![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/Airlock_Smartphones.png\")
<\/a>Airlock bietet mit IAM (Identity and Access Management) eine zentrale Authentisierungsplattform f\u00fcr Unternehmen an. Diese unterst\u00fctzt eine gro\u00dfe Zahl an Authentifizierungsverfahren, wie zum Beispiel Zwei-Faktor-Authentifizierung (2FA) mit mTAN, OATH oder auch E-Mail und automatisiert die Benutzeradministration. Da die Self-Service-Funktionalit\u00e4t besonders leistungsf\u00e4hig ist (siehe hierzu unseren diesbez\u00fcglichen Test unter https:\/\/www.security-insider.de\/authentifizierungsloesung-mit-self-service-funktionen-a-717436<\/a>), k\u00f6nnen die Anwender den gr\u00f6\u00dften Teil der mit der Verwaltung ihrer Konten zusammenh\u00e4ngenden T\u00e4tigkeiten selbst erledigen, was das Help-Desk und die IT-Abteilung entlastet.<\/p>\n\n\n\n Airlock 2FA wurde nahtlos in das IAM-Produkt integriert und erweitert die eben genannten Zwei-Faktor-Authentifizierungsmethoden wie mTAN und OATH um eine zus\u00e4tzliche Option. Damit wendet sich Airlock vor allem an drei Zielgruppen: Unternehmen, die eine eigene 2FA-Umgebung aufbauen wollen, Unternehmen die ihre bestehende 2FA-Infrastruktur (zum Beispiel auf Basis von SecurID) modernisieren m\u00f6chten und Unternehmen, die 2FA f\u00fcr ihre Kunden und Mitarbeiter besonders einfach gestalten wollen.<\/p>\n\n\n\n Die Verwaltung der Benutzer, die Authentifizierungsmethoden und das Management s\u00e4mtlicher Schl\u00fcssel laufen im Betrieb \u00fcber IAM ab. In der Praxis lassen sich dann mit dem Produkt Zugriffe auf Home-Offices, Online-Services, Schnittstellen, Portale, VPNs und Web-Anwendungen absichern. Es handelt sich bei IAM also um eine vorgelagerte Authentifizierungsl\u00f6sung, die die Zugriffe auf die gesamte Applikationslandschaft eines Unternehmens sch\u00fctzt und das separate Sichern einzelner Anwendungen \u00fcberfl\u00fcssig macht. Bei Bedarf ist es sogar m\u00f6glich, mit dem System Banktransaktionen zu best\u00e4tigen.<\/p>\n\n\n\n Der Funktionsumfang von Airlock 2FA<\/strong><\/p>\n\n\n\n Bei Airlock 2FA handelt es sich um einen Cloud-basierten Service, der zusammen mit dem Airlock-Gateway und der genannten IAM-L\u00f6sung zum Einsatz kommt. Kunden k\u00f6nnen diesen Dienst optional zu den genannten Airlock-Produkten dazu buchen. Um 2FA zu nutzen, m\u00fcssen aber der Gateway und die IAM-L\u00f6sung bereits vorhanden sein.<\/p>\n\n\n\n\n\n\n\n Ein besonderes Highlight von Airlock 2FA ist das Zero-Touch-Feature. Dieses macht ein sicheres Einloggen ohne weitere Benutzerinteraktion m\u00f6glich und soll damit daf\u00fcr sorgen, dass der Login-Prozess genauso einfach abl\u00e4uft, wie bei Konten, die nur mit Username und Passwort abgesichert werden. Wie das genau funktioniert, werden wir sp\u00e4ter im Test noch zeigen.<\/p>\n\n\n\n Abgesehen davon erm\u00f6glicht die zu Airlock 2FA geh\u00f6rende App auch einen Login via Passcode, also einen alle 30 Sekunden erzeugten Sicherheits-Code. Die 2FA l\u00e4uft dann so wie beispielsweise \u00fcber den Google Authenticator. Um Anforderungen wie PSD2 zu erf\u00fcllen, unterst\u00fctzt das Produkt, wie gesagt, auch Transaktionsbest\u00e4tigungen.<\/p>\n\n\n\n Abgesehen davon besteht auch die Option, passwortlose Anmeldungen m\u00f6glich zu machen. Das eliminiert den Einsatz unsicherer Passw\u00f6rter und steigert die Benutzerfreundlichkeit. Bei einem passwortlosen Login kann die Authentifizierung beispielsweise \u00fcber One-Touch, also eine Anmeldung mit Benutzerkennung ohne Passwort und einen Fingerabdruck, einen PIN oder via Gesichtserkennung auf dem Smartphone erfolgen.