Laut einer aktuellen Untersuchung der ESG (Enterprise Strategy Group) teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind. Deshalb plädieren sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen.
Remote-Zugriff ist jetzt die Norm
Die Nutzung von Online-Diensten ist in den letzten zehn Jahren exponentiell angestiegen. Unternehmen verlagern immer mehr ihrer Geschäftsprozesse in Online-Umgebungen. Dadurch sind Remotezugriffe ebenfalls stetig mehr geworden. Zugleich ist diese Methode der einfachste Weg, um Geschäftstätigkeiten durchzuführen sowie auf sensible Unternehmensdaten zuzugreifen. Doch durch die Verlagerung auf Online-Dienste hat sich auch das Risiko für Sicherheitsverletzungen erhöht, denn böswillige Dritte finden immer komplexere Möglichkeiten, unerlaubt in Systeme einzudringen.
Eine Studie von Ponemon Research, bei der über 500 Unternehmen befragt wurden, ergab, dass allein im letzten Jahr 90 Prozent dieser Firmen von Sicherheitsverletzungen betroffen waren. Derartige Statistiken deuten auf eine eklatante Diskrepanz zwischen aktuellen Sicherheitslösungen und modernen Bedrohungen hin. Es ist ganz offensichtlich, dass große Unternehmen stärkere und effektivere Sicherheitslösungen benötigen, um sich zu schützen.
Über die Entwicklung von Hackerangriffen
In den frühen Jahren des Internet waren Benutzername und Kennwort die bevorzugte - manchmal die einzige - Form, sich zu authentifizieren. Wollten Hacker in Systeme eindringen, nutzten sie entweder Brute-Force-Angriffe, um die benötigte Information zu erraten oder sie versuchten über Wörterbuchangriffe, Identitäten von Benutzern anzunehmen. Hierbei werden diverse Kombinationen und mögliche Passwörter eingegeben, bis eine Übereinstimmung gefunden ist.
Irgendwann wurden Technologien entwickelt, mit denen verhindert werden konnte, dass solche Angriffe erfolgreich waren: Konten wurden dann nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt.
Doch auch Hacker entwickelten ihre üblen Tricks weiter. So entstanden neue Methoden wie Pharming, Phishing oder eine Kombination aus beidem. Bei solchen Angriffen werden Anwender auf eine gefälschte Webseite geleitet, die der echten täuschend ähnlich sieht. Oft erkennen Anwender nicht, dass sie umgeleitet wurden und so geben sie ihre persönlichen Anmeldedaten preis.
Bei einigen dieser fortgeschritteneren Angriffe wird die gestohlene Information in Echtzeit an Hacker gesendet, wobei viele gängige Token der Zwei-Faktor-Authentifizierung kompromittiert werden. Bei der Malware Zeus beispielsweise werden Benutzername und Passwort - sogar fortgeschrittene zeitbasierte Token-Codes - erbeutet und die Information per Sofortnachricht direkt an den Hacker gesendet.
Als wäre es nicht schon genug, die Standard-Anmeldungsmethode zu kompromittieren, sind unlängst neue, noch ausgereiftere Methoden zum Abfangen von Anmeldedaten entstanden. Dazu gehören Angriffe wie Man-in-the-Browser, Man-in-the-Middle und Session-Hijacking.
Diese Methoden sind dreister und noch verdeckter, sodass nicht einmal mehr die sicherheitsstärksten Token für die Zwei-Faktor-Authentifizierung effektiv sind. Viele Organisationen erkennen jedoch nicht, dass herkömmliche Token auf diese Weise kompromittiert werden können und ein erhebliches Sicherheitsrisiko bedeuten, dem man sich annehmen muss.
