Security first – Multi-Faktor-Authentifizierung & Identitätsmanagement
Virtuelle Bedrohungen sind heutzutage präsenter denn je: Trojaner, Viren und Würmer sind nur ein kleiner Teil der Cyber-Bedrohungen. Umso wichtiger ist es, das eigene Unternehmen mit einem wasserdichten IT-Security-Konzept gegen digitale Gefahren abzusichern.
81 % der Sicherheitsverletzungen erfolgen durch gestohlene Passwörter – meist, weil sie zu schwach sind und es für Hacker ein leichtes Spiel ist, sie zu knacken. Fast jedes Unternehmen muss darüber hinaus sensible Daten und viele verschiedene Identitäten verwalten. Deshalb gilt: Security first! Möchte ein Unternehmen sich vor Cyberkriminalität schützen und Daten sachgemäß verwalten, ist ein starkes Identitätsmanagement unumgänglich.
Definition – Was ist Identitätsmanagement?
Der Begriff Identity-Management umfasst die Verwaltung und Pflege von Benutzerkonten, den bewussten Umgang mit Identitäten und die Definition von Zugriffsrechten. Generell gilt in fast allen professionellen in IT-Umgebungen: Die Zugänge einer Ressource auf Systeme und auf Applikationen werden kontrolliert. Dafür werden Benutzerrechte mit den festgelegten Identitäten verglichen. Der Benutzer muss bei einer Anmeldung seine Identität beweisen. Diesen Arbeitsaufwand übernehmen spezielle Identity-Management-Systeme. Sie sind in der Lage, Benutzern die für sie definierten Zugriffsrechte zu erteilen und auch wieder zu entziehen.
So werden beispielsweise beim Eintritt eines neuen Mitarbeiters in ein Unternehmen viele Aufgaben des Identitätsmanagements in Anspruch genommen: Es werden eine Reihe von Accounts und Berechtigungen benötigt. Sie müssen angelegt und gepflegt werden. Identity-Management automatisiert die Verwaltung von Accounts und Berechtigungen. Auch die Authentifizierung gehört zu den zentralen Funktionen. Bei einer Authentifizierung ist die Authentisierung der erste Schritt: Der Benutzer muss einen Nachweis vorlegen, um seine Identität zu beweisen. Danach folgt die Authentifizierung. Der Begriff bezeichnet die eigentliche Prüfung der behaupteten Identität. Wenn die Identität bestätigt wurde, geht es mit der Autorisierung weiter. Sie übernimmt die Zuteilung der Zugriffsberechtigungen für den Benutzer. Dafür sind im System für jede Identität Informationen und Regeln hinterlegt. Nach diesen Schritten kann der User bestimmte Services nutzen.
Insgesamt gibt es mehrere Methoden der Authentifizierung, die SFA ist die Bekannteste. SFA steht für Single-Factor-Authentication und bedeutet Ein-Faktor-Authentifizierung. Dazu sind bei der Anmeldung beispielsweise nur ein Username und Passwort nötig. Das Securityniveau mit nur einem Passwort hängt natürlich immer auch von der Sorgfalt des Benutzers ab. Ein Anwender sollte daher sicherstellen, dass niemand darauf Zugriff hat und gleichzeitig einen starken PIN-Code für seine Geräte benutzen. Viele User haben allerdings kein ausgeprägtes Verständnis dafür, wie ein sicheres Kennwort aussieht. Deshalb ist es hilfreich, im Unternehmen Richtlinien festzulegen. Heutzutage wird sich immer weniger auf ein Passwort und die Ein-Faktor-Authentifizierung verlassen. Die Lösung für höhere Sicherheitsstandards ist die Multi-Faktor-Authentifizierung.
Definition – Was ist eine Multi-Faktor-Authentifizierung?
