InterviewMobile ComputingSecurity

Interview mit Holger Schmieder, Geschäftsführer der Schmieder it-solutions GmbH, zum Thema „Zukunft der Authentifizierung“

HolgerSchmieder

Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“

Schmieder: „Man muss unterscheiden, wo die Anmeldung herkommt: Im LAN und auf Endgeräten, die dem Unternehmen gehören, kann man eine sichere Anmeldung auch erreichen, indem das Endgerät eindeutig identifiziert und permanent geprüft wird. Kombiniert mit einem komplexen, sich regelmäßig ändernden Passwort erhöht sich die Sicherheit drastisch. Der Benutzerkomfort der einfachen Anmeldung bleibt bestehen. Entsprechende Systeme hierfür sind seit Jahren vorhanden, meist sind es aber die IT-Abteilungen, die diesen zusätzlichen Aufwand wegen der hohen Admin-Aufwände ablehnen. Hier sollte man über komplett gemanagte Lösungen, zum Beispiel durch ein externes Unternehmen, nachdenken. Beim Zugang von extern mit Geräten, die sich nicht vollständig kontrollieren lassen, sieht das anders aus: Hier sollte eine sichere Anmeldung Pflicht sein. Da kommen die Benutzer ins Spiel, die diese aufgrund der Umständlichkeit gern ablehnen. Da heißt es für die IT-Mannschaft: Bewusstsein schaffen und für die Chefs: Mitmachen. Sobald ein Führungsmitarbeiter seinen Sicherheitszugang vereinfachen lässt, wird in eine eigentlich starke Kette ein unstabiles Glied eingebaut. Wir haben die Erfahrung gemacht, dass die Kombination von komplexem Passwort und OnTime Passwort, beispielsweise mit RSA-Tokens, einen für Benutzer akzeptablen Mehraufwand schafft, aber Remote-Zugänge wirklich sichern kann. Smartcards, andere Mechanismen und selbst auch Soft-RSA-Tokens werden als umständlich und von Nicht IT-Freaks als zu kompliziert empfunden.“

Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“

Schmieder: „Ja und nein. Meines Erachtens hängt das von der Art der Daten ab, auf die zugegriffen wird und die über die Verbindung übertragen werden. Online-Dienste wie Xing, Facebook, Google etc. würden den Komfort verlieren, wenn eine zusätzliche Authentisierung eingebaut würde. Zudem kommen die App-Entwickler für mobile Geräte heute kaum noch hinterher und die Attraktivität würde sinken, wenn mobile Apps noch ein OneTime-Passwort benötigten. Es kommt auf die Benutzer an: Sie müssen lernen, bewusst Informationen zu verbreiten und persönliche Daten zu speichern. Geht es hingegen um Unternehmensdaten oder streng vertrauliche Informationen – dann sind die Anbieter gefordert, Sicherheitsmechanismen bereitzustellen. Es bleibt eine Gratwanderung zwischen Komfort – und damit Akzeptanz – und Sicherheit.“

Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“

Schmieder: „Ich gehe davon aus, dass einfache Online-Services mit einfachen Informationen weiterhin auf reine Passwort Verfahren zurückgreifen werden und dass die Benutzer lernen, bewusst mit ihren persönlichen Daten umzugehen.“

Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“

Schmieder: „Ich hoffe, dass es die IT-Abteilungen gemeinsam mit den Geschäftsleitungen schaffen werden, das Bewusstsein für die Absicherung der Unternehmensdaten aufzubauen. Zusätzliche Sicherungsmechanismen, wie Endpoint-Anlayse vor dem Zugang und/oder zusätzliche OneTime-Passwörter, werden immer mehr Verbreitung finden. Die Vorfälle der letzten Monate führen immerhin dazu, dass Benutzer endlich regelmäßige Passwortänderungen und Passwortkomplexität akzeptieren. Viel Arbeit machen mobile Geräte, vor allem Smartphones und Tablets: Mobile Device Management mit strengen Policies ist heute für viele noch ein Graus. Auch denke ich, dass in Zukunft viel mehr über die Online-Bearbeitung, zum Beispiel mit Citrix, von Unternehmensdaten und den Verzicht auf die Mitnahme im mobilen Gerät nachgedacht wird. Damit bleiben die Daten im Unternehmen und können auch mit einfacheren Zugangsmethoden besser gesichert werden.“

[subscribe2]