<\/p>\n\n\n\n Der Test<\/strong><\/p>\n\n\n\n Im Test verwendeten wir eine Demo-Umgebung mit einem Testunternehmen namens \u201cVirtinc\u201d, dessen Benutzer \u00fcber unterschiedliche Authentifizierungsmethoden auf die Virtinc-Online-Assets (in der Testumgebung handelte es sich dabei um ein WordPress-Blog) zugriffen. Konkret arbeiteten wir dabei mit der zum Testzeitpunkt aktuellen Versionen der IAM-L\u00f6sung (7.2.1). Die f\u00fcr den Test erzeugten Benutzerkonten setzten unterschiedliche Authentifizierungsmethoden ein. Dazu geh\u00f6rten einmal ein einfacher Login per Passwort, au\u00dferdem verwendeten wir auch Zwei-Faktor-Authentifizierungen mit Codes per E-Mail und mTAN (SMS). Dazu kam zus\u00e4tzlich noch ein Nutzerkonto, das sich via OATH \u00fcber den Google-Authenticator anmeldete. Alle diese Authentifizierungsverfahren werden von Airlocks IAM-L\u00f6sung out of the box unterst\u00fctzt, so dass es keine Schwierigkeiten dabei gab, entsprechende Benutzerkonten anzulegen.<\/p>\n\n\n\n Nach dem Login konnten die Anwender in unserer Testumgebung auf das erw\u00e4hnte WordPress-Blog von Virtinc zugreifen und zwar als Administrator und als User. Unsere Aufgabe im Test war es nun, die genannten Benutzerkonten auf Airlock 2FA umzustellen, so dass sie genau wie zuvor weiterarbeiten konnten, nur eben statt der jeweils vorher verwendeten Authentifizierungsmethode mit 2FA. Dazu stellte uns Airlock Zugangsdaten f\u00fcr den Cloud-basierten \u201cFuturae\u201d-Server zur Verf\u00fcgung, \u00fcber den 2FA abgewickelt wird. Wir richteten damit unser System administratorseitig so ein, dass es 2FA einsetzte und stellten die Benutzerkonten dann so um, dass sie innerhalb einer vorgegebenen Zeitspanne von den Anwendern selbst auf das neue Authentifizierungssystem migriert wurden. Die eigentliche Arbeit des Umstellens \u00fcbernehmen in der Praxis also die User selbst, die im Laufe dieses Prozesses auch gleich \u00fcber die Migration und die damit verbundenen Konsequenzen informiert werden.<\/p>\n\n\n\n Im Rahmen des Tests nahmen wir zun\u00e4chst einmal den bei der Umstellung anfallenden Arbeitsaufwand unter die Lupe, und zwar sowohl f\u00fcr die Administratoren als auch f\u00fcr die User, die ihre Konten mit Hilfe der Self-Service-Funktionen selbst migrierten. Zum Schluss sahen wir uns die Funktionsweise von Airlock 2FA im laufenden Betrieb an, testeten das Zero-Touch-Feature und analysierten unsere Ergebnisse.<\/p>\n\n\n\n Die Implementierung von 2FA in unserer Testumgebung: Arbeiten auf Administratorseite<\/strong><\/p>\n\n\n\n Um die L\u00f6sung in Betrieb zu nehmen, loggten wir uns zun\u00e4chst einmal beim IAM-Konfigurationswerkzeug ein, um die Konfiguration auf Administratorseite vorzunehmen. Sobald das erledigt war, wechselten wir nach \u201cKonfiguration \/ MAIN SETTINGS \/ Authentication Settings \/ Main Authentication Flow\u201d und stellten dort unter den \u201cBasic Settings\u201d unter \u201cSecond\u201d als zweite Authentifizierungsmethode die Option \u201cAuth Method Based Authenticator Selector\u201d ein. Diese sorgt daf\u00fcr, dass die Administratoren dazu in die Lage versetzt werden, f\u00fcr jeden Anwender einen spezifischen zweiten Faktor zu definieren.