Bei der Multi-Faktor-Authentifizierung (MFA) wird mehr als ein Nachweis für die Authentifizierung benötigt. Die Zwei-Faktor-Authentifizierung (2FA) ist eine häufige Form der MFA. Dazu ein typisches Beispiel aus dem Alltag: Zum Login in ein Amazon-Konto benötigen sie einen Username und ein Passwort. Darüber hinaus benötigen Sie einen Einmal-Code – sofern Sie bei Amazon die MFA-Option hinterlegt haben. Heutzutage tragen die meisten Menschen ein Handy bei sich, weshalb dies immer häufiger als zweiter Faktor genutzt wird. Das Identity-Management-System sendet dann einen Einmal-Code an das Handy des Benutzers, diesen Code muss der Benutzer zur zusätzlichen Authentifizierung ebenfalls eingeben. Bei der MFA sind also immer mindestens zwei Berechtigungshinweise nötig. Das Ziel ist es, damit eine mehrschichtige Verteidigung zu schaffen. Personen, die nicht autorisiert sind, haben es damit schwerer, Zugriff zu erlangen. Denn falls der Angreifer eine Schwachstelle entdeckt, muss er sich immerhin mit einer weiteren Sicherheitsbarriere auseinandersetzen, um Erfolg zu haben. Mittlerweile steigt das Interesse an einer Authentifizierung mit mindestens drei Faktoren immer mehr und das nicht nur innerhalb von Unternehmen, bspw. gewinnt es beim Thema Mobile Banking stark an Bedeutung.
Welche Faktoren werden zur Authentifizierung genutzt?
Die Berechtigungshinweise, mit denen die Identität eines Nutzers überprüft werden können, nennen sich „Faktoren“. Eine Kombination aus Benutzername und Passwort ist beispielsweise ein einziger Faktor. Es sind zwar zwei verschiedene Merkmale, aber sie gehören beide zum selben Authentifizierungsfaktor. Für eine starke Authentifizierung sind zwei oder mehr der folgenden Faktoren nötig:
Geheimes Wissen
Dieser Faktor wird am häufigsten genutzt. Benutzernamen, Passwörter und Sicherheitsfragen sind Beispiele dafür. Im besten Fall hat nur der Anwender diese Informationen. Auch die Kombination von PIN, Benutzername und Sicherheitsfrage gilt als ein Faktor.
Standort
Bei diesem Faktor handelt es sich um geografische und netzwerkbasierte Einschränkungen, die als zusätzliche Sicherheit dienen. Die Standortbedingungen werden vorab konfiguriert. Beispielsweise dürfen Benutzer nur dann auf eine Anwendung zugreifen, wenn sie sich gerade im Unternehmensnetzwerk oder in einem bestimmten Land befinden.
Zeit
Der Zeit-Faktor funktioniert ähnlich wie die geografischen Einschränkungen. Er dient auch als zusätzliche Sicherheit und bewirkt das ein Benutzer sich nur zu bestimmten Zeiten anmelden kann. Zum Beispiel kann das nützlich sein, wenn ein Mitarbeiter keinen Grund hat sich außerhalb des Zeitraums 09:00 Uhr – 17:00 Uhr einzuloggen.
Physische Besitzobjekte
Dieser Faktor bezeichnet Gegenstände, die im Besitz des Anwenders sind. Ein Beispiel hierfür sind Magnetkarten, Schlüssel oder Mobiltelefone (Einmalpasswort). Der Einsatz mobiler Geräte trägt dazu bei, das Risiko des Verlusts zu verringern. Außerdem zählen Token dazu. Dieser Begriff wird im nächsten Abschnitt genauer erklärt.
Physische Merkmale
Dieser Faktor ist unverwechselbar und mit der Identität des Anwenders verknüpft. Er basiert auf biometrischen Daten, die fälschungssicher sein müssen. Ein Beispiel hierfür sind Stimmerkennungssysteme, Fingerabdruckscanner oder Augen-Iris-Scanner.
