Neue Bedrohungen erfordern neue Sicherheitsnormen

Warum Nutzername und Passwort nicht mehr schützen

Claus Rosendal ist Mitbegründer und CTO der SMS PASSCODE A/S. Zuvor war er Mitbegründer der Conecto A/S, einem Beratungsunternehmen im Bereich Mobile-Computing und IT-Sicherheitslösungen mit besonderem Schwerpunkt auf Citrix, Blackberry und andere innovative Mobillösungen. Davor leitete Rosendal sein eigenes IT-Beratungsunternehmen.

Welcher Schutz ist am besten?

Die Bedrohungslandschaft entwickelt sich weiter und so entsteht für Organisationen ein Teufelskreis: Ständig muss die Investitionshöhe für den Schutz gegen Sicherheitsrisiken neu beurteilt werden. Leider ist der beste verfügbare Schutz für Organisationen oft nicht erschwinglich, da das Budget dafür nicht ausreicht. Die Situation verlangt nach Kompromissen: m ehr investieren für besseren Schutz oder das Budget einhalten und Sicherheitsverletzungen riskieren?

Um im Rahmen des Budgets zu bleiben, haben Organisationen verschiedene Technologien in Gebrauch genommen, wie Zertifikate, biometrische Verfahren, Smartcards und Hardware-/Softwaretoken. Zertifikate gelten oft als die beste Lösung, um mehrere Geräte über eine sichere und erkennbare Verbindung zu koppeln. Doch das grundlegende Problem bei dieser Methode ist die Bereitstellung und Verwaltung der Zertifikate. Außerdem besteht das Risiko, dass sie ohne Wissen des Anwenders kopiert werden können und auch die Zertifizierungsstelle ist vor Kompromittierung nicht sicher.

Auch biometrische Verfahren haben gewisse Erfolge gezeigt. Allerdings kann nicht davon ausgegangen werden, dass ein funktionierender Iris- oder Fingerabdruck-Scanner immer zur Hand ist. Beim Scannen selbst wird zudem eine digitale Datei erzeugt, die kompromittiert werden kann.
Die Smartcard ist eine weitere alternative Methode. Diese kann sich in einer Welt von Bring-your-own-Device (BYOD) allerdings als mangelhaft herausstellen, da Anwender fordern, dass Zugriffe ständig von wechselnden Geräten aus möglich sind. Folglich besteht eine große Nachfrage nach einem neuen Ansatz der Multi-Faktor-Authentifizierung.

Multi-Faktor-Authentifizierung neu gedacht

Viele Organisationen haben Multi-Faktor-Authentifizierungslösungen eingeführt, die auf Mobilfunknetzwerken basieren, um damit der heutigen Bedrohungslandschaft zu begegnen und zugleich dem Anwender eine einfache und flexible Lösung zu bieten.

Der neue Ansatz der Multi-Faktor-Authentifizierung entstand aus zwei Gründen: Die Notwendigkeit, verstärkte Sicherheit zu bieten, um für moderne Bedrohungen gerüstet zu sein sowie der Bedarf, dieses Sicherheitsniveau kostengünstig und anwenderfreundlich bereitzustellen. Außerdem muss, um höchstmögliche Sicherheit zu erreichen, bei der Authentifizierung eine Echtzeitverbindung zum Netzwerk bestehen und die Authentifizierung benutzerspezifisch sein.

Würde die Authentifizierungs-Engine einen gewöhnlichen Token per SMS versenden, könnte heutige Malware den Code leicht stehlen. Um sich erfolgreich vor modernen Bedrohungen zu schützen, sollten Organisationen deshalb Lösungen implementieren, die in einer nachrichtenbasierten Umgebung wirksam funktionieren. Zu den Kernelementen dieses neuen Authentifizierungsansatzes gehören:

Verstärkte Sicherheit: Bestmögliche Sicherheit wird erreicht, wenn das Einmalpasswort (One-time Password, OTP) in Echtzeit generiert wird und sitzungsspezifisch ist. Es sollten also keine Token verwendet werden, die Seed-Dateien nutzen, in denen Passwörter gespeichert werden.

Einfache Verwaltung: Die Lösung sollte einfach innerhalb bestehender Infrastruktur zur Benutzerverwaltung verwaltet werden können.

Standortbezogenheit: Um höchstmögliche Sicherheit zu erhalten, sollten Unternehmen Kontextdaten nutzen - wie etwa Standort und Verhaltensmuster. So wird eine effektive Benutzerauthentifizierung erreicht.

Übersichtliche Infrastruktur: Die Infrastruktur sollte so wenig komplex wie möglich sein. Deshalb sollte sich die Lösung in verschiedene Anmeldesysteme einbinden lassen, wie etwa Citrix, VMware, Cisco, Microsoft, SSL-VPNs, IPsec-VPNs und Web-Anmeldungen.

Mehrstufiger Schutz: Damit eine Echtzeitzustellung von Passwörtern unterstützt werden kann, benötigen Unternehmen serverseitig eine robuste und redundante Architektur und außerdem eine standortunabhängige Unterstützung für verschiedene Zustellungsmechanismen.

Anwenderfreundliche und unkomplizierte Sicherheit: Es sollte eine intelligente Anmeldelösung gewählt werden, die die erforderliche Authentifizierungsebene auf Basis der Bedrohungsstufe automatisch anpassen kann. Meldet sich ein Benutzer beispielsweise von einem vertrauenswürdigen Standort aus an, wie etwa der Unternehmenszweigstelle oder dem Home Office (Ort ist bereits durch vorige Anmeldungen bekannt), wird kein OTP abgefragt.

Ein Blick in die Zukunft

Trotz großer Bemühungen, Cyber-Angriffe gering zu halten, steigt die Anzahl von Online-Identitätsdiebstählen weiter an und täglich berichten Unternehmen, gleich welcher Größe, von Sicherheitsverletzungen betroffen zu sein. Um die besten Maßnahmen gegen derartige Bedrohungen zu ergreifen, ist eine neue Generation der Multi-Faktor-Authentifizierung erforderlich.

Ein Verfahren, bei dem sitzungs- und standortspezifische Passwörter in Echtzeit an Mobiltelefone übermittelt werden, ist dabei ideal, damit sich Organisationen vor potenziellen Datenverlusten schützen können. Außerdem liefert eine derartige Methode die von Organisationen benötigte starke, flexible Sicherheit, um Mitarbeiter-, Anwender- und Datenschutz zu gewährleisten. (rb)

Zur Startseite