MFA bei Microsoft 365: Mehr als nur ein „lästiger“ zweiter Klick

Wenn es um die Informationssicherheit geht, hören auch Datenschutzbeauftragte regelmäßig eine ganz bestimmte Frage: „Ich nutze ein starkes Passwort. Reicht das nicht aus?“

Die Antwort darauf lautet: Nein, heute nicht mehr.

Grundsätzlich ist ein starkes Passwort immer noch ein wichtiger und solider Schutz. Auf Seiten wie https://checkdeinpasswort.de/ können Sie testen, wie sicher Ihre Passwörter sind und wie lange ein handelsüblicher PC zum Knacken dieses Passworts benötigen würde.

Doch auch ein noch so kompliziertes Passwort ist nutzlos, wenn es in die falschen Hände gerät. Ein erfolgreicher Phishing-Versuch macht aus dem komplexen sonderzeichendotierten 20-Zeichen-Passwort öffentlich verfügbare Daten.

Aus Sicht des Datenschutzes ist die Multi-Faktor-Authentisierung (MFA) also kein optionales Extra, sondern eine essenzielle technische und organisatorische Maßnahme (TOM) gemäß Art. 32 DS-GVO, um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten. Auch das NIS2-Umsetzungsgesetz erwähnt an mehreren Stellen explizit diese Schutzmaßnahme.

Bei der MFA werden zur sicheren Anmeldung an einem Datenverarbeitungssystem mindestens zwei unabhängige Merkmale kombiniert. Standardmäßig ist das die Kombination aus Benutzername und Passwort sowie – in einem zweiten Schritt – die Eingabe eines Zahlencodes. Dabei nutzt die MFA drei grundsätzliche Dinge:

1. Etwas, was der Nutzende weiß.
   Den Anmeldenamen und das Passwort kennen Nutzende in der Regel.
2. Etwas, was der Nutzende hat.
   Die Grundlage für die MFA, wie beispielsweise eine App, ist auf einem Smartphone installiert. Im anderen Falle besitzt der Nutzende eine Chipkarte oder einen USB-Stick mit einer entsprechenden technischen Einrichtung.
3. Etwas, was der Nutzende „ist“.
   Ein Smartphone oder die App selbst fragt in der Regel nach dem Fingerabdruck oder realisiert den Zugriff über die Gesichtserkennung.

Microsoft 365 ist oft das Herzstück der Unternehmenskommunikation. E-Mails, interne Informationen und Personaldaten werden mit einer einzigen Lösung verarbeitet und zentral abgelegt.

Ein kompromittiertes Passwort – sei es durch Phishing, Brute-Force-Angriffe oder Datenlecks bei Drittanbietern – öffnet Tür und Tor für einen massiven Datenschutzvorfall. MFA blockiert laut Microsoft über 99,9 % dieser identitätsbasierten Angriffe. Selbst wenn ein Passwort gestohlen wird, bleibt die Barriere für Angreifer ohne den zweiten Faktor (z. B. eine App-Bestätigung oder ein Hardware-Token) beinahe unüberwindbar.

Nicht jede MFA-Methode ist aus Datenschutz- und Sicherheitsaspekten gleichwertig. Tatsächlich existieren mehrere Varianten, mit denen diese zusätzliche Schutzfunktion realisiert werden kann.

• Microsoft selbst empfiehlt die Microsoft Authenticator App. Diese App wird auf dem Smartphone der Nutzenden installiert. Bei einem Login-Versuch wird in einem zweiten Schritt ein Nummerncode abgefragt, der durch die App bereitgestellt wird. Die Nutzenden werden hier durch eine Push-Benachrichtigung darauf hingewiesen. Diese Methode ist relativ sicher und benutzerfreundlich. Auf der anderen Seite ist jedoch auch eine Authenticator-App (egal von welchem Anbieter) auch nur Software, die Schwachstellen enthalten kann. Auch das Smartphone selbst kann von Schadsoftware befallen sein.
• FIDO2-Sicherheitsschlüssel: Aus Sicht der IT-Sicherheit der Gold-Standard, da diese Methode nicht anfällig für Phishing ist. Diese Methode basiert nicht auf einem Einmal-Code, wie ihn Authenticator-Apps erzeugen. Vielmehr ist die Basis hier ein kryptografisches Schlüsselpaar. Die Nutzenden erhalten einen privaten (geheimen) Schlüssel auf einem Chip, der zum Beispiel auf einem USB-Stick untergebracht sein kann (Yubikey). Bei einem Login signiert das System eine Anfrage mit dem öffentlichen Schlüssel. Kann diese Anfrage mit dem privaten Schlüssel beantwortet werden, gelten Nutzende als erkannt. Diese Variante ist bedeutend sicherer als eine App. Sie ist jedoch auch unflexibler. Geht ein Schlüssel verloren, ist der Zugriff auf damit geschützte Systeme nicht mehr möglich.
• Als veraltet gilt hingegen die Authentifizierung per SMS oder Anruf. Diese Methoden sind anfällig für „SIM-Swapping“ und sollten nur als Notlösung dienen. SIM-Swapping (auch SIM-Hijacking) ist eine Betrugsmasche, bei der Angreifer mit gestohlenen persönlichen Daten den Mobilfunkanbieter dazu bringen, eine Rufnummer auf eine neue SIM-Karte zu übertragen. Dadurch erhalten Angreifer Zugriff auf Anrufe und SMS, um Zwei-Faktor-Authentifizierungen (z. B. für Online-Banking) zu umgehen und Konten zu übernehmen.

