Wie Unternehmen von Multi-Faktor-Authentifizierung profitieren.
Das Passwort soll sensible Daten vor neugierigen Augen und vor Cyberkriminellen schützen – und doch stellt es eine der bekanntesten Sicherheitslücken dar. Dies zeigte jüngst eine Befragung von 1.000 Angestellten internationaler Großunternehmen durch SailPoint: Trotz Firmenrichtlinien pflegten 56 Prozent aller Befragten einen laxen Umgang mit ihren Passwörtern und benutzten das gleiche Kennwort für mehrere Anwendungen. 20 Prozent der deutschen Angestellten waren sogar bereit, ihr Passwort zu verkaufen. Viel Geld muss der Angreifer hier nicht in die Hand nehmen – bei 44 Prozent der Verräter würden bereits 1.000 Dollar ausreichen.
Um die Sicherheit im Unternehmen signifikant zu erhöhen, empfiehlt das Payment Card Industry Security Standards Council schon seit geraumer Zeit, auf Multi-Faktor-Authentifizierung (MFA) zu setzen. Dahinter steckt die Idee, drei Grundbereiche der Authentifizierung miteinander zu verknüpfen: Etwas, das der Nutzer besitzt, wie ein Token oder ein Smartphone; ein Körpermerkmal des Nutzers, zum Beispiel ein Fingerabdruck und andere biometrische Merkmale; und drittens etwas, das der Nutzer weiß, eben ein Passwort.
Die Bedrohung wird unterschätzt
Warum setzen Unternehmen also weiter nur auf den dritten Grundbereich und geben sich mit dem Passwort zufrieden? Die Argumentation lautet zumeist, Passwörter seien keine große Bedrohung für den Geschäftserfolg. Eine trügerische Annahme insbesondere auch vor dem Hintergrund, dass erst kürzlich nordrhein-westfälische Krankenhäuser Opfer von Cyberattacken wurden und neben ihrem IT-Betrieb auch die medizinische Versorgung herunterfahren mussten. Auch wenn diese Netzwerkangriffe nicht unmittelbar auf Identitätsdiebstähle zurückzuführen waren, so stellt das Passwort die größtmögliche Schwachstelle bei Cyberattacken dar.
Einer der wahren Gründe für den bislang noch eher zögerlichen Einsatz von umfassenden MFA-Verfahren ist wie immer das Geld. Offenbar zählen die Implementierungskosten bisher zu den größten Hemmnissen bei der Umsetzung derartiger Systeme. Ebenfalls nicht zu unterschätzen ist die Komplexität der heterogenen Infrastrukturen und die damit verbundenen verschiedenen Authentifizierungs-Anwendungsfälle. Cloud Services oder auch mobile Geräte können oftmals nicht über das gleiche MFA-Produkt abgesichert werden. Insgesamt steigt jedoch der Wunsch, die eigenen Daten besser zu schützen – sei es durch staatlichen Druck oder die Angst, sich vor Stakeholdern zu blamieren, wie es bereits zahlreiche Branchengrößen in den letzten Monaten vorgemacht haben.
Nutzer gewöhnen sich schnell an MFA
Wie so oft sind es nicht die Traditionsunternehmen, die an der Spitze der technologischen Entwicklung reiten, sondern die Tech-Giganten. So haben Google und Facebook längst auf Multi-Faktor-Authentifizierung gewechselt und senden ihren Nutzern in kritischen Fällen etwa eine SMS mit einer PIN zur Authentifizierung. Erst nach Eingabe dieses Einmalpassworts kann der Nutzer das Angebot weiter verwenden. Will ein Angreifer Zugriff auf den Webdienst erlangen, so muss er dadurch nicht nur an das Nutzerpasswort, sondern auch an das Smartphone des Nutzers kommen. Die Nutzer gewöhnen sich so schnell an die neue Technik und werden diese auch in ihrem Arbeitsumfeld einzusetzen wissen.
Die Anzahl der Authentifizierungsmethoden wächst rasant. Die Auswahl geht von Fingerabdrücken über Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera. Insbesondere Authentifizierung anhand biometrischer Informationen ist eine vielversprechende Lösung, aber auch diese weisen Schwächen auf. So wurden auch schon Daten, die über Fingerabdrücke gesichert waren, durch Hacker bereits gestohlen. Ein interessantes Verfahren, an dem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennen und prüfen kann.
Kontexterkennung senkt das Risiko
Neben der stetigen Entwicklung neuer Authentifizierungsfaktoren spielt auch die Risikokalkulation eine immer wichtigere Rolle. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen; dazu muss die verwendete Methode sowohl zur Rolle als auch zum Kontext der Situation des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden.
Nicht jede sichere Interaktion birgt dasselbe Risiko für alle Benutzer im Unternehmen. So sollte eine Anwendung reagieren, wenn das Login außerhalb der typischen Uhrzeit, von einem ungewöhnlichen Land oder von einem neuen Gerät aus erfolgt. Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out-of-Band-Transaktionen – oder andere Elemente gewährleistet wird. Dies funktioniert nur, wenn eine Abstraktion der Authentifizierung von der Anwendungsebene stattfindet. Dies ist bei der Entwicklung des Login-Verfahrens ein häufig genannter Vorsatz, wird jedoch in der Praxis nicht immer umgesetzt.
MFA integriert Risikokalkulation als festen Bestandteil. Davon profitiert sowohl der Nutzer als auch der Entwickler; für den Nutzer werden Anwendungen sicherer und der Entwickler muss sich nicht länger mit Login-Dialogen auseinandersetzen.
Single-Sign-On
Um den Login-Vorgang zu vereinfachen und eine aufwendige Programmierung für jede Anwendung zu ersparen, kann auf Single-Sign-On-Mechanismen (SSO) zurückgegriffen werden. Nach der Authentifizierung bleibt der Nutzer für die Dauer einer Session eingeloggt. Der SSO-Mechanismus ermöglicht jedoch mehr: Er bestätigt auch anderen Anwendungen die physische Identität des Nutzers, sodass diese den Nutzer nicht wiederholt zur Anmeldung auffordern. Dies hilft Mitarbeitern, nicht nur die Sicherheit zu erhöhen, sondern effizienter mit vielen Anwendungen zu arbeiten.
Für die Hersteller von Authentifizierungsverfahren gilt es, die Hürden neuer Verfahren so gering wie möglich zu gestalten. Die stetig besser werdenden biometrischen Authentifizierungsverfahren werden viele IT-Manager begeistern, die bereits selber Passwortweitergabe oder Passwortdiebstahl in ihrer Firma erlebt haben. Unternehmen sollten sich überlegen, ob eine Einführung von Multi-Faktor-Authentifizierung auch in ihrer IT-Infrastruktur Schwachstellen beseitigen und den Arbeitsablauf vereinfachen kann.
Christoph Stoica, Micro Focus
Foto: CC0
Zwei-Faktor-Authentifizierung bei SaaS-Lösungen – Security first
Mobile Endgeräte im RZ-Betrieb – nützlich, wenn sicher gemanagt
Mobile Security: Unstimmigkeiten zwischen wahrgenommenen und tatsächlichen Sicherheitslücken
Datenschutzverletzung: Kein Vertrauen in eigene Fähigkeit zum Schützen von Daten
Passwörter regelmäßig ändern – Tipps für starken Zugangsschutz