Um besonders strenge Bedingungen zu schaffen, können Zeit- und ortsbezogene Faktoren kombiniert werden. Zum Beispiel können nicht korrekte Authentifizierungsversuche auftreten, die in einem nicht autorisierten Zeitfenster und von einem nicht genehmigten, geografischen Standort durchgeführt wurden. Dann ist es sinnvoll, wenn der Benutzer eine Benachrichtigung erhält oder eine Sperrung erfolgt. Es passiert natürlich häufiger, dass Informationen hintereinander falsch eingegeben werden, aber in Verbindung mit einem kritischen Standort wird es verdächtig. Das Zusammenspiel der verschiedenen Authentifizierungsmethoden macht MFA aus.
Definition – Was sind Token?
Wie zu Beginn erwähnt, sind in 81 Prozent der Fälle schwache oder gestohlene Passwörter der Grund für einen Hack. Mit einem Token wird der Angriff für jeden Hacker schwieriger. Beispielsweise ein Code, der per SMS auf das Handy übertragen wird, ist ein Einmal-Token oder eine Pushnachricht mit der Aufforderung „annehmen“ oder „ablehnen“. Es wird also für jeden Authentifizierungsvorgang ein einmaliges Passwort generiert, auf das nur mit einem Gegenstand zugegriffen werden kann. Die meisten MFA-Systeme erlauben eine Kombination verschiedener Token, damit für jeden Anwendungszweck eine einzige Lösung verwendet werden kann. Diese Methoden sind möglich:
SMS-Token
Sie gehören zu den verbreitetsten Methoden. Der Nutzer erhält einen Code per SMS auf das Handy. Es muss keine Software installiert werden. Die Zahl der Angriffspunkte über das Mobilfunknetz ist aber vergleichsweise hoch, deshalb sollten sie nur für unkritische Log-ins oder Szenarien mit geringem Schutzbedarf genutzt werden.
Hardware-Token
Dies sind kleine chip-basierte Geräte, die auf Knopfdruck Passwörter neu generieren und auf dem Display anzeigen. Sie werden Einmal-Passwörter oder One-Time-Passwörter genannt. Hardware-Token sind sehr sicher, da Angriffe schwer möglich sind. Allerdings bieten sie einen geringen Komfort und werden meistens nur bei einem hohen Schutzbedarf genutzt.
Software Token
Sie haben die gleiche Funktionalität wie die Hardware-Token und es kommen dieselben Algorithmen und Verfahren zum Einsatz. Es ist kein „Extragerät“ nötig, weil sie meistens auf einem Smartphone ausgeführt werden. Die Sicherheit des Tokens hängt hierbei stark von der Sicherheit des Smartphones ab. Sollte es Schwachstellen geben oder birgt es Schadsoftware, könnte ein Angreifer unbemerkten Zugriff erlangen. Deshalb sollten sie nur für Szenarien mit einem normalen Schutzbedarf genutzt werden.
Push-Token
Sobald ein Nutzer sich einloggen oder eine Transaktion durchführen möchte, lösen sie eine automatische Benachrichtigung aus. Die Pushnachricht wird zum Beispiel auf das Smartphone geschickt und muss mit einem Klick verifiziert werden. Diese Bestätigung wird dann an den definierten Endpunkt gesendet. Diese Methoden werden zum Beispiel in Banken benutzt, indem eine zweite Person bestimmte Vorgänge erst freigeben muss.
Vor- und Nachteile Multi-Faktor-Authentifizierung
Der große Vorteil von MFA ist, dass ein einfacher Passwortdiebstahl nicht mehr ausreicht. Die gängigen Bedrohungen können damit abgewendet werden, weil immer weitere Nachweise benötigt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt MFA einzusetzen, da es ein Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellt. Allerdings ergibt sich auch ein Nachteil durch die zusätzliche Absicherung: Die Usability wird eingeschränkt. Je mehr Faktoren eingesetzt werden, umso komplexer ist der Anmeldevorgang für den User. Zusätzlich entsteht ein Mehraufwand, falls ein Faktor abhandengekommen ist und er ersetzt werden muss. Außerdem ist auch die Multi-Faktor-Authentifizierung nicht hundertprozentig sicher. Da es schwieriger für Angreifer ist, solche Systeme zu knacken, suchen sie nach Möglichkeiten, um sie zu umgehen. Zum Beispiel versuchen sie, die Plattformen eines MFA-Anbieters zu kompromittieren, um dann wichtige Informationen zu stehlen. Trotzdem gehört MFA derzeit zu den besten Sicherheitsmaßnahmen um Unternehmen, Benutzer und sensible Daten zu schützen. Auch große Tech-Konzerne wie Google und Facebook setzen mittlerweile auf Multi-Faktor-Authentifizierung als Teil des Identitätsmanagements.
