Fünf Mythen über MFA Prompt Bombing: Wie Unternehmen sich schützen können

1. MFA ist immer sicher und nicht anfällig für Angriffe
   Der Mythos, dass MFA immer sicher und nicht anfällig für Angriffe ist, basiert auf der falschen Vorstellung, dass die Verwendung von mehreren Authentifizierungsfaktoren automatisch eine undurchdringliche Barriere schafft. MFA kann die Sicherheit zwar tatsächlich erheblich steigern, da sie eine zusätzliche Schutzschicht über das herkömmliche Passwort hinaus bietet. Die Effektivität von MFA hängt jedoch stark von der korrekten Implementierung ab. Fehlende Rate-Limiting-Maßnahmen oder eine unzureichende Erkennung von Anomalien können MFA Prompt Bombing sogar begünstigen. Unternehmen sollten eine MFA daher nicht nur einführen, sondern auch sicherstellen, dass ihre Implementierung den aktuellen Bedrohungen standhält.
2. Nur schwache Authentifizierungsmethoden sind anfällig
   Selbst bei der Verwendung von starken Authentifizierungsmethoden wie biometrischen Merkmalen oder Hardware-basierten Tokens kann MFA Prompt Bombing erfolgreich sein. Das ist der Fall, wenn es den Angreifern gelingt, den Nutzer mittels gefälschter Push-Nachrichten zu bombardieren. Durch eine Kombination von Social Engineering, Phishing oder anderen Täuschungsmethoden schaffen sie es, den User dazu zu bringen, die gefälschten MFA-Prompts zu bearbeiten. Benutzer, die nicht ausreichend für die Bedrohung durch MFA-Prompt-Bombing sensibilisiert sind, neigen eher dazu, auf gefälschte Anfragen zu reagieren.
3. MFA Prompt Bombing erfordert fortgeschrittene Hackerkenntnisse
   Crime-as-a-Service (CaaS) ermöglicht es auch weniger versierten Hackern, MFA Prompt Bombing zu nutzen. Die Verbreitung von Anleitungen und Tools im Darknet führt ebenfalls dazu, dass die Technik immer häufiger auch von "Hobbykriminellen" eingesetzt wird. Unternehmen sollten in der Lage sein, ihre Sicherheitsmaßnahmen an unterschiedliche Bedrohungsniveaus anzupassen. Voraussetzung dafür ist unter anderem die Überwachung von verdächtigem Nutzerverhalten.
4. Einmaliger Schutz gegen MFA Prompt Bombing reicht aus
   Die Angreifer entwickeln immer neue, raffiniertere Techniken, um die Sicherheitsmaßnahmen von Firmen zu überwinden. Was heute als wirksam gilt, kann morgen bereits veraltet sein. Ein statischer Schutz ist möglicherweise unzureichend, um mit der rasanten Entwicklung der Bedrohungen Schritt zu halten. Entscheidend ist eine proaktive Sicherheitsstrategie: regelmäßige Sicherheitsüberprüfungen, permanente Überwachungsmaßnahmen, die Aktualisierung von Sicherheitsprotokollen sowie die Implementierung von Technologien, die auf neue Bedrohungen reagieren können.
5. MFA Prompt Bombing betrifft nur große Unternehmen
   Dem MFA Prompt Bombing können Unternehmen jeder Größe zum Opfer fallen. Kleinere Firmen sind möglicherweise weniger gut vorbereitet und somit besonders attraktiv für die Angreifer. Durch eine adaptive Authentifizierung lassen sich die Anforderungen an die Authentifizierung je nach Benutzerverhalten und Kontext dynamisch anpassen. Die Risikobewertung erfolgt anhand von Analysen des Benutzerverhaltens und des Kontexts und bestimmt das Risiko einer bestimmten Anmeldung. Ein niedriges Risiko führt zu einem nahtlosen Anmeldeprozess, während ein höheres Risiko zusätzliche Authentifizierungsschritte erfordert.

Stephan Schweizer, CEO der Nevis Security AG, erläutert: „Wichtig ist ein ausgewogenes Verhältnis von Sicherheit und Nutzerfreundlichkeit. Das bedeutet: Um von den MFA-Vorteilen zu profitieren, sollten Unternehmen entsprechende Sicherheitsrichtlinien implementieren. Dabei sollte aber die Zahl der erforderlichen Authentifizierungsschritte im Rahmen bleiben, um die Benutzerfreundlichkeit nicht zu beeinträchtigen und eine MFA-Fatigue zu vermeiden.“