{"id":14197,"date":"2019-04-12T11:04:24","date_gmt":"2019-04-12T09:04:24","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14197"},"modified":"2019-04-09T09:13:25","modified_gmt":"2019-04-09T07:13:25","slug":"authentifizierung-viel-hilft-viel","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14197","title":{"rendered":"Authentifizierung: Viel hilft viel"},"content":{"rendered":"\n

Autor\/Redakteur: Jonas Spieckermann, Senior Sales Engineer bei WatchGuard Technologies<\/a>\/gg<\/p>\n\n\n\n

Einschl\u00e4gige Studien lassen kaum Zweifel daran: Authentifizierung ist eine der offen-sichtlichsten Baustellen im Bereich der IT-Sicherheit. So k\u00f6nnen laut Data Breach In-vestigations Report 2017 von Verizon beispielsweise 81 Prozent aller Hacking-\u00dcbergriffe auf gestohlene und\/oder schwache Passw\u00f6rter zur\u00fcckgef\u00fchrt werden. Das Konzept der Multifaktor-Authentifizierung (MFA) verspricht in dem Zusammenhang konkrete Abhilfe. Die Herausforderung besteht jedoch darin, das damit einhergehende Sicherheitsniveu mit hohem Anwenderkomfort einerseits und \u00fcberschaubarem Verwaltungsaufwand andererseits in Einklang zu bringen.<\/p>\n\n\n\n

\"\"
Jonas Spieckermann, Senior Sales Engineer bei WatchGuard Technologies (Bild: WatchGuard)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Gerade mittelst\u00e4ndische Unternehmen hinken beim Einsatz von Multifaktor-Authentifizierung noch deutlich hinterher, wie die \u201eSecurity Bilanz Deutschland 2017\u201c des Analystenhauses Techconsult unterstreicht. Danach sehen zwei Drittel der \u00fcber 500 befragten Mittelst\u00e4ndler deutliche Umsetzungsdefizite in den eigenen Reihen. Ein Gro\u00dfteil verl\u00e4sst sich nach wie vor ausschlie\u00dflich auf Ein-Faktor-Authentifizierung, wobei die Etablierung von Passwortrichtlinien gegen\u00fcber dem Vorjahr bei noch mehr Umfrageteilnehmern f\u00fcr Probleme sorgt. Auch den dar\u00fcberhinausgehenden Einsatz von Token, Zertifikaten oder biometrischen Daten beurteilt 2017 ein h\u00f6herer Anteil der Befragten als schwierig \u2013 insgesamt r\u00e4umen rund 70 Prozent Schw\u00e4chen bei der Umsetzung komplexerer Authentifizierungsmethoden ein. Dies f\u00fchren die Analysten auf den damit einhergehenden Aufwand zur\u00fcck: Oftmals scheitere eine MFA-Integration in die Arbeitsabl\u00e4ufe an der fehlenden Bereitschaft der Mitarbeiter, zus\u00e4tzliche \u201eAnstrengungen\u201c auf sich zu nehmen. Ein weiterer Aspekt, den es vor dem Hintergrund l\u00fcckenloser Sicherheit zu beleuchten gilt, ist die meist fehlende Ganzheitlichkeit bestehender MFA-Konzepte. So zeigt die Studie \u201eIdentity- & Access-Management 2017\u201c von IDG, dass sich bei nur knapp einem Drittel der teilnehmenden Unternehmen mit 100 bis 999 Mitarbeitern neben der eigenen Belegschaft auch Gesch\u00e4ftspartner, Dienstleister und Zulieferer auf mehreren Wegen authentifizieren m\u00fcssen. Bei kleineren Organisationen trifft dies sogar nur in sechs Prozent der F\u00e4lle zu. Auch hinsichtlich der Multifaktor-Authentifizierung f\u00fcr Kunden in Portalen oder eigenen Cloud-Anwendungen offenbart die IDG-Analyse Handlungsbedarf auf Unternehmensseite. Nur 14 Prozent verf\u00fcgen \u00fcber entsprechende Ans\u00e4tze, wobei hier ebenfalls vor allem die gr\u00f6\u00dferen Player vorlegen.\u00a0 <\/p>\n\n\n\n

