Thought Leadership
Neu ist das Thema nicht. IT-Experten und alle, die sich professionell mit IT-Sicherheit befassen wissen es schon lange. Aber auch bei den meisten Nutzern ist die Botschaft angekommen: Passwörter gehören zu den Schwachstellen, die gerne mal den größten anzunehmenden Schaden hinterlassen.
Das hat mehrere Gründe und nicht unbedingt liegt es daran, dass die Passwörter ähnlich einfallsreich sind wie „123456“.
Zum einen hat sich die Natur der Schwachstellen verändert. Ein Beispiel dafür war die Heartbleed-Lücke, die von einigen sogar als die bisher schwerste Internetbedrohung bewertet worden ist. Zum anderen sind nicht nur die unmittelbar gehackten Accounts betroffen. Wie beim jüngsten Dropbox-Angriff sind sämtliche Konten betroffen, die über die klassische Methode, nämlich Benutzername/Passwort, mit ein und demselben Passwort zugangsgesichert wurden.
Im Wesentlichen sind drei grundlegende Risikofaktoren mit dem Gebrauch von Passwörtern verbunden:
1. Das Wiederverwenden von Passwörtern
Es ist nicht ganz einfach, sich willkürliche alphanumerische Passwörter zu merken, die zusätzlich Zeichenfolgen enthalten. Selbst wenn man nur jeweils ein Passwort für die im Internet meist benutzten Plattformen auswählt kommt eine beachtliche Anzahl von ihnen zusammen. Und diese Menge von Passwörtern muss man sich entweder merken oder sonst wo abspeichern. Zum Problem wird die Mehrfachverwendung insbesondere dann, wenn nur eine der Plattformen Opfer eines erfolgreichen Angriffs geworden ist. Das ist in jüngster Zeit beispielsweise Twitter, Adobe, Evernote und vielen anderen so ergangen. Sollte ein Passwort benutzt worden sein, dass ein Mitarbeiter beispielsweise für E-Mail-Konten, VPN oder firmeninterne Anwendungen ebenfalls verwendet hat, sind logischerweise auch diese Daten gefährdet.
2. Social Engineering
Im Internet ist eine Vielzahl persönlicher Informationen frei zugänglich. Diese sind für Angreifer eine schier unerschöpfliche Fundgrube, um Attacken zu entwerfen, die auf Methoden des Social Engineering basieren. Sie richten sich gezielt gegen den Endbenutzer, die Ziele sind allerdings sehr viel weit reichender. Zu dieser Kategorie der inzwischen hoch professionalisierten Angriffe gehören beispielsweise Phishing-Kampagnen, die aufwendig gestaltet und legitimen E-Mails einer bestimmten Kategorie täuschend ähnlich sehen. Damit umgehen die Angreifer die technischen Abwehrhürden und Sicherheitsabfragen. Social Engineering ist tatsächlich eine der gefährlichsten und wirksamsten Methoden, um an vertrauliche Informationen zu gelangen.
3. Form-Grabbing Malware
Malware und Software werden sich immer ähnlicher. Im Internet gibt es Software-Pakete mit den Grundbausteinen für eine erfolgreiche Malware-Kampagne. Auf diese Weise wird beispielsweise ein Trojaner eingeschleust. Gelingt es, sich mit seiner Hilfe nach Art einer Man-in-the-Middle-Attacke in ein Firmennetzwerk zu hacken, sind diverse Nutzerkonten in Gefahr.
Auch wenn sich Passwörter (noch) hartnäckig halten, sich auf eine Authentifizierung lediglich mit Benutzername und Passwort zu verlassen, mutet da schon fast sträflich an.
Die sogenannte 2-Faktor-Authentifizierung ist ein alternatives Konzept. Hier kommt mindestens eine weitere Komponente dazu, wenn man sich digital ausweist. Das kann ein Einmal-/Wegwerf-Passwort sein, aber auch ein Zertifikat.
Digital Ausweisen
Grundsätzlich beruht diese Art der Authentifizierung auf drei wesentlichen Bausteinen:
- auf etwas, das man kennt – also ein Benutzername/Passwort oder ein ATM-Pin
- auf etwas, das man besitzt – ein Mobilgerät mit einem OTP-Code, eine Kreditkarte oder ein digitales Zertifikat
- auf etwas, das man selbst ist – das kann beispielsweise ein Fingerabdruck sein oder ein Retina-Scan
Die 2-Faktor-Authentifizierung kombiniert mindestens zwei der genannten Faktoren miteinander.