Wo kommt die Authentifizierung zum Einsatz?
MFA kann für viele Bereiche genutzt werden: Konto-Logins, Email-Konten, Webanwendungen und Zugriffsberechtigungen, sind Beispiele für den Anwendungsbereich. Aber auch für die Cloud kann die Multi-Faktor-Authentifizierung verwendet werden. 65 Prozent der Unternehmen nutzen Cloud Computing und dort lauern viele Gefahren. Hacker suchen gezielt nach Schwachstellen, um Schadsoftware zu verbreiten. Immer mehr geschäftskritische Daten werden in die Cloud migriert, deshalb spielt Cloud-Security für Unternehmen eine große Rolle. Transparenz und Kontrolle über den Datentransfer können helfen. Welcher Mitarbeiter darf auf was genau zugreifen? Darf er Daten hoch- und herunterladen? Hat er nur Leseberechtigungen oder darf er auch etwas verändern? Solche Zugriffseinschränkungen bieten Schutz, wenn Mitarbeiter mit der Cloud arbeiten. Aber auch, um die Anmeldung abzusichern, sollte die Multi-Faktor-Authentifizierung genutzt werden.
Worauf sollten Unternehmen bei einer Authentifizierungslösung achten?
Angesichts der großen Vielfalt an Angeboten ist es für Unternehmen schwer die passende Authentifizierungslösung zu finden. Diese Checkliste kann bei der Auswahl helfen:
Einmal-Passwort in Echtzeit
Die Authentifizierungslösung sollte Einmal-Passwörter erst zum Zeitpunkt der Anmeldung generieren. Wenn Codes vorab generiert werden, reduziert das die Sicherheit, weil sie gestohlen werden könnten. So arbeiten beispielsweise Authentifizierungsverfahren, die Hardware-Token nutzen, meistens mit vorgenerierten Passwörtern. Außerdem sollte die Übermittlung der Passwörter nicht auf dem gleichen Weg erfolgen wie die Anmeldung. So sollte beispielsweise das Passwort für die Anmeldung eines Mitarbeiters im Netzwerk, nicht über das gleiche Netzwerk erfolgen, sondern bspw. per App über das Smartphone.
Authentifizierungsvorgang sollte sich dem Kontext anpassen
Das Sicherheitsniveau einer Anmeldung sollte sich automatisch an den jeweiligen Kontext anpassen. Zum Beispiel variieren die Gültigkeitsdauer und die Zustellungsart des Einmal-Passwortes, je nachdem ob sich der Mitarbeiter innerhalb eines Unternehmens oder an einem öffentlichen Ort befindet. Ist der Mitarbeiter in einer sicheren Umgebung, ist es auch möglich, komplett auf das Einmal-Passwort zu verzichten. Sinnvoll sind auch Sperrungen für Zugriffe aus risikoreichen Ländern und Regionen. Außerdem hilft es, wenn die Authentifizierungslösung ein individuelles Passwort erstellt, nachdem die Sitzung auf einem bestimmten Gerät aufgebaut wurde. Dadurch können Hacker beim abfangen einer Einmal-Kennung, diese auf keinem anderen Rechner erfolgreich einsetzen.
Information bei der Kompromittierung eines Passwortes
Unternehmen sollten prüfen, ob die Authentifizierungslösung Informationen bereitstellt, um einen Sicherheitsvorfall aufzudecken. So sollte das Identity-Management-System beispielsweise bei einem Passwortdiebstahl den betreffenden Mitarbeiter darüber informieren, wenn sich ein Dritter mit dem gestohlenen Passwort anmeldet. Außerdem sind bereitgestellte Geo-IP-Informationen hilfreich: Der Mitarbeiter kann seinen tatsächlichen Standort damit abgleichen.
