InterviewSecurity

Interview mit der FGND Group zum Thema „Zukunft der Authentifizierung“

Wie haben ein Interview mit Gianluca De Lorenzis, CEO der FGND Group, zum Thema „Zukunft der Authentifizierung“ geführt.

FGND_Gianluca De Lorenzis_2

Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“

De Lorenzis: „Der Trend geht ganz klar in Richtung Multi-Factor Authentication, kurz MFA, wenn einfache Benutzerpasswörter nicht mehr ausreichen. Das heißt, ein zweiter oder sogar dritter Schritt ist zur Authentifizierung notwendig. Meistens wird es aber auf eine Zweifaktor-Anmeldung hinauslaufen, wobei der zweite Faktor beziehungsweise Schritt entweder über eine per SMS oder über eine per E-Mail versendete Pin-Authentifizierung läuft. In naher Zukunft ist aber auch eine Koppelung mit einzigartigen Biometrie-Merkmalen realistisch. Das mag zwar umständlicher als eine gewohnte, einfache Anmeldung per Passwort sein. Aber das ist ein akzeptabler Preis, wenn man an die zahlreichen Sicherheitslücken und Hacker-Angriffe auf der einen und den hohen Wert persönlicher oder geschäftlicher Daten auf der anderen Seite denkt. Außerdem sind viele Menschen schon mit Authentifizierungsdiensten von Microsoft, Google, Facebook, PayPal etc. vertraut, die alle MFA entweder bereits verwenden oder zunächst als Option anbieten. Zudem gibt es immer mehr vielversprechende Versuche, Smartphones als zweiten Faktor der Authentifizierung einzusetzen, zum Beispiel durch eine App. Hier hat aber noch kein Produkt oder Service die Marktreife erreicht – allerdings ist das nur eine Frage der Zeit. Schon sind ein paar Apps produktiv im Einsatz: etwa die MFA-App von PhoneFactor, die von Azure verwendet wird, aber noch ein paar Kinderkrankheiten hat. Oder die App von RSA SecureID, die eine funktionierende Alternative zum klassischen Token (‚Schlüsselanhänger‘) bietet. Ansätze, die zusätzliche Hardware wie Tokens, SmartCards oder ähnliches verlangen, sind so gut wie vom Markt verschwunden – selbst im Finanzsektor, wo die ersten Einsatzgebiete der MFA lagen. Noch ein Stück zusätzlicher Hardware ist heute einfach keine valide Option mehr.“

Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“

De Lorenzis: „Die Benutzung von externen Technologien und Dienstleistungen für die Authentifizierung, wie Azure ACS (Access Control Service) oder sogar die Verlagerung von ganzen Identity Infrastrukturen zu externen Diensten wie AAD (Azure Active Directory) sind ernstzunehmende Trends in Unternehmen. Die spezialisierten Services haben mehrere Vorteile in Punkto Sicherheit, Zuverlässigkeit und Hochverfügbarkeit. Es gibt beispielsweise immer mehr Online Shops, welche das gesamte Identitätsmanagement und die Authentifizierung zum Beispiel an PayPal outsourcen, auch wenn die Kunden nicht mit PayPal zahlen. Das heißt, die Shops verlangen gar keine Authentifizierung, und ihnen ist die Kundenidentität überhaupt nicht bekannt. Die notwendigen Infos wie Rechnungsadresse und Lieferadresse bekommen diese Shops dann mit Kundenzustimmung von PayPal. Bei Unternehmensanwendungen wiederum übernimmt Azure ACS die Rolle, die PayPal in diesem Szenario für Online Shops darstellt. Die Basis-Technologien unterscheiden sich zwischen den Feldern ‚Unternehmen‘ und ‚Privatnutzer‘ aber kaum. Lediglich die ‚Schärfe‘ der Verfahren dürfte sich unterscheiden, da Unternehmen immer einen etwas höheren Standard ansetzen sollten und diesen auch von Ihren Mitarbeitern zwingend verlangen, während der Privatnutzer noch das Risiko eingehen darf, seiner Bequemlichkeit nachzugeben. Das wird sich im Laufe der Zeit aber ändern – je mehr Identitäten gehackt werden, desto sensibler dürften auch Privatnutzer in Punkto Sicherheitsbedürfnis werden. Die interessanten Unterschiede werden darin liegen, was die neuen Verfahren zusätzlich ermöglichen. Während Privatnutzer weiterhin für verschiedene Dienste ihre jeweiligen User- und Passwörter (auch bei MFA) direkt eingeben, werden Unternehmen immer mehr Single Sign-On Dienste zur Verfügung stellen. Ein Beispiel dafür sind Azure RemoteApps, die es aktuell als Preview gibt. Diese stellen Apps zur Verfügung, die bereits die notwendigen Anmeldeinformationen enthalten. So lässt sich etwa der Firmen-Twitter-Account über eine solche App öffnen und der Mitarbeiter wird automatisch angemeldet, ohne das Passwort kennen zu müssen. Neben dem Komfort ergibt sich hieraus auch ein wichtiges Sicherheitsfeature für Unternehmen: mit Sperren des Firmen-Accounts kann der (Ex-)Mitarbeiter auch nicht mehr auf diesen Account zugreifen. Aktuell muss man bei jeder personellen Änderung die Passwörter der betroffenen Accounts ändern.“

Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“

De Lorenzis: „Die Form-Based Authentication (FBA) – also die ‚reine Passwortauthentifizierung‘ – wird aussterben, auch wenn Sie aktuell das gängigste Model ist. Sie wird nach und nach von Verfahren abgelöst, die nach einmaliger, doppelter Authentifizierung in der Lage sein werden, Geräte als vertrauenswürdig zu definieren und diese dann generell, ohne weitere Anmeldung zuzulassen. Die FBA ist einfach zu anfällig für verschiedene Sicherheitslücken wie unsicheres Storage, Password Encryption, Transport Encryption oder die Möglichkeit, dass Admins die Passwörter auslesen. Alle Dienste für Finanztransaktionen und kritische Identitätsmanagementdienste wie Microsoft Password, Google Account, Facebook und so weiter werden schrittweise zu MFA wechseln – die meisten bieten das ohnehin schon als Option. Daraus ergeben sich für Unternehmen, genauso wie für Online Shops, zwei Möglichkeiten: Investition in ein eigenes MFA Verfahren, was unter Umständen einen sehr hohen Aufwand bedeutet. Oder Outsourcing zu Microsoft (Azure ACS, AAD), PayPal oder ähnlichen Dienstleistern, was dann jedoch eine Delegierung der Authentifizierungsprozesse an einen Dritten bedeutet. Ähnliche Delegierungsverfahren haben wir bereits in der nicht-digitalen Welt, wo Banken oder andere Institutionen die Kunden-Authentifizierung zum Beispiel der Deutschen Post übergeben.“

Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“

De Lorenzis: „Die Delegierung der Authentifizierungsprozesse reduziert aus der Unternehmensperspektive erst einmal Kosten und Komplexität: dadurch sind weniger Investitionen in die eigene Identitätsinfrastruktur notwendig, der Aufwand für Maintenance und Support sinkt ebenfalls. Natürlich setzt das aber ein extrem hohes Vertrauen in die jeweiligen externen Dienstleister voraus – die müssen technologisch immer am Ball bleiben und lückenlose, erhöhte Sicherheit bieten, etwa durch Multi-Factor Authentication. Zudem wird der User natürlich einen höheren Aufwand bei der Anmeldung akzeptieren müssen. Sollten Unternehmen aber in eine eigene MFA Implementierung investieren, können ein hohes Investment und ein hoher Aufwand im Betrieb die direkten Konsequenzen sein. Auf der anderen Seite stehen natürlich die zusätzlichen Sicherheitsvorteile einer eigenen Lösung. Je nach Anwendungsbereich kann das aber auch zu neuen Problemen führen – eine Insel-Lösung mag sicherer, aber bei bestimmten Geschäftsprozessen hinderlich und wenig performant sein. Wird die Authentifizierung stärker auf das konkrete Gerät verlagert beziehungsweise gebunden, muss natürlich auch die Zugriffskontrolle auf die entsprechenden Geräte eine wesentlich größere Rolle spielen. Dabei werden Aspekte wie der abgesicherte Handy-Zugriff per Passwort oder etwa per Fingerabdruck wichtig sein oder die Möglichkeit, die Geräte auch aus großen Distanzen schnell zu lokalisieren und bei Bedarf zu löschen.“

[subscribe2]