\"\"
Bild: WatchGuard<\/figcaption><\/figure>\n\n\n\n

Ein-Faktor-Authentifizierung via\nKennwort als Auslaufmodell<\/strong><\/p>\n\n\n\n

Klar ist, dass die alleinige Kombination von Nutzername und Kennwort keinen ausreichenden Schutz mehr bietet \u2013 besonders vor dem Hintergrund des im gesch\u00e4ftlichen Umfeld durchaus g\u00e4ngigen Single-Sign-On-Prinzips: Ist ein Angreifer erst einmal im Besitz der Zugangsdaten eines Mitarbeiters, l\u00e4sst er sich kaum noch aufhalten. Als \u201elegitimierter\u201c Anwender \u00fcberwindet er jede weitere Sicherheitskontrolle des Unternehmens \u2013 egal wie ausgefeilt diese ist \u2013 und kann sich munter austoben. Selbst die bereits vor Jahren initiierten Ma\u00dfnahmen von Unternehmen zur Definition mehr oder weniger strenger Passwortrichtlinien im Sinne von Vorgaben zu Zeichenl\u00e4nge, -kombination oder \u00c4nderungsrhythmus (zum Teil durch administrative Werkzeuge erzwungen) schaffen hier kaum Abhilfe. Denn Mitarbeiter sind in der Regel wenig einfallsreich, wenn es um die Vergabe neuer Kennw\u00f6rter geht. Oftmals wird ein bestehendes Login nur minimal abge\u00e4ndert und das Risiko des Missbrauchs bleibt hoch. Das gilt insbesondere, wenn dieses mit dem pers\u00f6nlichen Umfeld zusammenh\u00e4ngt. Social Engineering und W\u00f6rterbuchangriffe durch Hacker k\u00f6nnen hier mitunter schnell zu Erfolgen f\u00fchren.<\/p>\n\n\n\n\n\n\n\n

Das 1×1 der Authentifizierung<\/strong><\/p>\n\n\n\n

Aufgrund der immanenten Schw\u00e4chen dieser nach wie vor am weitesten verbreiteten Option der Authentifizierung ist es grunds\u00e4tzlich ratsam, zus\u00e4tzliche Methoden heranzuziehen und mehrfach zu kombinieren. Das Spielfeld ist hier enorm gro\u00df. Allein der \u00dcberbegriff \u201eToken\u201c subsummiert zahlreiche Varianten: von Hardwarekomponenten wie Smart Cards oder USB-Token \u00fcber physische Tokengeneratoren \u2013 welche eine stetig wechselnde und zeitlich begrenzt g\u00fcltige Zahlenkombination nach dem OTP-Verfahren (One Time Password) anzeigen \u2013\u00a0 bis hin zu Softwarepaketen, beispielsweise in Form einer App. Auch die Authentifizierung via E-Mail, PIN oder Sicherheitsfrage ist durchaus g\u00e4ngig. Dar\u00fcber hinaus gewinnen biometrische Merkmale immer st\u00e4rker an Bedeutung. Das Best Practice besteht darin, verschiedene Elemente zu kombinieren, die auf Wissen (Kennwort), Besitz (Hardware) und Biometrie basieren. <\/p>\n\n\n\n

