Interview mit Symantec zum Thema „Zukunft der Authentifizierung“
Wir haben ein Interview mit Lars Kroll, Sicherheitsexperte bei Symantec, zum Thema „Zukunft der Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Kroll: „Dieser Trend bleibt bestehen, zusätzlich wird Unternehmen immer bewusster, dass auch Smartphones und Tablets in die Authentifizierungsstrategie eingebunden werden müssen. Denn über diese Geräte greifen Mitarbeiter ebenfalls auf Informationen innerhalb des Firmennetzwerks zu – und machen sie somit zu einem attraktiven Angriffsziel. In vielen Unternehmen gibt es jedoch oft noch keine umfassenden Sicherheitsmaßnahmen für mobile Endgeräte – erst recht nicht, wenn es sich um die privaten Geräte der Mitarbeiter handelt. Die Identitätsprüfung ist jedoch die wichtigste Komponente jeder IT-Strategie, insbesondere wenn es um die Nutzung von Mobilgeräten geht.“
Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Kroll: „Die Basis ist die gleiche: Durch die Kombination mehrerer Identifikationsfaktoren erhöht sich die Sicherheit. Im Bereich Online-Shopping ist es jedoch wichtig, dass Kunden bereits auf den ersten Blick erkennen, dass sie auf dieser Seite ohne Gefahren einkaufen können. Dies wird zum Beispiel über die grüne Adressleiste im Browser deutlich. Sie signalisiert Kunden, dass ein Extended Validation (EV) SSL-Zertifikat vorhanden ist – sie befinden sich somit auf einer vertrauenswürdigen Website. Zusätzlich sollte ein namhaftes Gütesiegel gut sichtbar auf der Website eingebunden sein.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Kroll: „Wenn Unternehmen keine konsequenten Strategien zur Authentifizierung verfolgen, die auch mobile und private Endgeräte einbinden, werden viele Mitarbeiter in Unternehmen weiterhin einfache Passwort-Authentifizierungen nutzen. Sie kennen dieses Prinzip bereits aus dem privaten Bereich – warum also ändern? Aber gerade weil sich die Vorfälle von Datenverlust oder -missbrauch häufen und auch immer größere Wellen schlagen, können Unternehmen hier entgegensteuern und ihre Mitarbeiter sensibilisieren – zu ihrem eigenen Vorteil und dem Schutz von Firmen und Arbeitnehmer gleichermaßen. Gerade BYOD gefährdet neben den geschäftlichen Daten auch private Informationen: Sind geschäftliche Anwendungen auf einem privaten Gerät nicht sachgerecht gesichert, kann in der Regel auch problemlos auf persönliche Informationen des Nutzers zugegriffen werden. Hier sollten Firmen ansetzen beziehungsweise gegensteuern.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Kroll: „Wenn strenge und umfassende Authentifizierungsmaßnahmen auf Unternehmensseite eingesetzt werden, die alle Komponenten inklusive mobiler Geräte miteinbeziehen, sind Firmen besser vor Datenverlust geschützt. Somit laufen sie weniger Gefahr, geistiges Eigentum zu verlieren und damit finanziellen Schaden zu erleiden.“
[subscribe2]