foto cc0
Mobilität und Flexibilität sind mittlerweile feste Produktivitätsfaktoren für Unternehmen. Mobiles Arbeiten an den unterschiedlichsten Orten ist für viele Arbeitnehmer zur Realität geworden – auch Home-Office-Szenarien werden durchaus beliebter. Durch die Verfügbarkeit moderner Hochgeschwindigkeitsnetze und die Entwicklung hin zu Cloud-Computing-Szenarien, eignen sich vor allen Dingen Software as a Service (SaaS) Bereitstellungsmodelle, um den Arbeitnehmern entsprechende Office- und Produktivitätstools zur Verfügung zu stellen, die sie für ihre tägliche Arbeitserbringung benötigen.
Doch die Möglichkeit sich an unterschiedlichen Orten und Endgeräten einzuloggen bietet selbstverständlich auch mannigfaltige Risiken für die stellenweise hochsensiblen Daten, die beispielsweise über SaaS-ERP oder -CRM-Lösungen verfügbar sind. Fremdzugriff, Datenmissbrauch oder -klau sind hier Szenarien die durchaus denkbar sind. Was also gegen diese Gefahren unternehmen?
Zwei-Faktor-Authentifizierung – Definition & Beispiele
Das persönliche Passwort stellt nur eine erste, einfache Hürde dar – viel zu oft werden simple Passwörter wie »123456« oder »password« verwendet – SplashData veröffentlicht hierzu jährlich ein Ranking mit den TOP25 verwendeten Passwörtern, die nach einem Hack im Internet aufgetaucht sind. Passwort-Vorgaben tragen sicherlich dazu bei, diese Hürde sicherer zu machen, ein zweiter Faktor sorgt jedoch zusätzlich für erhöhte Sicherheit. Die Zwei-Faktor-Authentifizierungsmethode etabliert sich dabei mehr und mehr bei SaaS-Anbietern.
Diese Methode setzt sich aus der Kombination zweier verschiedener und insbesondere unabhängiger Komponenten (Faktoren) zusammen, die dem eindeutigen Identitätsnachweis dienen. Dies ist bereits aus dem Banking-Bereich bekannt, in dem man neben dem persönlichen Pin auch noch die Bankkarte (ein sogenanntes Token) benötigt, um Geld abheben zu können. Fehlt eines dieser Merkmale, ist eine eindeutige Identifizierung nicht möglich – der Zugriff wird verweigert.
Softwarehersteller bedienen sich mittlerweile dieser Methode und bieten sie zunehmend für ihre Software an. Der Cloud-ERP-Anbieter Weclapp beispielsweise führte vergangenen Monat diese Methode ein und entschied sich zunächst für eine USB-Token Variante. Hierbei dient neben den Accountdaten zusätzlich ein USB-Stick als Sicherheitsschlüssel (durch das U2F-Protokoll), um letztlich Zugang zu seinen Daten zu erhalten. Nachteile der Hard-Token-Variante sind jedoch sicherlich die Anschaffungskosten, als auch die Kosten die bei Beschädigung oder Verlust entstehen – ganz abgesehen von den eingeschränkten Zugriffsmöglichkeiten, die bei einem Vergessen/Verlegen des USB-Tokens entstehen.
Daher kündigte Weclapp auch eine Soft-Token-Variante (TOTP – time-based one-time password Methode) für Q3/2016 an – der Kunde soll entscheiden können welche Variante für ihn und in seinem persönlichen Einsatzfeld sinnvoll erscheint. Weitere Beispiele sind oftmals im Enterprise-File-Sync-Umfeld zu beobachten. Brainloop bietet innerhalb ihres Dox-Produkts beispielsweise eine Soft-Token-Variante, die auf kurzlebigen Einmalschlüsseln basiert und die per SMS versendet werden. Auch PMG oder Netfiles bieten unter anderem diese One-Time-Passwort-Varianten an, die aus einem Pin-Code bestehen, welcher bei jedem Anmeldevorgang neu generiert wird und einmalig, zeitlich beschränkt gültig ist. Auch bei Remote-Support-Tools wie TeamViewer ist die Aktivierung der Zwei-Faktor-Authentifizierung möglich und der Code erscheint dann in einer der vielen kostenlosen Apps, wie dem Google Authenticator. Hierbei wird selbstredend davon ausgegangen, dass etwa das persönliche Smartphone – welches unmittelbar einem User zugeordnet werden kann – als Token ohnehin immer beim User vorhanden ist.
Oftmals wird die Variante bereits optional angeboten – und nicht genutzt
Es ist zu beobachten, dass bereits viele Systeme und Dienste (Office 356, Dropbox, aber auch Facebook, Google oder Apple) längst die Zwei-Faktoren-Authentifizierung anbieten. Diese Methode bietet eine effektive Möglichkeit SaaS-Dienste durch zwei unabhängige Komponenten sicherer zu machen – das Problem hierbei jedoch: die Methode wird oftmals optional angeboten und demnach schlichtweg nicht genutzt. Selbstverständlich ist es nicht ganz mühelos, sich neben seinem normalen Passwort ebenfalls zusätzlich mit einem Einmal-Code einzuloggen (etwa wenn ein neues Gerät verwendet wird oder man über einen anderen Browser auf die SaaS-Dienste zugreift), der Sicherheit, die oftmals gerade von emotional argumentierenden Cloud-Gegnern bemängelt wird, würde es jedoch guttun.
It’s always the same!
Wie in vielen anderen von IT durchdrungenen Gebieten, zeichnet sich auch hier wieder eine Gemeinsamkeit ab: der User nutzt – sofern nicht durch die Enterprise-IT gezwungen – stets den einfachen und komfortablen Weg beziehungsweise Zugang und ist nicht willens, Umwege zu gehen. Dies gilt uneingeschränkt für beinahe alle End-User so lange der einfache Weg zum Ziel ohne große Schmerzen, respektive Aufwand und Kosten funktioniert. Das Chaos sucht sich seinen Weg!
Cloud-Service- und vor allem Security-Anbieter müssen neben dem Marketing peinlich genau auf Use Cases und die Usability achten, um moderne und notwendige Sicherheitsverbesserungen schnell bei einer breiten Masse von Usern implementieren zu können. Komplizierte und umständliche Zugänge oder Lösungen werden schlichtweg ignoriert – auch wenn sie die höchst mögliche Sicherheit bieten. In der Vergangenheit krankten leider gerade solche Lösungen immer an schlechter Usability und wurden daher selten flächendeckend eingesetzt.
Es kommt heute darauf an Medienbrüche zu vermeiden, mobile Geschäftsszenarien und die »always on« Mentalität tatsächlich zu berücksichtigen. Somit zählen nur die Lösungen als zukunftsträchtig, welche »out of the box« die jeweiligen individuellen, technischen und geräteklassennativen Möglichkeiten von Laptops, Smartphones, Tablets und sogar Wearables ausreichend ausreizen. Systeme müssen also direkt und plattformübergreifend – unter Zuhilfenahme der jeweils besten technischen Optionen (Fingerprint, Iris Scan, Sprachverifizierung, E-Mail, SMS oder Bluetooth-Token) – zur Verfügung stehen und dem Nutzer dabei noch die komfortabelste Variante bieten – kein leichtes Unterfangen, aber mittlerweile durchaus möglich.
Eine interessante, übersichtliche (wenn auch nicht vollständige) Liste der gängigen Webdienste, die mittlerweile eine Zwei-Faktoren-Authentifizierung anbieten, finden Sie beispielsweise hier:
https://twofactorauth.org/
Heiko Henkes, Oliver Giering, Experton Group, www.experton.de
Acht Fehler bei der Authentifizierung, die man vermeiden sollte
Datenschutzverletzung: Kein Vertrauen in eigene Fähigkeit zum Schützen von Daten
Neues IT-Sicherheitsgesetz: Sicherheitstipps für Unternehmen