<\/p>\n\n\n\n Im zweiten Schritt geht es zun\u00e4chst darum, das Plugin „Airlock 2FA Settings“ in die Konfiguration einzubinden. Das geht ebenfalls \u00fcber den Eintrag „Authentication Settings“ unter „MAIN SETTINGS“. Im Rahmen der Installation des Plugins m\u00fcssen die zust\u00e4ndigen Mitarbeiter dann noch die verwendete Datenbank und das Default-Plugin f\u00fcr die Verschl\u00fcsselung ausw\u00e4hlen. Das geht in den meisten F\u00e4llen \u2013 so auch bei uns \u2013 \u00fcber eine Selektion aus einer Drop-Down-Liste heraus. Anschlie\u00dfend wechseln die Administratoren nach \u201cKonfiguration \/ MAIN SETTINGS \/ Authentication Settings \/ Airlock 2FA Settings \/ Futurae Server\u201d. Dort war es n\u00f6tig, die Service ID, den Authentication API Key und den Administration API Key f\u00fcr den Futurae-Server einzutragen (diese Informationen hatten wir im Vorfeld von Airlock erhalten) und anschlie\u00dfend die ge\u00e4nderte Konfiguration zu aktivieren.<\/p>\n\n\n\n Im Laufe des Einsatzes von Airlock 2FA werden in der Datenbank verschiedene Informationen abgelegt, die beim L\u00f6schen des betroffenen Anwenders wieder gel\u00f6scht werden m\u00fcssen. F\u00fcr diese Aufgabe steht der „User Change Listener“ zur Verf\u00fcgung, der sich unter „Data Sources \/ User Data Source \/ User Change Event Listeners“ einrichten l\u00e4sst. Er hei\u00dft „Airlock 2FA Consistency User Change Listener“ und wird als Plugin unter „User Change Event Listeners“ aktiviert.<\/p>\n\n\n\n\n\n\n\n Zum Schluss bereiteten wir jetzt unsere Test-Benutzerkonten auf die Migration vor. Dazu wechselten wir im IAM-Konfigurationsinterface nach \u201cBenutzer\u201d, riefen den ersten User-Eintrag auf und wechselten nach \u201cAuthentisierungsmittel\u201d.<\/p>\n\n\n\n Hier fanden wir einen Bereich namens \u201cAuthentisierungsmittel-Migration\u201d vor. Dort gaben wir an, dass die Migration nach \u201cAirlock 2FA\u201d stattfinden sollte und legten einen Termin fest, bis zu dem die Migration durchgef\u00fchrt werden musste, beispielsweise zwei Wochen sp\u00e4ter. Mit den genannten Arbeitsschritten war nun alles erledigt, was auf Administratorseite erforderlich war. Die restliche Arbeit \u00fcbernehmen anschlie\u00dfend die Anwender selbst. Es besteht \u00fcbrigens auch die Option, mehrere oder alle Benutzerkonten im Unternehmen auf die gleiche Weise parallel zu migrieren. Auf diese Art und Weise ist auch eine stufenlose Migration im Mischbetrieb m\u00f6glich, was das ganze Vorgehen deutlich vereinfacht.<\/p>\n\n\n\n Die auf Anwenderseite erforderlichen Migrationsschritte<\/strong><\/p>\n\n\n\n Um nun die eigentliche Migration durchzuf\u00fchren, wechselten wir nun auf die Anwenderseite. Zun\u00e4chst einmal installierten wir auf unserem Huawei Mate 20-Smartphone die Airlock-2FA-App, die f\u00fcr Android und iOS verf\u00fcgbar ist. Sie unterst\u00fctzt Touch ID mit Fingerabdruck, Face ID (Gesichtserkennung) sowie Authentifizierungen via PIN. Falls gew\u00fcnscht, l\u00e4sst sich bei der App auch ein Branding mit eigenem Logo durchf\u00fchren, alternativ besteht sogar die Option, eine kundenspezifische App mit individuell gestaltetem Look and Feel bereit zu stellen. Zus\u00e4tzlich stehen f\u00fcr Umgebungen ohne Smartphones auch Hardware-Tokens mit Display und Kamera zur Verf\u00fcgung.<\/p>\n\n\n\n Nach der Installation der App loggten wir uns mit dem eben vorbereiteten Benutzerkonto (dieses arbeitete mit dem mTAN-Verfahren als zweitem Authentifizierungsschritt) auf der Virtinc-Webseite ein. Daraufhin landeten wir nicht auf der \u00fcblichen Benutzerseite mit den Zugriffsoptionen auf das zuvor erw\u00e4hnte WordPress-Blog. Statt dessen machte uns das System darauf aufmerksam, dass ein Wechsel auf Airlock 2FA erforderlich war und dass dieser Wechsel bis zu einem bestimmten Termin durchgef\u00fchrt werden musste. Zu diesem Zeitpunkt hat der Anwender dann die Wahl, auf \u201cJetzt umstellen\u201d zu klicken und die Migration durchzuf\u00fchren oder \u201cSp\u00e4ter umstellen\u201d zu selektieren und dann normal weiterzuarbeiten. Im Test f\u00fchrten wir zu diesem Zeitpunkt die Migration durch.