Das Facebook-Konto besonders gut schützen
Was für das Mail-Konto gilt, trifft auch für Facebook zu. Ein guter Schutz für beide Konten ist extrem wichtig. Denn sobald ein Angreifer Zugang zu Ihrem Facebook-Konto hat, kann er sich damit auch bei sehr vielen anderen Diensten anmelden. Das geht auf einer Webseite immer dann, wenn neben dem normalen Login-Feld auch „Anmelden mit Facebook“ steht. Sie Schützen Ihr Facebook-Konto gut gegen Passwort-Diebe, wenn Sie auch hier eine Zwei-Wege-Authentifizierung per Handy einrichten. Melden Sie sich dafür in Facebook an und klicken Sie dann auf den Pfeil oben rechts neben dem Wort „Startseite“. Wählen Sie dort „Konteneinstellungen, Sicherheit (linke Seite), Anmeldebestätigung (Mitte)" und aktivieren Sie diese. Ein Assistent führt Sie durch die nächsten Schritte. Dadurch wird immer dann ein neuer Code auf Ihr Handy geschickt, wenn Sie sich von einem unbekannten Gerät (PC, Tablet, Handy) aus bei Facebook anmelden. Diesen Code nutzen Sie als Ihr Log-in-Passwort.
TAN-Generator fürs Online-Banking
Die TAN (Transaktionsnummer) beim Online-Banking ist im Grunde genommen auch ein Passwort - eben eines, das nur einmal gültig ist. Da die TAN die Richtigkeit einer Überweisung belegt, sollten Sie ein sicheres TAN-Verfahren nutzen. Den besten Schutz liefern sogenannte TAN-Generatoren, die es für 10 bis 20 Euro zu kaufen gibt. Beim Online-Banking zeigt die Banking-Website dann Details zur Überweisung auch mit einem Leuchtcode (Flickercode) am Monitor an. Es erscheinen eine Reihe von weißen und schwarzen Blöcken. Der TAN-Generator hat auf seiner Rückseite Fotozellen, die diesen Leuchtcode lesen. Anschließend gibt das Gerät die nötige TAN aus. Zwar gibt es schon einen Virus, der die Nutzer solcher Geräte austricksen kann. Allerdings muss der Nutzer schon sehr mitarbeiten, damit der Virus erfolgreich ist. Denn der Schädling fordert ihn auf, eine Testüberweisung per TAN-Generator durchzuführen. Dass die „Testanweisung“ aber ein Diebstahlsversuch ist, kann einem misstrauischen Anwender schon auffallen.
Passwort-Manager für Android - Keepassdroid
Damit Sie Ihre Passwörter auch auf dem Smartphone gut verschlüsselt immer dabei haben können, nutzen Sie den Passwort-Tresor Keepassdroid. Wenn Sie die App das erste Mal starten, schlägt es ihnen vor, eine neue verschlüsselte Datenbank im angegebenen Pfad anzulegen. Klicken Sie hier einfach auf „Erstellen“. Auf dem nächsten Bildschirm müssen Sie ein sicheres Verschlüsselungs-Kennwort für Ihre Datenbank vergeben – mindestens 8 besser 12 möglichst zufällige Zeichen (Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen). Danach wiederholen Sie es und tippen auf „OK“, um die Datenbank anzulegen und zu öffnen. Die Datenbank wird durch die AES-Verschlüsselung geschützt.
WLAN-Passwörter und mehr mit Android sichern
Android speichert eine Menge Passwörter und Einstellungen im System. Damit Sie diese nach dem Zurücksetzen des Smartphones nicht wieder erneut eingeben müssen, lohnt sich die Speicherung im Internet. Allerdings sind die nötigen Einstellungen nicht bei allen Handys automatisch richtig gesetzt. So kontrollieren Sie das Sichern der Passwörter im Netz: Sie finden die Option bei Android 4 unter „Einstellungen, Sichern & zurücksetzen, Meine Daten sicher“. Geben Sie dort auch das „Sicherungskonto“ an und aktivieren Sie „Automatische Wiederherstellung.“ Bei Android 2.3 finden Sie die Option bei „Einstellungen, Datenschutzeinstellungen, Meine Daten sichern“. Einen kompletten Überblick darüber, was Android alles speichert, gibt es leider nicht. In der Android-Hilfe stehen immerhin diese Angaben: „Bei Aktivierung dieser Option werden zahlreiche persönliche Daten automatisch gesichert, darunter Ihre WLAN-Passwörter, Browser-Lesezeichen, eine Liste Ihrer über Google Play installierten Apps, die Begriffe, die Sie über die Bildschirmtastatur zum Wörterbuch hinzugefügt haben, sowie ein Großteil Ihrer benutzerdefinierten Einstellungen. Diese Funktion kann auch von einigen Apps von Drittanbietern genutzt werden, sodass Sie Ihre Daten wiederherstellen können, wenn Sie eine dieser Apps erneut installieren.“
Online-Passwort-Manager für den PC
Der Online-Passwort-Manager Lastpass merkt sich alle Ihre Passworte und füllt Sie im Browser auf Wunsch auch aus. Damit können Sie für jeden Dienst ein anderes und dazu noch extrem kompliziertes Passwort wählen. Lastpass erstellen Ihnen auf Wunsch auch beliebig komplizierte Passwörter. Sie selbst müssen sich nur noch ein Passwort merken, nämlich das Master-Passwort für Lastpass. Es öffnet den Online-Passwort-Tresor. Lastpass gibt es als kostenlose Browser-Erweiterung für Internet Explorer, Firefox, Safari, Chrome und Opera. Im Laufe der Installation werden Sie aufgefordert ein Lastpass-Konto anzulegen, dass Sie mit dem sicheren Master-Kennwort schützen. Am Ende können Sie alle bereits in Ihrem Browser gespeicherten Anmelde-Daten in Ihre Lastpass-Datenbank importieren lassen.