\"\"
Bild: WatchGuard<\/figcaption><\/figure>\n\n\n\n

Einbindung von Smartphones aus gutem\nGrund<\/strong><\/p>\n\n\n\n

In diesem Zusammenhang bieten Smartphones in gleich mehrerer Hinsicht entscheidende Vorteile. Schlie\u00dflich geh\u00f6ren diese in vielen Unternehmen mittlerweile zum Standard-Equipment der Belegschaft. Egal ob von der Organisation gestellt oder im Rahmen einer BYOD-Strategie eingebunden \u2013 das jeweilige Ger\u00e4t hat der Mitarbeiter meist immer dabei. Eine Investition in zus\u00e4tzliche Hardware-Token kann auf diese Weise komplett entfallen. Zudem integrieren die neuesten Smartphone-Modelle bereits biometrische Faktoren: Das Entsperren via Fingerprint oder Gesichtserkennung geh\u00f6rt mittlerweile zum Standardfunktionsumfang der neuen Ger\u00e4tegenerationen. Ein weiteres wichtiges Argument ist die M\u00f6glichkeit von Push-Benachrichtigungen \u2013 beispielsweise eine Abfrage \u00e1 la \u201eSie versuchen gerade, sich f\u00fcr den VPN-Zugriff anzumelden. Stimmt das?\u201c So kann sich ein Mitarbeiter einfach per Best\u00e4tigungsklick authentifizieren und den entsprechenden Anmeldevorgang abschlie\u00dfen \u2013 ein klares Komfortplus, das m\u00f6glichen Einw\u00e4nden hinsichtlich des zus\u00e4tzlichen Aufwands im Rahmen der Multifaktor-Authentifizierung oftmals den Wind aus den Segeln nimmt. <\/p>\n\n\n\n

\"\"
Bild: WatchGuard<\/figcaption><\/figure>\n\n\n\n

Cloudbasierte MFA-Plattformen\nschaffen zus\u00e4tzlichen Mehrwert<\/strong><\/p>\n\n\n\n

Als State of the Art gelten derzeit Konzepte, die eine Multifaktor-Authentifizierung inklusive Smartphone-Integration aus der Cloud heraus erm\u00f6glichen. Denn davon profitieren nicht zuletzt auch die Administratoren des Unternehmens. Es m\u00fcssen keinerlei interne Serverkapazit\u00e4ten mehr f\u00fcr die Installation von On-Premise-Systemen im Rahmen der Authentifizierung bereitgestellt werden. Das Management kann direkt \u00fcber die Weboberfl\u00e4che erfolgen, die idealerweise intuitive Visualisierungs- und Managementm\u00f6glichkeiten bereith\u00e4lt. So l\u00e4sst sich eine entsprechende Nutzer-App beispielsweise bequem dem jeweiligen Endger\u00e4t des Mitarbeiters zuweisen. Einladungen zur Installation der App und damit der Aktivierung des Tokens werden automatisch \u00fcber die Plattform versendet \u2013 inklusive einfacher Schritt-f\u00fcr-Schritt-Anleitung f\u00fcr den Endnutzer. Dadurch ist nicht nur Anwenderfreundlichkeit gegeben; das Sicherheitsniveau ist aufgrund der Hinterlegung der Telefon-DNA (Seriennummer etc.) ebenfalls extrem hoch.\u00a0 Nat\u00fcrlich lassen sich auch weitere Faktoren, die bei einer spezifischen Anmeldung zum Tragen kommen sollen, anwenderindividuell und flexibel definieren sowie granular verwalten. Gruppierungsm\u00f6glichkeiten \u2013 zum Beispiel nach geografischen oder funktionalen Kriterien \u2013 sorgen f\u00fcr sp\u00fcrbare Erleichterung im Tagesgesch\u00e4ft der Administratoren. Dar\u00fcber hinaus schafft die Option zur Integration des cloudbasierten MFA-Systems in das oft bereits verwendete Active Directory zus\u00e4tzlichen Komfort und Schutz. Hier kommt in der Regel eine im Unternehmensnetzwerk installierte Zusatzsoftware zum Einsatz, die verschl\u00fcsselt mit dem Cloud Service kommuniziert, um die Anmeldung von Nutzern zu \u00fcberpr\u00fcfen. Last but not least ist eine Cloud-L\u00f6sung ohne gr\u00f6\u00dferen Aufwand beliebig erweiterbar. Einer Ausweitung des MFA-Konzepts auf neue Mitarbeiter oder Partner steht somit nichts entgegen.<\/p>\n\n\n\n\n\n\n\n