Digitale Zertifikate gehören zur zweiten Kategorie und sind das virtuelle Äquivalent zum physischen Identitätsausweis. Sie bestätigen einerseits die jeweilige Identität als solche und andererseits die Zugangsberechtigung für diese Identität. Sprich, dass genau dieser Nutzer berechtigt ist, auf ein Konto oder eine Anwendung im Unternehmen zuzugreifen. Intern genutzte Dienste und Netzwerke kann eine Firma so konfigurieren, dass nur die digitalen Zertifikate akzeptiert werden, die zu einem bestimmten Profil passen. Das kann der Firmenname sein, aber auch die Funktion eines Mitarbeiters. Grundsätzlich sind solche digitalen Zertifikate entweder lokal auf dem Rechner oder bei einer Zertifizierungsstelle gespeichert, alternativ sie sind mit einem Token, respektive einer Smartcard verbunden. Wenn sich ein Benutzer anmeldet, sei es für einen internen Dienst oder bei einem Online-Banking-Portal, wird die Identität automatisch bei der Zertifizierungsstelle oder durch einen Token/eine Smartcard überprüft. Genauer: es wird geprüft, ob ein entsprechend gültiges Zertifikat vorliegt.
Ein Unternehmen, das sich für Zertifikate von einer Zertifizierungsstelle entschieden hat, greift beispielsweise auf ein Management-Portal für die komplette Public-Key-Infrastruktur zu. Dieses Management-Portal ist ausschließlich für Administratoren gedacht, die hier den gesamten Lebenszyklus der im Unternehmen verteilten Zertifikate überwachen und steuern.
Wenn jemand auf den geschützten Bereich dieses Portals zugreift, erhält er automatisch eine Liste mit Zertifikaten, aus denen er das richtige auswählen muss, um zugreifen zu können. Mit anderen Worten: Auch wenn jemand Ihren Benutzernamen und ihr Passwort kennt, kann er nicht auf interne Ressourcen zugreifen, Daten ändern oder abziehen etc. Es sei denn er hätte gleichzeitig das entsprechende digitale Zertifikat. Selbst im Falle der Heartbleed-Lücke könnte ein Angreifer nur dann Daten abziehen, wenn er gleichzeitig den passenden privaten Schlüssel für das Zertifikat besitzt. Während des eigentlichen Authentifizierungsprozesses werden keinerlei vertrauliche Informationen über das Zertifikat übermittelt. Der private Schlüssel und das Zertifikat sind entweder lokal gespeichert oder auf einem physischen Gerät wie Token oder Smartcard. Anders als ein Passwort taucht der private Schlüssel nicht auf dem Server auf und ist so deutlich besser geschützt.
Vorteile einer zertifikats-basierten Authentifizierung
- Problemlos für den Benutzer – Der Endbenutzer muss sich nicht umstellen und ist nicht in den eigentlichen Authentifizierungsprozess involviert. Ist das Zertifikat einmal installiert, innerhalb einer Active-Directory-Integration ist das automatisiert möglich, muss man in der Regel nichts weiter tun. Will ein Benutzer sich anmelden, wird er weitergeleitet und muss nur sein Zertifikat aus der ihm zur Verfügung gestellten Liste auswählen.
- Keine zusätzliche Hardware – Anders als bei Einmal-Passwörtern oder bei biometrischen Verfahren (Fingerabdruck- oder Retina-Scan) ist keine zusätzliche Hardware notwendig. Das Risiko, dass ein Token gestohlen wird oder verloren geht entfällt. Im Übrigen können die lokal gespeicherten Zertifikate auch auf andere Geräte übertragen werden, wenn ein Benutzer verschiedene Devices verwendet.
- Vergleichsweise einfach zu verwalten – Die meisten Lösungen zur zertifikats-basierten Authentifizierung verwenden eine Cloud-Plattform. Hier kann der zuständige Admin Zertifikate anlegen, wenn neue Mitarbeiter eingestellt wurden oder Zertifikate zurückrufen. Mit Lösungen, die sich über Active Directory integrieren, kann man den gesamten Prozess automatisieren. Er läuft dann quasi unbemerkt im Hintergrund ab.
- Native Unterstützung – Zahlreiche der weit verbreiteten Anwendungen und Netzwerke unterstützen bereits nativ den .509-Standard für Public-Key-Zertifikate. Mit einigen kleinen Veränderungen kann ein Admin auf dieser Basis eine zertifikats-basierte Authentifizierung für die häufigsten Anwendungsfälle einrichten (z.B. Windows, Google Apps, SharePoint, SAP, aber auch Remote Server über Citrix-Portale oder SonicWALL). Der Konfigurationsaufwand hält sich auch dann in Grenzen, wenn das komplette Netzwerk einschließlich der Mobilgeräte angebunden werden soll.