Der Passwort-Satz macht das Kennwort kompliziert
Wenn Sie sich ein kompliziertes Passwort ausdenken und merken möchten, dann können Sie einen einfach zubehaltenen Satz wählen und gegebenenfalls um eine Zahl ergänzen. Denn ein gutes Passwort hat Großbuchstaben, Kleinbuchstaben und Zahlen. Idealerweise setzen Sie auch noch ein Sonderzeichen hinzu. Das kann dann so aussehen: „Alle meine Entchen schwimmen in dem See und das schon seit 1975#“ ergibt das Passwort: „AmEsidSudss1975#“.
Verwenden Sie Sonderzeichen mit Bedeutung
Das gute Passwort enthält auch zumindest ein Sonderzeichen. Damit Sie sich das Passwort aber trotz dieses Zeichens einfach merken können, weisen Sie ihm eine Bedeutung zu. So kann etwa „+“ für gut stehen und § für Recht. In Verbindung mit dem Passwort-Satz, der im letzten Bild vorgestellt wurde, könnte ein Passwort so aussehen: Wi§h-ia+d = „Wer immer Recht hat - ist auch gut drauf“ Allerdings sollten Sie Sonderzeichen vermeiden, die unter Umständen nicht auf allen Rechnern verfügbar sind, etwa ä, ö, ü, ß. Unbedenklich sollten etwa diese Zeichen sein: #, +, -, !, §, $, %, &.
Meiden Sie die Passwortspeicherung von Browsern
Es ist zugegebener Maßen bequem, wenn der Internet-Browser sich alle Log-in-Daten merkt. Doch zumindest bei den meisten älteren Versionen der gängigen Browser können Viren diese Passwörter stehlen. Zudem können Tools wie der Elcomsoft Internet Password Breaker die Kennwörter auslesen.
iPhone- und iPad-Backup verschlüsseln
Wer ein iPhone oder iPad besitzt, hat dort in der Regel bereits etliche Passwörter eingegeben. Das sind natürlich die WLAN-Passwörter, können aber auch alle Log-in-Daten sein, die Sie auf Webseiten eingeben. Denn auch der Browser auf iPhone und iPad speichert auf Wunsch diese Log-ins. Allerdings nur auf dem Gerät selber. Das Backup der Daten, das Sie mit iTunes am PC vornehmen können, hat die Codes standardmäßig nicht mit dabei. Wenn Sie das iPhone mal zurücksetzen oder auf ein neues Gerät umziehen, fehlen die Kennwörter entsprechend. Das lässt sich aber verhindern, wenn Sie das Backup am PC selber mit einem Passwort schützen. Dann wandern die WLAN-Kennwörter ebenso wie alle anderen Codes mit in die Sicherung. So geht’s: Starten Sie iTunes am PC und verbinden Sie Ihr Apple-Gerät mit dem PC. Wählen Sie es dann in iTunes aus. Ab Version 10 von iTunes geht das oben rechts. Aktivieren Sie auf der Übersichtsseite „Backup, Automatisch sichern, Dieser Computer, Lokales Backup verschlüsseln“.