Sicherheit an jeder Front<\/strong><\/p>\n\n\n\n

Das Thema Ganzheitlichkeit im Rahmen eines MFA-Konzepts ist bereits angeklungen. F\u00fcr l\u00fcckenlose Absicherung sollten grunds\u00e4tzlich drei Bereiche beachtet werden. Neben den internen Netzwerkbereichen inklusive VPN-Zugriff gilt es auch Endger\u00e4te zu ber\u00fccksichtigen. So kann die Multifaktorauthentifizierung beispielsweise bereits in den Bootvorgang integriert werden: Sobald der Mitarbeiter seinen Laptop startet, werden nicht nur der Benutzername und das Kennwort abgefragt, sondern gleichzeitig auch eine Push-Benachrichtigung an das entsprechend zugewiesene Smartphone abgesetzt oder eine PIN-Abfrage ausgel\u00f6st. Doch damit nicht genug: Gerade die Absicherung von Cloud-Anwendungen gewinnt weiter an Relevanz. Denn diese erfreuen sich im Unternehmensumfeld zunehmender Beliebtheit, wie der \u201eCloud Monitor 2017\u201c von Bitkom untermauert. Danach nutzen mittlerweile 65 Prozent aller Unternehmen Cloud Computing und bieten Hackern somit zus\u00e4tzliche Angriffsfl\u00e4che. Aus diesem Grund sollte auch bei Applikationen wie Office 365, Salesforce und Co. eine effektive Authentifizierung zum Tragen kommen \u2013 um Angreifern wirklich keinerlei Schlupfl\u00f6cher f\u00fcr den Zugriff auf Unternehmensressourcen zu lassen. Die technologische Basis f\u00fcr die Einbindung einer MFA-L\u00f6sung liefert hierbei SAML (Security Assertion Markup Language). Die Kombination weiterer Faktoren zur Authentifizierung ist somit auch im Hinblick auf das Cloud Computing effektiv realisierbar.<\/p>\n\n\n\n

\"\"
Bild: WatchGuard<\/figcaption><\/figure>\n\n\n\n

Multipel und flexibel<\/strong>\n\nDurch die neuen technologischen M\u00f6glichkeiten\nbieten sich Unternehmen mittlerweile moderne MFA-Konzepte, mit denen eine\nRundum-Absicherung unter Ber\u00fccksichtigung unterschiedlichster Faktoren und\nBereiche jederzeit umsetzbar ist. Da eine zwangsl\u00e4ufige Investition in Hardware\nentf\u00e4llt, gestaltet sich das Thema dar\u00fcber hinaus zunehmend wirtschaftlicher.\nIntuitive Verwaltungsm\u00f6glichkeiten stellen zudem sicher, dass die\nAdministrationsseite entlastet wird. Daher sollten sich vor allem mittelst\u00e4ndische\nUnternehmen gezielt mit dem Status quo der Multifaktorauthentifizierung\nauseinandersetzen: Denn Gegenargumente hinsichtlich damit einhergehender Kosten\nund Aufw\u00e4nde l\u00f6sen sich nachhaltig auf \u2013 und die aktuelle Bedrohungslage duldet\nnicht wirklich Aufschub.\n\n\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Einschl\u00e4gige Studien lassen kaum Zweifel daran: Authentifizierung ist eine der offen-sichtlichsten Baustellen im Bereich der IT-Sicherheit. So k\u00f6nnen laut Data Breach In-vestigations Report 2017 von Verizon beispielsweise 81 Prozent aller Hacking-\u00dcbergriffe auf gestohlene und\/oder schwache Passw\u00f6rter zur\u00fcckgef\u00fchrt werden. Das Konzept der Multifaktor-Authentifizierung (MFA) verspricht in dem Zusammenhang konkrete Abhilfe. Die Herausforderung besteht jedoch darin, das damit einhergehende Sicherheitsniveu mit hohem Anwenderkomfort einerseits und \u00fcberschaubarem Verwaltungsaufwand andererseits in Einklang zu bringen.<\/p>\n","protected":false},"author":3,"featured_media":14202,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[7302,342,4466,6258,6257,1060,11017,4711,1035,3753,4009,4956,36,4191,1701,2958,180,12139,3351],"class_list":["post-14197","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-2fa","tag-authentifizierung","tag-biometrie","tag-byod","tag-cloud","tag-e-mail","tag-hacking","tag-mfa","tag-otp","tag-passwort","tag-pin","tag-saml","tag-sicherheit","tag-smart-card","tag-smartphone","tag-token","tag-vpn","tag-watchguard","tag-zertifikat"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14197"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14197\/revisions"}],"predecessor-version":[{"id":14204,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14197\/revisions\/14204"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14202"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}