Interview mit Thomas Uhlemann von ESET zum Thema „Authentifizierung“
Wir haben ein Interview mit Thomas Uhlemann, Security Specialist bei ESET Deutschland, zum Thema „Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind aber oftmals unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Uhlemann: „Aller Meldungen zum Trotz: Das Bewusstsein, dass Passwörter dem Sicherheitsanspruch des 21. Jahrhunderts nicht mehr genügen, ist bei vielen Anwendern und Verantwortlichen zwar vielleicht gestiegen – die Bereitschaft zur Veränderung ist allerdings kaum vorhanden. Dazu kommt die ‚Scheu vor dem Mehraufwand‘ durch Mehrfaktor-Authentifizierung per Token, Dongle, App, SMS und mehr. Wenn wir prognostizieren sollten, in welche Richtung sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln wird, dann dahingehend, dass einerseits das Bewusstsein gemeinsam mit der Bereitschaft weiter wächst und zusätzlich von Seiten der Dienste- und Toolanbieter mehr Möglichkeiten angeboten und auch sanfter Druck ausgeübt werden, um die sichereren Verfahren um- und einzusetzen und somit zu erleben, dass der Mehraufwand bei gesteigerter Sicherheit sich stark in Grenzen hält.“
Sysbus: „Sehen Sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich, wie zum Beispiel der Domänenanmeldung, und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Uhlemann: „Sicherlich lassen sich Authentifizierungsverfahren nicht 1:1 auf alle Anwendungsbereiche umsetzen. Wir vermuten eher, dass im Business-Umfeld sich Lösungen mit Zwei-Faktor- und Einmal-Passwort-Verfahren etablieren werden, da hier bereits ausgereifte Tools und Management-Lösungen mit einem überschaubaren Aufwand an Zeit und finanzieller Investition existieren. Im privaten Bereich wird vermutlich mehr auf Fingerabdruck-Sensoren, wie sie zum Beispiel Apple und Samsung bereits anbieten, gesetzt werden, da dies nicht nur ’schick‘ sondern auch leicht zu realisieren ist. Allerdings ist nicht nur aus unserer Sicht dieses Verfahren auch unsicherer.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Uhlemann: „Denkbar sind hier zwei Szenarien: Zum einen müssen wir die Industrie und das produzierende Gewerbe betrachten. Bei sogenannten ‚Embedded‘ Systemen werden weiter Benutzername und Passwort als einzige Authentifizierung die Regel bleiben, da unter Umständen die Maschinen nicht Teil eines Netzwerks sind, nicht ohne weiteres aufgerüstet werden können oder schlichtweg die Notwendigkeit gesehen wird. Wir unterstützen dies zwar nicht, aber in der realistischen Einschätzung wird es wohl auf absehbare Zeit so bleiben. Zum anderen müssen wir uns dem privaten Gebrauch zuwenden, zum Beispiel bei Datingwebseiten. Bei Anmeldungen, bei denen ich als Nutzer weitestgehend anonym bleiben möchte, wird sicherlich ebenfalls weiterhin lediglich auf Benutzername und Passwort gesetzt werden. Hier bleibt zu hoffen, dass wenigstens ein komplexes, einmaliges Passwort verwendet wird.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Uhlemann: „Eine Konsequenz ist die schleichende aber nicht aufzuhaltende Adaption neuer Authentifizierungsverfahren im Nutzerbereich. Eine andere entscheidende Konsequenz ist, dass Angreifer auch hier versuchen werden, weg von den Daten direkt die Nutzer anzugreifen und beispielsweise über Social Engineering versuchen, den Nutzer aktiv dazu zu bringen, die Sicherheitssysteme zu umgehen, ähnlich wie bei ‚alten‘ Phishingseiten, die mich aufgrund ‚eines Sicherheitsproblems meiner Bank‘ auffordern zur Überprüfung zehn TANs einzugeben.“
[subscribe2]