Zwei-Wege-Authentifizierung fürs Mail-Konto
Schließlich darf die oben bereits erwähnte Zwei-Wege-Authentifizierung fürs Mail-Konto nicht fehlen. Hier noch mal die Gründe und die Anleitung für Gmail: Schützen Sie Ihr Mail-Postfach ganz besonders gut. Denn wenn ein Krimineller Zugriff auf Ihre Emails hat, hat er auch Zugriff auf fast alle anderen Online-Dienste. Denn bei den meisten Diensten kann man sich, wenn man das Passwort nicht kennt, mit nur einem Klick ein neues Passwort oder einen Passwort-Link per Mail zusenden lassen… Grund genug, fürs Postfach nur den besten Schutz zu wählen und das ist die Zwei-Wege-Authentifizierung. Leider unterstützen das bisher nur wenige Freemail-Anbieter. Eine löbliche Ausnahme ist hier Gmail. Haben Sie dort einmal diese Methode der Authentifizierung gewählt, dann kann sich ein neues Gerät, etwa ein anderer PC oder ein Smartphone, aber auch eine neue App oder ein neuer Browser nur mit einem zusätzlichen Passwort anmelden (anwendungsspezifisches Passwort). Dieses weitere Passwort sendet Ihnen Google zu. Der Clou daran: Der Versand des Passworts erfolgt auf einen anderen, auf einem zweiten Weg. Es kommt also nicht an dem PC an, an dem Sie sich gerade einloggen, sondern über ein Handy per SMS über ein Festnetztelefon per Ansage oder über eine App auf dem Smartphone. So aktivieren Sie die Zwei-Wege-Authentifizierung: Loggen Sie sich auf www.gmail.com in Ihr Gmail-Postfach ein, klicken Sie auf den kleinen Pfeil rechts oben und wählen Sie „Konteneinstellungen -> Sicherheit -> Bestätigung in zwei Schritten -> Bearbeiten“. Es startet ein Assistent, der Sie Schritt für Schritt durch die Einrichtung führt. Sie benötigen dabei bereits das Handy oder das Festnetztelefon, um den ersten Code per SMS oder Sprachnachricht zu empfangen. Sie erhalten anschließend eine Mail mit den Links zu allen nötigen Konfigurationsseiten. So kommen Sie an die Stelle, an der Sie sich die „anwendungsspezifischen Passwörter“ generieren lassen können, ebenso wie eine Liste mit Ersatzcodes.
Welcher Schutz ist am besten?
Die Bedrohungslandschaft entwickelt sich weiter und so entsteht für Organisationen ein Teufelskreis: Ständig muss die Investitionshöhe für den Schutz gegen Sicherheitsrisiken neu beurteilt werden. Leider ist der beste verfügbare Schutz für Organisationen oft nicht erschwinglich, da das Budget dafür nicht ausreicht. Die Situation verlangt nach Kompromissen: m ehr investieren für besseren Schutz oder das Budget einhalten und Sicherheitsverletzungen riskieren?
Um im Rahmen des Budgets zu bleiben, haben Organisationen verschiedene Technologien in Gebrauch genommen, wie Zertifikate, biometrische Verfahren, Smartcards und Hardware-/Softwaretoken. Zertifikate gelten oft als die beste Lösung, um mehrere Geräte über eine sichere und erkennbare Verbindung zu koppeln. Doch das grundlegende Problem bei dieser Methode ist die Bereitstellung und Verwaltung der Zertifikate. Außerdem besteht das Risiko, dass sie ohne Wissen des Anwenders kopiert werden können und auch die Zertifizierungsstelle ist vor Kompromittierung nicht sicher.
IT-Sicherheit in sechs Schritten -
Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können.
Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen.
Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind.
Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen.
Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen.
Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>
Auch biometrische Verfahren haben gewisse Erfolge gezeigt. Allerdings kann nicht davon ausgegangen werden, dass ein funktionierender Iris- oder Fingerabdruck-Scanner immer zur Hand ist. Beim Scannen selbst wird zudem eine digitale Datei erzeugt, die kompromittiert werden kann.
Die Smartcard ist eine weitere alternative Methode. Diese kann sich in einer Welt von Bring-your-own-Device (BYOD) allerdings als mangelhaft herausstellen, da Anwender fordern, dass Zugriffe ständig von wechselnden Geräten aus möglich sind. Folglich besteht eine große Nachfrage nach einem neuen Ansatz der Multi-Faktor-Authentifizierung.
