Per-Session-MFA: Identitätsbasierte Sicherheit mithilfe Multi-Faktor-Authentifizierung bei jeder Sitzung

BeyondTrust Privileged Remote Access integriert erstmals Multi-Faktor-Authentifizierung (MFA) bei jeder Sitzung („Per-Session-MFA“), um die Identitätsprüfung nicht auf einen einmaligen Anmeldevorgang zu beschränken. Die Nutzung von MFA-Technologien zur Verifizierung der Benutzer und zur Sicherung kritischer IT-Ressourcen ist ein zentraler Bestandteil moderner Cybersicherheitsstrategien. „Per-Session-MFA“ ermöglicht es Organisationen, höchste Sicherheit zu erreichen, ohne die Produktivität der Endbenutzer zu beeinträchtigen.

In diesem Blogbeitrag erfahren Sie, warum die sitzungsbezogene Authentifizierung ein wesentlicher Bestandteil Ihrer Verteidigungsmaßnahmen gegen moderne Identitätsbedrohungen sein sollte und wie Ihr Unternehmen davon profitiert.

Was ist „Per-Session-MFA“?

„Per-Session-MFA“ ist eine Policy-Erweiterung, bei der Benutzer ihre Identität zu Beginn jeder Sitzung und nicht nur bei der ersten Anmeldung validieren müssen. Auf diese Weise wird sichergestellt, dass jede Sitzung – unabhängig davon, ob der Zugriff auf Anwendungen, Systeme oder Daten gewährt wird – nur von einem ordnungsgemäß autorisierten Benutzer initiiert wird. Durch die zusätzliche Schutzebene können Unternehmen das Risiko von Session-Hijacking, des Diebstahls von Anmeldeinformationen und anderer Cyberbedrohungen erheblich reduzieren.

Per-Session-MFA entscheidend für sichere Zugriffskontrolle

Die Implementierung von MFA-Technologien ist mittlerweile ein zentraler Bestandteil von Sicherheitsstrategien, da identitätsbasierte Angriffe auf IT-Systeme immer stärker zunehmen. Laut dem Microsoft 2023 Identity Security Trends and Solutions Report sind Microsoft-Systeme beispielsweise jede Sekunde über 1.000 Passwortangriffen ausgesetzt — und bei 99,9 Prozent der kompromittierten Konten war Multi-Faktor-Authentifizierung nicht aktiviert. MFA-Sicherheit bedeutet, dass Password-Spraying-Angriffe und Brute-Force-Attacken auf Kennwörter allein nicht erfolgreich sein können und so das Risiko kompromittierter Konten in einem Unternehmen massiv verringert werden kann. Selbst wenn ein Angreifer das Passwort eines Benutzers erhält, benötigt er immer noch den zweiten Faktor — z. B. einen Code, der an das Telefon des Benutzers gesendet wird, einen Fingerabdruck-Scan oder ein Sicherheitstoken — unabhängig davon, wo auf der Welt er sich befindet.

Eine von Okta durchgeführte und im Secure Sign-in Trends Report aufgeführte Umfrage zeigt, dass im Januar 2023 insgesamt 64 Prozent der Benutzer und 90 Prozent der Administratoren Multi-Faktor-Authentifizierung einsetzen. Und der LastPass Global Password Security Report zeigt einen Anstieg der MFA-Nutzung um zwölf Prozent im Vergleich zum Vorjahr, wobei 57 Prozent der 47.000 global aufgestellten Unternehmen MFA-Prozesse implementiert haben. Dieser Trend zeigt das wachsende Vertrauen in die Wirksamkeit von Multi-Faktor-Authentifizierung beim Schutz von Benutzerkonten und als essenzielle Sicherheitsmaßnahme insgesamt.

Beschränkt sich die Authentifizierung nur auf die einmalige Einwahl, reicht der Schutz vor komplexen Identitätsbedrohungen oder kompromittierten Identitäten nicht aus. Durch den Einsatz von Multi-Faktor-Authentifizierung bei jeder Sitzung bleibt dagegen der persönliche Sicherheitsstatus kontinuierlich hoch. Dieser Ansatz lässt sich mit anderen Zugriffsrichtlinien unter Einbindung kontextbezogener Daten kombinieren. Zusätzlich zu Workflows für die Überprüfung von Zugriffsanfragen kann beispielsweise geprüft werden, welche Arbeitszeiten ein Benutzer hat oder von welcher IP-Adresse aus ein Gerät zugreift. Auf diese Weise wird der Sicherheitsstatus regelmäßig geprüft, um die Identitätssicherheit im Unternehmen bei jedem Zugriffsversuch zu gewährleisten.

Von Per-Session-MFA zu Just-In-Time-Sicherheit

Zum Schutz besonders sensibler IT-Assets und Daten ist bei jeder Zugriffsanforderung die MFA-Abfrage in Kombination mit einer zusätzlichen Prüfung durch eine Person ein wichtiger Sicherheitsgewinn — aber es gibt keine Regel ohne Ausnahmen. So kann es in Notfallsituationen zwingend erforderlich sein, Sofortmaßnahmen zur Behebung eines Systemausfalls oder Sicherheitsvorfalls zu ergreifen. Insbesondere außerhalb der Geschäftszeiten möchte niemand, dass die verantwortlichen Techniker darauf warten müssen, bis jemand anders die Anfrage überprüft hat. Stattdessen sollten dann angeforderte Zugriffe möglichst schnell erfolgen.