<\/p>\n\n\n\n Daraufhin bot uns das System an, mit der App einen QR-Code zu scannen und einen Namen f\u00fcr das Mobilger\u00e4t zu vergeben. Sobald wir das erledigt hatten, erschien in unserer App der neu eingerichtete Zugriff mit Logo, Namen und einem st\u00e4ndig wechselnden Zahlen-Token, das man, wie vom Google Authenticator her bekannt, als zweites Authentifizierungselement beim Anmelden bei der Webseite benutzen kann, aber \u2013 wie wir gleich noch sehen werden \u2013 in den meisten F\u00e4llen nicht muss. Dass die Registrierung des Endger\u00e4ts erfolgreich war, sieht man \u00fcbrigens auch im Log beziehungsweise im Admin-Portal, in dem das Mobilger\u00e4t im Airlock-2FA-Reiter des dazugeh\u00f6rigen Benutzerkontos aufgef\u00fchrt wird.<\/p>\n\n\n\n Der Anwender sollen sich nun ausloggen und neu anmelden. Bei der ersten Anmeldung ist es erforderlich, den Login in der App auf dem Smartphone manuell zu erlauben. Das geht entweder \u00fcber die Eingabe des eben erw\u00e4hnten Zahlen-Tokens oder \u00fcber die bereits beschriebene One-Touch-Funktion. Danach kann man dann normal mit dem Online-Dienst arbeiten, f\u00fcr den man sich authentifiziert hat, in diesem Falle dem Blog von Virtinc.<\/p>\n\n\n\n Zero-Touch macht die Arbeit mit dem Smartphone \u00fcberfl\u00fcssig<\/strong><\/p>\n\n\n\n Sobald die Migration abgeschlossen wurde, ist es auf Android-Systemen m\u00f6glich, bei den folgenden Logins mit der Zero-Touch-Funktion zu arbeiten. Diese funktioniert folgenderma\u00dfen: Nach dem Login des betroffenen Benutzers mit Username und Passwort f\u00fchren sowohl der auf dem PC oder Notebook verwendete Browser als auch das Mobilger\u00e4t einen Sound-Fingerprint via Mikrofon durch. Der Browser \u00fcbertr\u00e4gt denn seinen Sound-Fingerprint an das Smartphone, dieses gleicht die Fingerprints ab und erlaubt den Login, wenn sie \u00fcbereinstimmen. Auf diese Art und Weise stellt das System sicher, dass sich Smartphone und Rechner am gleichen Ort befinden, ohne dass der Anwender dazu irgendwelche Schritte unternehmen muss.<\/p>\n\n\n\n Das funktioniert gut mit Smartphones, Tablets und Notebooks, da diese in der Regel \u00fcber ein Mikrofon verf\u00fcgen. Bei Desktops ist das nicht immer der Fall. Deswegen verf\u00fcgt Zero-Touch noch \u00fcber eine Fallback-Funktion, die in Umgebungen zum Einsatz kommt, in denen der PC kein Mikrofon hat. In diesem Fall erzeugt der Desktop-Rechner \u00fcber seine Lautsprecher einen f\u00fcr Menschen nicht h\u00f6rbaren Hochfrequenzton. Das Smartphone f\u00e4ngt diesen ab und erlaubt die Anmeldung, wenn es sich um den richtigen Ton handelt. Auch dabei ist keine Benutzerinteraktion erforderlich.<\/p>\n\n\n\n Im Test funktionierten beide Optionen einwandfrei. Sollte es einmal nicht klappen (w\u00e4hrend des Tests hielten wir mit einem Finger das Mikrofon des Smartphones zu, um das zu \u00fcberpr\u00fcfen), besteht immer noch die M\u00f6glichkeit, den Login mit dem Token oder einem Fingerabdruck manuell zu genehmigen.<\/p>\n\n\n\n Nach dem erfolgreichen Arbeiten mit Zero Touch stellten wir nun die anderen Test-Accounts, die mit den bereits erw\u00e4hnten weiteren Authentifizierungsmethoden arbeiteten, auf Airlock 2FA um. Das funktionierte analog zu dem eben beschriebenen Vorgehen, so dass wir an dieser Stelle nicht weiter darauf eingehen m\u00fcssen. Es gen\u00fcgt zu sagen, dass alles ohne Schwierigkeiten und mit minimalem Aufwand von Seiten des Administrators \u00fcber die B\u00fchne ging.