Multi-Faktor-Authentifizierung neu gedacht
Viele Organisationen haben Multi-Faktor-Authentifizierungslösungen eingeführt, die auf Mobilfunknetzwerken basieren, um damit der heutigen Bedrohungslandschaft zu begegnen und zugleich dem Anwender eine einfache und flexible Lösung zu bieten.
Der neue Ansatz der Multi-Faktor-Authentifizierung entstand aus zwei Gründen: Die Notwendigkeit, verstärkte Sicherheit zu bieten, um für moderne Bedrohungen gerüstet zu sein sowie der Bedarf, dieses Sicherheitsniveau kostengünstig und anwenderfreundlich bereitzustellen. Außerdem muss, um höchstmögliche Sicherheit zu erreichen, bei der Authentifizierung eine Echtzeitverbindung zum Netzwerk bestehen und die Authentifizierung benutzerspezifisch sein.
Würde die Authentifizierungs-Engine einen gewöhnlichen Token per SMS versenden, könnte heutige Malware den Code leicht stehlen. Um sich erfolgreich vor modernen Bedrohungen zu schützen, sollten Organisationen deshalb Lösungen implementieren, die in einer nachrichtenbasierten Umgebung wirksam funktionieren. Zu den Kernelementen dieses neuen Authentifizierungsansatzes gehören:
-
Verstärkte Sicherheit: Bestmögliche Sicherheit wird erreicht, wenn das Einmalpasswort (One-time Password, OTP) in Echtzeit generiert wird und sitzungsspezifisch ist. Es sollten also keine Token verwendet werden, die Seed-Dateien nutzen, in denen Passwörter gespeichert werden.
-
Einfache Verwaltung: Die Lösung sollte einfach innerhalb bestehender Infrastruktur zur Benutzerverwaltung verwaltet werden können.
-
Standortbezogenheit: Um höchstmögliche Sicherheit zu erhalten, sollten Unternehmen Kontextdaten nutzen - wie etwa Standort und Verhaltensmuster. So wird eine effektive Benutzerauthentifizierung erreicht.
-
Übersichtliche Infrastruktur: Die Infrastruktur sollte so wenig komplex wie möglich sein. Deshalb sollte sich die Lösung in verschiedene Anmeldesysteme einbinden lassen, wie etwa Citrix, VMware, Cisco, Microsoft, SSL-VPNs, IPsec-VPNs und Web-Anmeldungen.
-
Mehrstufiger Schutz: Damit eine Echtzeitzustellung von Passwörtern unterstützt werden kann, benötigen Unternehmen serverseitig eine robuste und redundante Architektur und außerdem eine standortunabhängige Unterstützung für verschiedene Zustellungsmechanismen.
-
Anwenderfreundliche und unkomplizierte Sicherheit: Es sollte eine intelligente Anmeldelösung gewählt werden, die die erforderliche Authentifizierungsebene auf Basis der Bedrohungsstufe automatisch anpassen kann. Meldet sich ein Benutzer beispielsweise von einem vertrauenswürdigen Standort aus an, wie etwa der Unternehmenszweigstelle oder dem Home Office (Ort ist bereits durch vorige Anmeldungen bekannt), wird kein OTP abgefragt.
Ein Blick in die Zukunft
Trotz großer Bemühungen, Cyber-Angriffe gering zu halten, steigt die Anzahl von Online-Identitätsdiebstählen weiter an und täglich berichten Unternehmen, gleich welcher Größe, von Sicherheitsverletzungen betroffen zu sein. Um die besten Maßnahmen gegen derartige Bedrohungen zu ergreifen, ist eine neue Generation der Multi-Faktor-Authentifizierung erforderlich.
Ein Verfahren, bei dem sitzungs- und standortspezifische Passwörter in Echtzeit an Mobiltelefone übermittelt werden, ist dabei ideal, damit sich Organisationen vor potenziellen Datenverlusten schützen können. Außerdem liefert eine derartige Methode die von Organisationen benötigte starke, flexible Sicherheit, um Mitarbeiter-, Anwender- und Datenschutz zu gewährleisten.