Schnell einzurichten und einfach zu verwalten
Die Authentifizierungslösung sollte schnell implementiert werden können. Zu vermeiden sind Lösungen, die eine Software-Installation auf Smartphones oder anderen Geräten der einzelnen Anwender erfordern. Außerdem kann es ungünstig sein, wenn spezielle Hardware notwendig ist, um die Identity-Management-Software zu betreiben. Die meisten Mitarbeiter wollen lieber ihr persönliches Smartphone verwenden. Das erhöht die Akzeptanz der Sicherheitsmaßnahme und macht Schulungen unnötig.
Automatische Fail-Over-Mechanismen
Wenn ein Einmal-Passwort zugestellt wird, kann das durch äußere Faktoren, wie z.B. Funkstörungen beeinträchtigt werden. Deshalb ist es komfortabel, wenn die Lösung über sogenannte automatische Fail-Over-Mechanismen verfügt. Wenn die übliche Übertragungsmethode nicht funktioniert, sorgen sie dafür das Alternativen verwendet werden, damit der Mitarbeiter sich problemlos im Unternehmensnetzwerk anmelden kann.
Merkmale eines guten Identitätsmanagement
In einem Unternehmen gibt es viele verschiedene Identitäten: Jeder Mitarbeiter benötigt ein Email-Konto mit einer individuellen Email-Adresse und einem Passwort, was für sich genommen bereits für einen hohen Verwaltungsaufwand sorgt. Besonders in größeren Unternehmen ist das Managen der Identitäten ohne automatisierte Lösung nur mit erheblichen Aufwänden zu bewältigen. Aber wie genau sieht nun ein sicheres Identity-Management aus? Die folgenden Merkmale zeichnen es aus:
Anzahl der Identitäten
Bei einem guten Identitätsmanagement kommt ein Unternehmen mit genau der notwendigen Anzahl an Identitäten aus. Eine geringe Anzahl ist deutlich leichter zu verwalten. Bei einem Abteilungswechsel sollte daher beispielsweise keine neue Identität erstellt, sondern die bestehende angepasst werden. Verlässt ein Mitarbeiter das Unternehmen, ist seine Identität nicht mehr nötig.
Richtlinien
Es muss dafür gesorgt werden, dass es klare Richtlinien gibt. Das heißt es sollte festgelegt werden, wie das Identitätsmanagement zu handhaben ist und welche Regeln es im Umgang gibt. Mit einer korrekten Organisation kann das Identitätsmanagement sein volles Potential ausschöpfen.
Temporäre Identitäten
Beispielsweise sollte für Praktikanten eine temporäre Identität angelegt werden. Sie werden mit einem Ablaufdatum versehen, um sicherzustellen, dass sich keine ungenutzten Identitäten ansammeln.
Eindeutige Zuordenbarkeit
Jede Person muss eindeutig einer Identität zugeordnet werden können und andersherum.
Wie wichtig ist Identitätsmanagement?