Für solche Fälle bietet Privileged Remote Access eigene Zugriffsrichtlinien, die in ITSM-Tools integriert werden können, wie z. B. ServiceNow. Die Zugriffsrichtlinien sind mit Incident-Response-Tools verknüpft, um situationsbezogene Workflows auszulösen und gültige Incident-Tickets zur Initiierung einer Zugriffsanforderung mit Multi-Session-MFA zu kombinieren. Das stellt sicher, dass Techniker nur dann Just-in-Time-Zugriff auf kritische Assets bekommen, wenn der Zugriff unbedingt erforderlich ist. Zugleich wird die Identität des Benutzers durch kontinuierliche Autorisierungsmaßnahmen validiert – ohne auf eine menschliche Überprüfung und Freigabe warten zu müssen. So ist eine maximale Sicherheit ohne Beeinträchtigung der Produktivität erreichbar.

Privileged Remote Access verfolgt einen Zero-Trust-Ansatz beim Zugriffsschutz und gibt autorisierten Benutzern nur zeitlich begrenzte und aufgabenabhängige Remote-Access-Freigaben.

In gewisser Weise ist ein Netzwerk mit einem großen Bürogebäude und entsprechend vielen Räumen vergleichbar. Ohne Per-Session-MFA könnte jede Person, die sich Zugang zum Gebäude verschafft, auf den Serverraum zugreifen. Zu strenge Prozesse würden jedoch dazu führen, dass sich die Mitarbeiter jedes Mal authentifizieren müssten, wenn sie einen neuen Raum im Gebäude betreten – auch in weniger sensiblen Bereichen. Mitarbeiter könnten nicht mehr normal arbeiten und Arbeitsabläufe würden sich dramatisch verlangsamen.

Per-Session-MFA gewährleistet, dass Benutzer in Hochsicherheitsbereiche (wie z. B. in den Serverraum) nur nach einer zusätzlichen Authentifizierung gelangen, während der Zugang zu weniger sensiblen Bereichen wie gewohnt erfolgt. Das ermöglicht einen sicheren Just-in-Time-Zugriff auf kritische IT-Assets oder sensible Daten, ohne die Arbeitsproduktivität der Mitarbeiter zu stören.

Privileged Remote Access bietet hohe Zugriffssicherheit und verfügt mit Per-Session-MFA über eine zusätzliche Funktionalität für ein granulares Sicherheitsframework, das den Punkt-zu-Punkt-Zugriff mit der identitätsbasierten und kontinuierlichen Autorisierung verbindet.

Aktivierung von Per-Session-MFA für Privileged Remote Access

Privileged Access Management vereinfacht den Einsatz von Multi-Session-MFA. IT-Administratoren müssen nur folgende Schritte ausführen:

Auswahl der Jump-Richtlinie, bei der Multi-Session-MFA aktiviert werden soll
Auswahl von „Enable Per-Session MFA“ als Option in der verwendeten Jump-Richtlinie

Für jedes Jump-Item mit entsprechend zugewiesenen Richtlinien muss sich ein Benutzer nun per MFA-Abfrage authentifizieren, um eine Zugriffssitzung starten zu können. Beim Zugriff auf einen Endpunkt wird eine Authentifizierungsaufforderung generiert. Zuvor müssen alle anderen Anforderungen der zugewiesenen Richtlinie erfüllt sein (wie zum Beispiel zugewiesene Arbeitszeit, Zugriff von einer anerkannten IP-Adresse oder manuelle Überprüfung und Genehmigung durch den Teamleiter).

Wann empfiehlt sich der Einsatz von Per-Session-MFA?

Per-Session-MFA kann als Teil jeder Zugriffsrichtlinie im Unternehmen aktiviert werden, ist jedoch besonders wertvoll, wenn es beim sicheren Zugriff auf die sensibelsten und geschäftskritischsten Technologieressourcen verwendet wird. Alle Produktionsserver, Cluster oder Datenbanken sollten mit Zugriffsrichtlinien geschützt werden, die zusätzlich zu kontextbezogenen Validierungsoptionen auch Per-Session-MFA nutzen. Das gewährleistet sichere Zugriffe auf kritische Infrastrukturen und Geschäftstechnologien, ohne die Produktivität im Unternehmen zu beeinträchtigen. Privileged Remote Access erweitert diese Vorteile auf jedes System und jeden Benutzer.

Per-Session-MFA mit Privileged Remote Access in Ihrer Organisation

Möchten Sie die Sicherheit Ihrer Organisation mit Per-Session-MFA stärken und mehr über Privileged Remote Access erfahren? Testen Sie die Lösung gerne kostenfrei und machen Sie den ersten Schritt in Richtung identitätssicherer, produktiver Abläufe.