Wegen Handyverbots: Schulen schaffen 2-Faktor-Authentifizierung ab

„In den vergangenen Wochen, haben wir eine besorgniserregende Zunahme kompromittierter Schülerkonten gesehen“ schreiben die 81 öffentlichen Schulen Portland, Oregons (Portland Public Schools, PPS) an die Eltern, „Angreifer verschaffen sich Zugriff auf diese Konten und nutzen sie, um tausende Phishing- und Betrugs-Emails in alle Welt zu senden.“ Die ungewöhnliche Lösung für das Problem: „Schüler werden keine Multifaktorauthentifizierung (MFA) für ihre Google-Konten mehr einrichten können.“

Kein Scherz. Die PPS haben heise online die Echtheit des Rundschreibens bestätigt, meinen aber: „Wir schaffen MFA nicht vollständig ab. Wir wechseln auf eine andere Plattform.“ Klingt gut, entpuppt sich aber als potemkinsches Dorf. Die neue „MFA“ ist keine, zudem schützt die Maßnahme die Google-Konten nicht.

Anstatt sich wie bisher auf ihren Chromebooks in ihre Google-Konten einzuloggen, was auch den Zugriff auf die Schulumgebung Classlink öffnet, wird das Prozedere umgedreht: Die Kinder sollen sich bei Classlink einloggen, und ihr Konto mit Google verknüpfen, sodass sie über Classlink zu Gmail, Google Drive und Co gelangen können. Theoretisch bietet Classlink Zwei-Faktor-Authentifizierung (2FA, eine Form der MFA) an: mittels Authenticator-App (TOTP), Hardware-Schlüssel (Yubikey) oder der veralternden Methode per SMS zugemittelter Einmalcodes.

Fake 2FA

Bloß nutzt die Schulverwaltung keine dieser MFA-Methoden. Vielmehr wir den Schülern geraten („we strongly encourage“), zusätzlich zu Username und Passwort noch eine sechsstellige PIN (bei kleineren Kindern ein Bild) auszuwählen, was beim Login abgefragt wird. Classlink vermarktet das zwar als MFA, es ist aber keine. Denn Multifaktorauthentifizierung stellt darauf ab, dass neben dem Faktor Wissen (Username, Passwort, PIN/Bild, Mädchenname der Base, Geburtsort des Oheims, et cetera) eben noch andere, vom Erinnerungsvermögen unabhängige Faktoren, gegeben sein muss.

Das wäre in aller Regel der Besitz eines Geräts wie zum Beispiel eines Handys (Authenticator App), einer SIM-Karte (SMS) oder eines Hardwareschlüssels; möglich wäre auch die Beschränkung auf bestimmte Orte oder Netzem aber die Kinder sollen sich auch von auswärts einloggen können. Handys sind in Portlands Schulen verboten, und 44.000 Yubikeys für die Schüler (4-18 Jahre) zu beschaffen, war wohl zu teuer. Zudem wäre die Verlustrate der kleinen USB-Dinger unter Schülern wohl nicht unerheblich.

Wer ist schuld? Die Kinder!

An der Misere sollen nach Darstellung der Schulverwaltung übrigens die Kinder schuld sein: Sie würden die Passwörter für ihre schulischen Google-Konten oft auch bei anderen Online-Diensten verwenden (wo sie unzulänglich gesichert werden). Dort eingedrungene Angreifer würden die erbeuteten Zugangsdaten dann bei Google einsetzen.

Dagegen hilft 2FA. Doch weil die Kinder mangels Handys oder Yubikeys Googles 2FA nicht nutzen können, verwenden sie diese Abwehrmaßnahme nicht. Ein gefundenes Fressen für die Angreifer: Sie loggen sich ein und aktivieren selbst die 2FA des fremden Google-Kontos – mit ihrer eigenen Authenticator-App, zum Beispiel – um sich zu verankern. In Verbindung mit unzureichendem Support Googles macht es das für die IT-Administratoren der PPS schwierig, die gekaperten Google-Konten zurückzuholen.

Die generelle Abschaltung der 2FA-Funktion in den Google-Konten ist Ausweis der Kapitulation: Die Angreifer dürfen ruhig kommen und sich direkt bei Google einloggen. Weil sie die 2FA nicht aktivieren können, wird man sie schneller los. Als flankierende PR-Maßnahme wird die Pseudo-MFA mit den PINs oder Bildern ventiliert. Dass echte MFA funktionieren würde, ist dem Rundschreiben selbst zu entnehmen: „Es ist erwähnenswert, dass wir keine vergleichbaren Probleme mit Mitarbeiterkonten haben, dank Duo MFA.“

(ds)