Die Pläne zur Einführung der MFA wurden bereits im Oktober in einem Dokument erwähnt, aber erst diese Woche von Mayank Upadhyay, dem Vizepräsidenten der Ingenieurabteilung, offiziell in einem Blogbeitrag bestätigt.
„Wir werden die MFA für Google Cloud in einem gestaffelten Ansatz einführen, der 2025 weltweit für alle Nutzer ausgerollt wird“, schrieb Upadhyay. „Um einen reibungslosen Übergang zu gewährleisten, wird Google Cloud Unternehmen und Nutzern im Voraus Benachrichtigungen zukommen lassen, um bei der Planung der MFA-Einführung zu helfen.“
Diese Ankündigung erfolgt vor dem Hintergrund zahlreicher Datenlecks, bei denen allein im Jahr 2024 über eine Milliarde Datensätze gestohlen wurden. Ein Beispiel ist der Ransomware-Angriff auf Change Healthcare im Februar, bei dem Gesundheitsdaten von über 100 Millionen Menschen in den USA entwendet wurden. Ursache war der Diebstahl von Backend-Zugangsdaten, die nicht durch MFA geschützt waren.
Auch das Data Warehousing Unternehmen "Snowflake" geriet in die Schlagzeilen, nachdem private Daten von Hunderten seiner Kunden, darunter auch Ticketmaster, online zu finden waren. Diese Vorfälle wurden ebenfalls durch das Fehlen einer verpflichtenden MFA verursacht. Snowflake führte daraufhin die MFA als Option für Administratoren ein, überlässt es jedoch den Kunden, diese zu aktivieren.
Ironischerweise arbeiteten Sicherheitsexperten von Mandiant, einer Google-Tochter, mit Snowflake zusammen, um den Datendiebstahl zu untersuchen. Sie kamen zu dem Schluss, dass die Vorfälle die Notwendigkeit einer universellen MFA-Durchsetzung und sicheren Authentifizierung verdeutlichten.
Ab Anfang 2025 wird Google alle Google Cloud-Nutzer, die sich derzeit mit einem Passwort anmelden, dazu verpflichten, MFA zu aktivieren. Dies bedeutet, dass sie nur noch mit einem sekundären Authentifizierungsmechanismus, wie einer Authentifizierungs-App oder einem physischen Sicherheitsschlüssel, auf ihre Konten zugreifen können.
Bis Ende 2025 wird diese Anforderung auch auf sogenannte „federated users“ ausgeweitet, die über einen Drittanbieter-Authenticator auf Google Cloud-Ressourcen zugreifen.
Googles Ankündigung folgt ähnlichen Maßnahmen bei konkurrierenden Cloud-Anbietern. AWS begann im Juni mit der schrittweisen Einführung der verpflichtenden MFA, und Microsoft folgte kurz darauf mit Azure.
Auch Verbraucher sollen von der MFA für Standard-Google-Konten profitieren können, obwohl diese jedoch optional bleibt. Nutzer können die Funktion nach Belieben aktivieren und deaktivieren. Google gibt an, dass rund 70 Prozent der regelmäßig genutzten Google-Konten die Zwei-Schritt-Verifizierung (2SV) aktiviert haben. Für Geschäftskunden wird dies jedoch aufgrund der erhöhten Risiken bei Cloud-Bereitstellungen verpflichtend.
KING DEALS! Jetzt HIER fette Rabatte auf Top-Hardware von Markenherstellern sichern! 
