Google Cloud wird die Multi-Faktor-Authentifizierung (MFA) bis 2025 für alle Nutzer verpflichtend einführen, ein Schritt, der eindeutig darauf abzielt, die Sicherheit als Reaktion auf eskalierende Cyber-Bedrohungen zu erhöhen. Ab diesem Monat wird Google Erinnerungen und Ressourcen einführen und Kunden dazu auffordern, MFA einzuführen. Dieser stufenweise Durchsetzungsplan unterstreicht einen breiteren Branchentrend: Wenn es um Sicherheit geht, gehört es der Vergangenheit an, sich ausschließlich auf Passwörter zu verlassen.
Warum verlangt Google MFA in Google Cloud?
Die Motivation hinter Googles Vorstoß für MFA ist klar. Cyber-Verstöße nehmen zu, und schwache Sicherheitspraktiken stehen im Mittelpunkt dieser Angriffe. Allein im Jahr 2024 wurden bei verschiedenen Verstößen über 1 Milliarde Datensätze gestohlen. Besonders hervorzuheben sind Vorfälle bei Change Healthcare und Snowflake, bei denen sensible Daten aufgrund kompromittierter Anmeldeinformationen ohne MFA offengelegt wurden. Die Entscheidung von Google signalisiert die Anerkennung, dass Cybersicherheitsrisiken traditionelle Schutzmaßnahmen übertroffen haben.
Mayank Upadhyay, Googles Vizepräsident für Technik, ausgelegt Die Haltung von Google ist klar: „Angesichts der Sensibilität von Cloud-Bereitstellungen – und da Phishing und gestohlene Anmeldeinformationen nach wie vor ein Hauptangriffsvektor sind, den unser Mandiant Threat Intelligence-Team beobachtet hat – glauben wir, dass es an der Zeit ist, 2SV für alle Nutzer von Google Cloud zu fordern.“ Durch die Durchsetzung von MFA erhöht Google den Einsatz für die Kontosicherheit und spiegelt die Einstellung wider, dass Cyber-Resilienz mittlerweile mehr als nur sichere Passwörter erfordert.
Wie Google die Einführung von MFA für Cloud-Nutzer plant
Google legt nicht über Nacht einen Schalter um. Stattdessen wird die obligatorische MFA schrittweise eingeführt, um Benutzern und Unternehmen Zeit zur Anpassung zu geben. Folgendes erwartet Sie in jeder Phase:
- Phase 1 (November 2024) – Ermutigung zur Ermöglichung von MFA:
Google hat damit begonnen, Erinnerungen und Anleitungen in die Google Cloud Console einzubetten und Benutzer dazu zu ermutigen, MFA freiwillig einzurichten. Es stehen Ressourcen zur Verfügung, um Teams bei der Planung und Durchführung von Tests zu unterstützen und eine reibungslose MFA-Bereitstellung sicherzustellen. In dieser Phase wird der Grundstein gelegt, das Bewusstsein geschärft und die Kunden an das herangeführt, was letztendlich zu einer Anforderung werden wird.
- Phase 2 (Anfang 2025) – MFA wird für passwortbasierte Anmeldungen obligatorisch:
Anfang 2025 wird Google damit beginnen, MFA für alle Google Cloud-Nutzer zu verlangen, die sich mit einem Passwort anmelden. Diese Anforderung erstreckt sich auf Google-Plattformen wie Firebase und gCloud, was bedeutet, dass Benutzer ihre Identität mit einer zweiten Authentifizierungsmethode überprüfen müssen – sei es ein Sicherheitsschlüssel, eine App-basierte Authentifizierung oder eine biometrische Überprüfung.
- Phase 3 (Ende 2025) – Ausweitung der MFA auf Verbundbenutzer:
Bis Ende 2025 wird das MFA-Mandat von Google Verbundnutzer erreichen – diejenigen, die sich über Drittanbieter-Identitätsanbieter anmelden. In dieser Phase wird sichergestellt, dass Konten bei Google Cloud unabhängig von der Anmeldemethode durch eine zusätzliche Sicherheitsebene geschützt werden. Für Organisationen, die Identitätsanbieter nutzen, bietet die MFA-Anforderung von Google eine zusätzliche, einheitliche Verteidigungsebene über alle Zugriffspunkte hinweg.
