AWS macht Multi-Faktor-Authentifizierung zur Pflicht
AWS macht Anmeldungen mittels Multi-Faktor-Authentifizierung obligatorisch. Der Hyperscaler will damit Konten und Daten besser absichern. Die Pflicht kommt ab Mitte 2024 und gilt zunächst für alle User mit Administratorrechten.
Wer bei Amazon Web Services (AWS) ein Konto hat, wird sich bald zwingend mittels Multi-Faktor-Authentifizierung (MFA) anmelden müssen. Wie der Hyperscaler mitteilt, führt er ab Mitte 2024 ein MFA-Obligatorium für seine User ein.
Den Anfang machen Root-Accounts, also die Konten jener Nutzer, die über Administratorrechte verfügen. Diese User werde man im Vorfeld direkt über die kommende Umstellung informieren, schreibt AWS. Im Laufe des Jahres 2024 werde man dann auch weitere Nutzerkonten auf MFA umstellen.
Multi-Faktor-Authentifizierung
Mit der MFA-Pflicht will Amazon Web Services die Sicherheit der Nutzerkonten und der gespeicherten Daten erhöhen. Das Verfahren “bietet eine zusätzliche Schutzebene, um zu verhindern, dass unbefugte Personen Zugriff auf Systeme oder Daten erhalten”, erklärt das Unternehmen. Wer diesen Schutz jetzt schon will, muss übrigens nicht bis 2024 warten. MFA kann optional jederzeit aktiviert werden, wie Amazon Web Services anmerkt.
AWS ist nicht das erste Unternehmen, welches eine MFA-Pflicht einführt. Google startete mit dem MFA-Obligatorium bereits im Herbst 2021. Längerfristig könnte dies der Abschied von klassischen Passwörtern bedeuten. Die Multi-Faktor-Authentifizierung (MFA) wurde entwickelt, um die Kompromittierung von Konten zu verhindern beziehungsweise zu erschweren. Und obwohl viele Unternehmen gerade bei sensiblen Accounts mittlerweile mehrere Authentifizierungsmechanismen verwenden, gelingt es Cyberkriminellen trotzdem immer noch recht häufig, sich Zugriff auf die Konten ihrer Opfer zu verschaffen. Doch Multi-Faktor-Authentifizierung hat ein Problem: Wenn nur eine der eingesetzten Authentifizierungsmethoden unsicher ist, ist es die ganze MFA. Vor allem herkömmliche passwortbasierte MFA-Lösungen sind kein Garant für Cybersicherheit mehr. Im Gegenteil, die Unternehmen wiegen sich in einer falschen Sicherheit und sind für Angriffe sogar noch anfälliger. Kriminelle Kontoübernahmen sind schon länger eine Bedrohung: Die Cyberkriminellen verwenden den dadurch erbeuteten Zugang in der Regel dafür, Daten zu stehlen oder zu verschlüsseln sowie Malware auf Unternehmenscomputer zu schleusen. Angriffe zur Übernahme von Konten zielen auch auf die Kunden der betroffenen Unternehmen ab. In vielen Fällen haben es die Angreifer auch auf die dort gespeicherten persönlichen Informationen abgesehen, die sie sammeln und später dann für Spear Phishing und andere Social-Engineering-Angriffe verwenden.