IT-Sicherheit im Unternehmen.