Der schrittweise Rollout gibt Benutzern die Möglichkeit, MFA zu integrieren, ohne den Betrieb zu unterbrechen, sodass Zeit für die Schulung der Teams und die Sicherstellung der Compliance in ihren Arbeitsabläufen bleibt.
Der Schritt von Google folgt den Branchentrends in Sachen Sicherheit
Dieser Wandel von Google steht im Einklang mit den jüngsten Schritten von Cloud-Giganten wie AWS und Microsoft. AWS begann bereits im Juni 2024 mit der Durchsetzung von MFA, und Azure von Microsoft folgte bald diesem Beispiel. Da sich Google Cloud diesem Trend anschließt, ist es klar, dass sich die Technologiebranche auf MFA als neuen Standard für Cloud-Sicherheit konzentriert. Für Google Cloud-Nutzer mag dieser Wandel angesichts der umfangreichen Erfolgsbilanz des Unternehmens bei Sicherheitsinnovationen überfällig erscheinen.
Während Verbraucher-Google-Konten seit langem optionale MFA anbieten, sieht die Lage in der Unternehmenswelt anders aus. Geschäftskonten enthalten häufig kritische und sensible Daten und sind daher ein Hauptziel für Cyberangriffe. Angesichts dieser erhöhten Risiken zieht Google eine Grenze und verlangt von Unternehmensbenutzern, ihre Konten zu stärken. Wie Upadhyay feststellte: „Heutzutage gibt es eine breite Akzeptanz von 2SV durch Nutzer aller Google-Dienste“, aber angesichts der Zugriffsebene und der damit verbundenen Daten sei eine verbindliche Durchsetzung „unvermeidlich“.
MFA: Was treibt den Drang nach einer stärkeren Authentifizierung an?
Der Drang zur MFA rührt von einer Realität her, die den meisten Menschen und Unternehmen bereits bekannt ist: Passwörter reichen nicht aus. Da Cyberangriffe immer ausgefeilter werden und auf Schwachstellen in der digitalen Infrastruktur abzielen, hat sich MFA als eine der effektivsten Methoden zur Verhinderung unbefugten Zugriffs erwiesen.
Studien belegen die Wirksamkeit von MFA. Nach Angaben der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) reduziert MFA die Wahrscheinlichkeit einer Kontokompromittierung um 99 %. Dabei müssen Benutzer ihre Identität mit einer zweiten Form der Verifizierung bestätigen – ein zusätzlicher Schritt, der Angreifer, die bereits ein Passwort erhalten haben, häufig abwehrt.
Die jüngsten Datenschutzverletzungen haben als warnendes Beispiel gedient. Zum Beispiel, Snowflake stand vor einer Lücke dass private Daten von Kunden durchgesickert sind TicketmasterDies verdeutlicht, wie fehlende MFA selbst große Organisationen angreifbar macht. Der Auftrag von Google zielt darauf ab, diese Lücken zu schließen und einen Präzedenzfall zu schaffen, dem andere folgen können.
Was das für Google Cloud-Nutzer bedeutet
Für Unternehmen und Einzelpersonen, die sich auf Google Cloud verlassen, bedeutet die obligatorische MFA, Sicherheitsanpassungen ernst zu nehmen. Eine frühzeitige Einführung wird insbesondere für Unternehmen empfohlen, die mehrere Benutzerkonten verwalten. Google stellt in seiner Cloud-Konsole Ressourcen bereit, die Benutzer durch die MFA-Einrichtung, Bereitstellungsplanung und Teamschulung führen.
Die gute Nachricht ist, dass Benutzer Optionen haben. Google Cloud ermöglicht eine Reihe von MFA-Methoden – von Authentifizierungs-Apps und SMS-Codes bis hin zu physischen Sicherheitsschlüsseln. Verbundbenutzer können unterdessen mit ihren primären Identitätsanbietern zusammenarbeiten, um MFA zu integrieren und so einen optimierten Anmeldeprozess aufrechtzuerhalten.
Der gestaffelte Zeitplan bietet ein gewisses Maß an Flexibilität. Unternehmen können diese Zeit nutzen, um sicherzustellen, dass die MFA-Richtlinien sowohl konform als auch praktisch sind und so Störungen minimiert werden. Die Ressourcen von Google zielen darauf ab, diesen Übergang zu erleichtern, aber Unternehmen sollten jetzt mit den Vorbereitungen beginnen, um Hürden in letzter Minute zu vermeiden.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney