Sicherheit durch Identity-Management

02.11.2006 von Tanja Möhler
Nicht selten sind die Benutzer die Schwachstelle, wenn es um den Schutz von Unternehmensdaten geht. Wie Sie per Identity-Management gegensteuern können, zeigt dieser Artikel.

Von Tanja Möhler, tecChannel.de

Digitale Identitäten regeln den Zugriff eines Nutzers auf Unternehmensdaten und Anwendungen. Grundsätzlich meldet sich ein Mitarbeiter über seinen Benutzernamen und ein Passwort am System an und erlangt dann Zugriff auf die entsprechenden Ressourcen. Doch Passwörter wie der Name des Sohnes lassen sich leicht erraten oder durch "Social Engineering" in Erfahrung bringen. Auch komplizierte Kombinationen aus Buchstaben und Zahlen bringen nicht den erhofften Nutzen. Sie sind zwar nur schwer zu erraten, dafür können sich die Nutzer diese auch nur schwer merken. So steigt nach Urlaub oder Krankheit die Zahl der passwortbedingten Anfragen im Helpdesk.

Darüber hinaus richten auch komplexe Passwörter wenig aus, wenn diese von Mitarbeitern freiwillig an als IT- Administratoren getarnte Gauner herausgegeben werden. Die Anti-Phishing Working Group (APWG) warnt vor der technischen Raffinesse der Passwort-Fischer, die es nicht mehr nur auf Passwörter von Ebay-Kunden oder Bankdaten abgesehen haben, sondern ihre Attacken auch verstärkt auf Mitarbeiter einzelner Unternehmen richten. Auch Keyboard Logging mittels versteckter Software, die die Tastatureingaben des Nutzers protokolliert und an einen Außenstehenden übermittelt, führt komplexe Passwörter und Security Policies ad absurdum.

Mit der steigenden Zahl der Angriffe wächst die Furcht in Unternehmen. Laut einer Umfrage von Forrester sehen inzwischen 41 Prozent der Unternehmen Identitätsdiebstahl als ernste Bedrohung an. So ist es nicht verwunderlich, dass Identity-Management-Lösungen, mit denen sich Angaben zu Angestellten, Passwörter, Benutzerkonten und Zugriffsberechtigungen einrichten und verwalten lassen, an Bedeutung gewinnen.

Alternativen zur klassischen Authentisierung

Die Vielfalt an Produkten am Markt ist mittlerweile groß. IBM, Novell, Sun und CA warten bereits mit Identity-Management-Konzepten auf. SAP und Siemens haben eine gemeinsame Lösung angekündigt. Der System-Management-Spezialist BMC Software hat sich das entsprechende Know-how durch die Übernahme der Technologien von Calendra und Opennetwork einverleibt. Microsoft hat bereits mit dem Identity Integration Server 2003 (MIIS) eine entsprechende Lösung parat, will aber mit seiner "Infocard-Federated-ID"-Initiative eine breite Etablierung von Identity-Management und starker Authentisierung erreichen.

Daneben gibt es aber auch zahlreiche kleinere Anbieter mit entsprechenden Produkten. Die Bandbreite an Funktionalitäten, die von den jeweiligen Lösungen abgedeckt werden, variiert sehr stark, angefangen von reinen Single Sign-On Lösungen bis hin zu vollständigen Identity-Management-Systemen.

"Ein Patentrezept, das den Bedürfnissen aller Unternehmen gleichermaßen gerecht wird, gibt es nicht", kommentiert Ant Allan, Vice President Research bei Gartner, die Lösungsvielfalt. Vielmehr müsse jedes Unternehmen für sich eine Balance zwischen Kosten und Komplexität, Authentisierungsstärke, Ergonomie und Einsetzbarkeit finden.

Multi-Faktor- Authentisierung

Analyst Allan rät Unternehmen dazu, auf eine starke Authentisierung durch mehrere Faktoren zu setzen, die sich aus den Elementen Wissen, Besitz und charakteristische Merkmale des Nutzers zusammensetzen. In die Kategorie Besitz fallen beispielsweise Einmalpasswortgeräte, die über das Zufallsprinzip Passwörter generieren. Mit diesen meldet sich der Nutzer an seinem System an, er selbst braucht sich keine komplizierten Passwörter mehr zu merken. Wie es der Name schon sagt, sind die Zifferkombinationen nur ein einziges Mal gültig. Möchte sich ein Nutzer am System anmelden, drückt er beispielsweise beim "Safe Word Remote Access" von Secure Computing einen Knopf auf dem Passwortgerät und tippt anschließend die auf dem Display erscheinende Kombination in die Abfragemaske ein.

Safe Word Remote Access ist eine kombinierte Hardware-Software Lösung, die neben dem Token zur Erzeugung der Passwörter auch eine Serversoftware beinhaltet. Diese lässt sich in Microsofts Verzeichnisdienst Active Directory integrieren. Eine Installation weiterer Komponenten auf den Clients ist nicht erforderlich. Nachdem der Nutzer die Kombination eingegeben hat, verifiziert die Serversoftware die Anmeldung. Schützen lassen sich mit diesem Verfahren laut Hersteller neben dem Zugang zum Netzwerk auch Zugänge in virtuelle private Netze (VPNs), der Zugriff auf E-Mails sowie der Zugriff auf Radius-Server und Citrix-Applikationen. Um Missbrauch vorzubeugen, falls das Passwortgerät verloren geht oder gestohlen wird, kann es zusätzlich mit einer PIN gesichert werden. Damit wird die Authentisierung über den Besitz des Einmalpasswortgerätes über das zusätzliche Element Wissen (PIN) zu einer so genannten Zwei-Faktor-Authentisierung ausgebaut.

Smartcard plus Fingerabdruck

Die Zwei-Faktor-Authentisierung über eine Smartcard plus Fingerabdruck des Nutzers kombiniert die beiden Elemente Besitz der Smartcard und charakteristische Nutzermerkmale (Fingerabdruck) miteinander. Bei der Zwei-Faktor-Authentisierung muss ein Angreifer zunächst in den Besitz beider Faktoren - der Smartcard und der PIN - gelangen, um sich Zugang zum System zu verschaffen. Die Wahrscheinlichkeit, dass dies gelingt, ist sehr gering, daher betrachten Experten die Zwei-Faktor-Authentisierung als sichere Alternative zur traditionellen Benutzerauthentisierung. Allerdings bringt die Zwei-Faktor-Authentisierung den Nachteil mehrfacher Anmeldeprozeduren für den Nutzer mit sich. Zudem muss die Zwei-Faktor-Technik in jede Anwendung integriert werden, für die eine starke Authentisierung realisiert werden soll. Single-Sign-On-Lösungen gleichen diese Nachteile aus.

Single-Sign-on

Gartner-Analyst Heiser hält deshalb das Single-Sign-On (SSO) Verfahren für eine geeignete Alternative, um das Passwortproblem zu lösen. Mit SSO seien Unternehmen in der Lage, Passwörter so lang und so komplex wie erforderlich zu gestalten und den Wechsel derselben so oft wie nötig durchzuführen, ohne die Nutzer dabei über Gebühr zu strapazieren.

Bei SSO-Technologien werden Nutzerinformationen wie Passwörter oder auch private Schlüssel zum Verschlüsseln von E-Mails und Dokumenten auf einem so genannten Security Device (z.B. Smartcard oder USB-Token) gespeichert. Für die Anmeldung am System steckt der Nutzer die Smartcard in ein entsprechendes Lesegerät und authentisiert sich dann mit einer PIN.

Alle weiteren Anmeldevorgänge - etwa an weiteren Systemen und Anwendungen - werden automatisch von der Smartcard aus durchgeführt und geschehen im Hintergrund ohne weiteres Zutun des Nutzers. Außerdem eignet sich das Verfahren sowohl für die Authentisierung an PCs als auch am Notebook. "Bislang nutzt allerdings erst eine Minderheit der Unternehmen Single-Sign-On", so Heiser. "Dies liegt meist an internen Widerständen, an denen viele Projekte scheitern", erklärt der Analyst.

Biometrische Authentisierung

Während biometrische Verfahren zur Benutzerauthentisierung vor einiger Zeit noch mit Problemen, wie etwa einer hohen Fehlerquote bei der Erkennung der biometrischen Merkmale, zu kämpfen hatten, sind diese Kinderkrankheiten mittlerweile behoben, und die Technologie hat sich zu einer echten Alternative entwickelt. Auch die Kosten für biometrische Authentisierungsverfahren sind mittlerweile akzeptabel. Cherry bietet bereits seit geraumer Zeit Tastaturen mit integriertem Fingerabdruckscanner an, über den sich der Nutzer am PC authentisiert.

Darüber hinaus gibt es die Authentisierung über den Fingerabdruck auch für den mobilen Einsatz. Hersteller wie IBM und Sony rüsten neue Business-Notebook-Generationen bereits mit eingebauten Fingerabdruck-Scannern aus. APC stellt Nutzern einen "Biometric Password Manager" für Notebooks in Form eines Sticks zur Verfügung, der über den PCMCIA-Slot des Laptops genutzt wird. Er ist laut Hersteller in der Lage, 20 verschiedene Fingerabdrücke oder Nutzerinformationen zu speichern. Zusammen mit der im Lieferumfang enthaltenen "Omni Pass"-Software ist der Nutzer damit in der Lage, Login- und Passwortinformationen zu verwalten.

Komplettsuiten für das Identity-Management

Unabhängig davon, für welche Technologie und Form der Authentisierung sich ein Unternehmen entscheidet, besteht ein wesentlicher Baustein des Identity Managements darin, Passwörter, Benutzerkonten und Zugriffsberechtigungen mit den Angaben zu den Angestellten in Einklang zu bringen und kontinuierlich zu pflegen.

Dynamische Vorgänge wie das Ausscheiden von Mitarbeitern aus dem Unternehmen oder der Wechsel in eine andere Abteilung müssen auch in den Zugriffsrechten und -berechtigungen abgebildet werden. Diese Aufgabe wird heute in vielen Unternehmen noch manuell von IT-Administratoren wahrgenommen. Doch die manuelle Pflege der digitalen Benutzeridentitäten, Benutzerkonten und Zugriffsberechtigungen ist eine aufwendige und fehleranfällige Angelegenheit. Daher kommt es häufig zu "toten" Nutzer-Accounts, die auch Monate nach dem Ausscheiden eines Mitarbeiters aus dem Unternehmen nicht bereinigt wurden und damit ein potenzielles Sicherheitsrisiko darstellen.

Komplettsuiten für das Identity-Management, mit denen sich sämtliche Benutzerkennungen einrichten und verwalten lassen, bieten hier Vorteile. Routinemäßige, arbeitsintensive Tätigkeiten wie die Berechtigungsvergabe, das Passwortmanagement oder das Bereitstellen und Sperren von Benutzerkonten lassen sich mit Komplettsuiten einfach und schnell bewerkstelligen. Damit wird zum einen ein höheres Sicherheitsniveau erreicht, denn durch das automatische Entfernen von Zugriffsberechtigungen und nicht mehr genutzten Benutzerkonten wird dem Missbrauch vorgebeugt. Zum anderen wird die Administration vereinfacht. Allerdings dürfen auch die Kosten und der Aufwand, die mit der Einführung eines Identity-Management-Systems einhergehen, nicht unterschätzt werden. Jay Heiser empfiehlt Unternehmen daher: "Unabhängig davon, für welche Variante sich ein Unternehmen entscheidet, ist es wichtig, bei der Wahl der Lösung darauf zu achten, dass nicht die gesamte Infrastruktur verändert werden muss." Dies verhindere zum einen Probleme, wenn sich die Lösung als nicht passend herausstellt. Zum anderen hat der Anwender nicht das Nachsehen, wenn es den Anbieter nicht mehr am Markt gibt.