Wenn Sie MFA einführen, müssen Sie unbedingt die Privatsphäre der Mitarbeitenden im Blick behalten. Zunächst sind Sie angehalten, den Mitarbeitenden in diesem Falle ein geschäftliches Smartphone zur Verfügung zu stellen. Niemand kann gezwungen werden, eine geschäftliche Authenticator-App auf seinem privaten Smartphone zu installieren. Scheidet das Geschäftstelefon aus, sollten Sie Alternativen wie Hardware-Token (z. B. YubiKeys) anbieten.

Den Punkt der Datensparsamkeit halten Sie in jedem Fall ein. Die App überträgt lediglich sicherheitsrelevante Daten zur Verifizierung. Ein Zugriff auf Fotos, Kontakte oder Standortdaten findet nicht statt. Sie müssen jedoch in jedem Falle die Belegschaft darüber informieren, welche Daten zu welchem Zweck erhoben werden.

Die Einführung von MFA in Microsoft 365 ist eine der effizientesten Methoden, um das Risiko von Datenpannen zu minimieren. Sie schützen damit die kritischen Informationen des Unternehmens. Aktivieren Sie MFA lieber heute als morgen. Es ist die beste Versicherung für Ihre digitalen Werte.

Abschließend finden Sie hier noch Tipps für eine dreistufige Kommunikationsstrategie, wie Sie MFA in Ihrem Unternehmen ankündigen, damit die Einführung reibungslos verläuft.

1. Rücken Sie das „Warum“ in den Fokus
   MFA ist eine IT-Vorschrift. Stellen Sie sie jedoch bitte nicht so dar. Betonen Sie stattdessen den Schutz der digitalen Identität jedes Einzelnen.
   Motto: „Wir schützen nicht nur Firmendaten, sondern verhindern, dass Kriminelle in Deinem Namen E-Mails versenden oder auf Deine persönlichen Gehaltsabrechnungen in SharePoint zugreifen können.“
2. Transparenz bei der Gerätenutzung
   Sollen Mitarbeitende eine Authenticator-App auf dem privaten Smartphone installieren? Das ist – wie bereits weiter oben erwähnt – keine gute Idee und häufig (zurecht) mit Kritik verbunden. Verzichten Sie bitte darauf. Unternehmensdaten sind von privaten Daten stets strikt getrennt zu halten.
   Sollte es (beispielsweise aufgrund der Unternehmensgröße) dennoch notwendig sein, erklären Sie bitte explizit, dass die App keinen Zugriff auf private Daten hat.
   In jedem Falle sollten Sie proaktiv Alternativen anbieten. Hardware-Token wie YubiKeys sind hier die erste Wahl, damit sich niemand genötigt fühlt, sein Privatgerät für dienstliche Zwecke zu nutzen.
   Sofern vorhanden – Denken Sie auch an die Einbindung des Betriebsrates/ der Personalvertretung und schaffen auch hier frühzeitig Transparenz und Akzeptanz.
3. Der „sanfte Rollout“
   Nichts frustriert mehr als ein gesperrter Account am Montagmorgen. Damit Ihre Mitarbeitenden ohne Probleme mit der neuen Methode arbeiten können, planen Sie die Einführung sorgsam. Starten Sie zunächst mit einer kleinen Pilotgruppe. Achten Sie darauf, dass hier auch Mitarbeitende vertreten sind, die eventuell über weniger technisches Knowhow verfügen. So rollen Sie MFA nicht nur kontrolliert aus, sondern identifizieren mögliche „Kinderkrankheiten“. Planen Sie die Einführung zeitlich so, dass ausreichend Kapazitäten im IT-Support zur Verfügung stehen, um Ersteinrichtungsfragen sofort zu klären.

Wie bei jeder Technologie kann es zu Beginn zu Widerständen oder Ablehnung kommen. Lassen Sie sich davon nicht beirren. Nach kurzer Zeit wird die neue Vorgehensweise Routine sein. Und Sie haben für Ihr Unternehmen wieder ein Stück mehr Sicherheit gewonnen.

Haben Sie Fragen zu diesem Thema?
Unser Team steht für Sie bereit.