<\/p>\n\n\n\n Zusammenfassung und Fazit<\/strong><\/p>\n\n\n\n Airlock 2FA konnte uns im Test vor allem mit der Zero-Touch-Funktion \u00fcberzeugen. Sie macht das Arbeiten mit der Zwei-Faktor-Authentifizierungsl\u00f6sung genauso einfach, wie einen traditionellen Login mit Benutzernamen und Passwort. Das wird sich sicher positiv auf die Akzeptanz des Produkts im laufenden Betrieb und damit auch auf das Sicherheitsniveau im Allgemeinen auswirken.<\/p>\n\n\n\n Auch die Migration an sich l\u00e4sst keine W\u00fcnsche offen. Die Administratoren m\u00fcssen lediglich wenige vorbereitende Schritte in der IAM-Konfiguration durchf\u00fchren, anschlie\u00dfend leitet das System die Anwender von sich aus Schritt f\u00fcr Schritt durch den Migrationsprozess. Aus Kundensicht spricht also nichts gegen den Einsatz dieser L\u00f6sung und das Helpdesk wird wenig belastet. IT-Verantwortliche, die nach einer leistungsf\u00e4higen 2FA-L\u00f6sung Ausschau halten, werden bei Airlock definitiv f\u00fcndig.<\/p>\n\n\n\n Dieser Test steht auch als PDF-Datei zum Download bereit:<\/p>\n\n\n\n Anmerkung:<\/strong><\/p>\n\n\n\n Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Die Security Innovation der Ergon Informatik AG „Airlock“ bietet unter dem Namen „Airlock 2FA“ ein Produkt zur Zwei-Faktor-Authentifizierung an. Die Absicherung von User-Konten nur mit Benutzernamen und Passw\u00f6rtern kann heutzutage, da Phishing allgegenw\u00e4rtig ist und immer wieder Datenbanken mit Benutzer-Credentials im Internet ver\u00f6ffentlicht werden, nicht mehr als zeitgem\u00e4\u00df gelten. Ungl\u00fccklicherweise bringt die Zwei-Faktor-Authentifizierung aber immer einen gewissen Zusatzaufwand f\u00fcr die Nutzer mit und wird deswegen im Arbeitsalltag nicht gerne gesehen. Um dieses Problem zu l\u00f6sen, bringt Airlock 2FA die so genannte Zero-Touch-Authentifizierung mit, die die Bedienung des Systems besonders einfach machen soll. Wir haben uns im Testlabor angeschaut, wie das genau funktioniert.<\/p>\n","protected":false},"author":1,"featured_media":18051,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[7302,8105,1060,10927,1747,4508,11579,14562,14561,4068],"class_list":["post-18046","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-2fa","tag-airlock","tag-e-mail","tag-ergon-informatik","tag-iam","tag-mtan","tag-oath","tag-one-touch","tag-zero-touch","tag-zwei-faktor-authentifizierung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18046","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18046"}],"version-history":[{"count":3,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18046\/revisions"}],"predecessor-version":[{"id":18098,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18046\/revisions\/18098"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18051"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18046"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18046"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18046"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_01-1024x608.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_02.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_05.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_06.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_07.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_08.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_10-1024x549.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/2FA_09.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/Smartphone-493x1024.jpg\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/Virtinc01.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/01\/Virtinc02-1024x805.png\")
<\/a>