Identity-Management ist untrennbar mit der Sicherheit und Produktivität eines Unternehmens verbunden. Ransomware verursachte im Jahr 2018 ca. acht Milliarden Dollar Schaden, Experten prognostizieren, dass der Schadenswert in 2021 auf 20 Milliarden Dollar gestiegen sein wird. Das häufigste Einfallstor ins Unternehmensnetzwerk sind kompromittierte Zugangsberechtigungen und Login-Daten. Um das Unternehmen gegen Bedrohungen wie Ransomware, Phishing und generell gegen kriminelle Hacker zu schützen, bildet gerade das Identitätsmanagement ein hoch kritisches Sicherheitsnadelöhr. Bei einem durchdachten Aufbau und konsequenter Anwendung, kann ein zentrales Identitätsmanagement nicht nur für Sicherheit sorgen, sondern auch für Kosteneinsparungen durch die Komplexitätsreduzierung beim Schutz von Zugangsdaten. Darüber hinaus gibt es Anforderungen, die Unternehmen dazu „zwingen“ sich mit dem Thema zu befassen: Seit dem 25. Mai 2018 müssen sie auch den strengen Anforderungen der EU-Datenschutzgrundverordnung genügen. Die Strafen bei Compliance-Verstößen können für Unternehmen sehr empfindlich ausfallen. Außerdem entlastet Identitätsmanagement die IT-Abteilung indem banale, aber wichtige, Aufgaben automatisiert werden. Zum Beispiel der Helpdesk kann dadurch entlastet werden, denn Account- und Berechtigungsvergaben müssen nicht mehr angefragt werden. Zudem werden die Accounts bei einem Abteilungswechsel automatisch angepasst. Gerade auf dem Gebiet der IT-Sicherheit besteht ein weltweiter Fachkräftemangel, umso notweniger sind Systeme, die einen Teil der Arbeit abnehmen können.
Das Richtige Identity-System finden
Um Identitätsmanagement im Unternehmen zu integrieren ist natürlich auch ein passendes System nötig. Der Markt für diese Produkte hat sich stark weiterentwickelt und bietet heute Funktionalitäten, die vor einigen Jahren noch undenkbar gewesen wären. Zum Beispiel mussten früher Reports der Berechtigungen studiert werden, um Abweichungen zum SOLL-Zustand herauszufinden. Heutzutage gibt es dafür einen Bericht, der die Abweichungen ganz einfach aufzeigt. Wie immer, hat jedes Produkt Stärken und Schwächen und je nach Aufgabenstellung im Unternehmen sind bestimmte Lösungen besser geeignet als andere.
Unsere persönliche Empfehlung ist Centrify und Idaptive. Der „Zero Trust Privilege“ Ansatz von Centrify/Idaptive ist cloudfähig und hilft dabei die Berechtigungen auf das geringstmögliche zu beschränken. Angriffsoberflächen wie die Infrastruktur, die Cloud, Container, Big Data und noch Vieles mehr werden abgesichert. Das System verifiziert welche Person mit welchem Kontext den Zugang anfordert und berücksichtigt das Risiko, das die Umgebung mit sich bringt. Centrify/Ipdative kombiniert Identitäts-Brokering, Multi-Faktor-Authentifizierung und Kennworttresore in einem System. Gleichzeitig wird der Remote-Zugang gesichert und alle Sitzungen werden überwacht. Das System minimiert die Angriffsfläche, sorgt für Transparenz und Compliance und reduziert Risiko und Komplexität. Führende Analyseunternehmen wie Gartner und Forrester Research haben Centrify/Idaptive zu Recht zum Vorreiter in diesem Bereich erklärt.
Eine 2019 veröffentlichte Studie von LogMeIn zeigt, dass 92 Prozent der Unternehmen mindestens ein Problem im Bereich Identitätsmanagement haben. Außerdem bestätigen 82 Prozent der IT-Experten, das ein schlechter Umgang mit Identitäten bereits für Risiken im Unternehmen gesorgt hat. Beispiele dafür sind der Verlust von Mitarbeiter- und Kundendaten sowie fehlerhafte Zugangskontrollen, die häufig zu Problemen führen. 65 Prozent der befragten IT-Security-Experten wünschen sich eine Identitätsmanagement-Plattform und sehen vor allem die Multi-Faktor-Authentifizierung als wichtige Funktion an. Sie sind der Meinung, dass eine solche Lösung die Benutzerauthentifizierung stärkt, das allgemeine Sicherheitslevel steigert und das Risiko von Identitätsdiebstahl verringert. Die größte Herausforderung beim Thema Identitätsmanagement sehen sie übrigens darin, Benutzerfreundlichkeit und Usability sinnvoll auszubalancieren.
Brauchen Sie Hilfe bei Ihrem Identitätsmanagement? Sprechen Sie uns gerne an – wir integrieren die passende Lösung in Ihrem Unternehmen.