Anzeige

Passwort

Der 1. Februar ist seit geraumer Zeit der „Ändere dein Passwort“-Tag. Er soll Nutzern als Erinnerungsstütze dienen, ihre verwendeten Passwörter regelmäßig zu ändern und soll so für mehr digitale Sicherheit sorgen. Cybersecurity-Experte Marco Föllmer von der EBF GmbH wirft einen Blick auf Authentifizierung-Methoden, die über Passwörter hinausgehen. 

Einfache Passwortkombinationen, die Nutzer bei verschiedenen Anwendungsdiensten verwenden, sind ein enormes Sicherheitsrisiko für Unternehmen – das ist bekannt. Doch selbst sehr komplexe Passwörter können ins Visier von Hackern geraten und von ihnen geknackt werden. Als deutlich sicherer gilt die Zwei-Faktor-Authentifizierung (2FA), die bereits in vielen Unternehmen genutzt wird, um Daten abzusichern. Im Vergleich zur simplen Passworteingabe ist die Zwei-Faktor-Authentifizierung zwar einerseits sicherer, aber andererseits ist sie für Nutzer auch zeitintensiver und aufwändiger. Mitarbeiter empfinden sie daher als wenig nutzerfreundlich. Aus diesem Grund arbeiten immer mehr IT-Experten aktuell an Verfahren, die eine Passworteingabe nicht immer erforderlich machen. Damit dies gelingt, setzen sie auf das “Zero-Trust“ Konzept.

Zero Trust: Vertraue niemandem

Der Kern des Zero-Trust-Ansatzes lässt sich durch die direkte Übersetzung verstehen: kein Vertrauen. Dabei wird bewusst nicht zwischen internen und externen Quellen unterschieden – jeder Zugriff auf Anwendungen und Unternehmensdaten wird zunächst als nicht vertrauenswürdig eingestuft. Egal, von welchem Gerät, welchem Nutzer oder welcher App: Jeder Zugriff muss explizit autorisiert werden.

Dies ist ein sehr komplexer Ansatz und stellt ein Novum im Vergleich zu bisherigen Handlungsweisen dar. Aber in Zeiten, in denen Qualität und Quantität von Cyberangriffen stetig zunehmen, ist es ein wirkungsvoller Weg, potentielle Einfallstore abzusichern.

Zero Trust erfordert intelligente Richtlinien

Voraussetzung zur Anwendung des Zero-Trust-Prinzips ist es, im Vorfeld Richtlinien zu definieren. Diese legen fest, in welchem Fall ein Nutzer den angeforderten Zugriff ohne zusätzliche Authentifizierungsschritte erhält und in welchem Fall weitere Schritte zur Feststellung der Identität notwendig sind. Dabei existieren verschiedene Authentifizierungsfaktoren, welche zur Bewertung der Zugriffsanfrage abgefragt werden.

Die verwendeten Geräte spielen dabei eine zentrale Rolle. Handelt es sich um ein von der IT verwaltetes Gerät, so können in der Regel geringere Hürden in Sachen Authentifizierung gelten. Wird das Gerät nicht gemanagt, ist das Misstrauen höher.
Auch die Nutzer selbst werden als Faktor herangezogen: Ist ein Nutzer beispielsweise im Active Directory hinterlegt, genießt er mehr Vertrauen als ein unbekannter Nutzer. Einen weiteren Faktor stellen einzelne Anwendungsdienste und deren Herkunft dar: Stammt eine Anwendung aus dem Firmen-App-Store, dessen Sicherheit von der Unternehmens-IT kontinuierlich geprüft wird? Oder wurde die App aus dem App-Store des Geräteherstellers heruntergeladen? Bei Letzterem besteht ein erhöhtes Sicherheitsrisiko, weshalb eine zusätzliche Authentifizierung sinnvoll sein kann beziehungsweise notwendig ist. Auch Zertifikate, die an mobile Endgeräte verteilt werden können und eine einzigartige Identität in Form eines Schlüssels ausdrücken, können bei den Richtlinien eine Rolle spielen.

Neuere Ansätze gehen sogar soweit, die Nutzungsgewohnheiten der Mitarbeiter zur Authentifizierung heranzuziehen. Deep Learning macht es möglich, diese genauer kennenzulernen und beispielsweise zu erkennen, wie schnell ein Nutzer tippt oder mit wie viel Druck er auf das Smartphone-Display drückt. Bei ungewöhnlichen Vorgängen kann der Zugriff dann verweigert werden.

Die Zukunft wird nutzerfreundlicher

Die definierten Richtlinien lassen sich mithilfe eines Unified Endpoint Management Systems (UEM) in die Praxis umsetzen. Sie dienen der Verwaltung von Endgeräten wie Handys und Laptops und machen es möglich, Richtlinien für diese Geräte zu definieren, die dem Zero-Trust-Prinzip folgen. Das UEM überprüft die verschiedenen definierten Faktoren und erkennt, ob sich das Gerät in einer sicheren Situation befindet oder ob es Anomalien gibt. Je nach Ausprägung der verschiedenen Faktoren werden sukzessive stärkere Authentifizierungsschritte eingefordert. So gelingt es, dass der Arbeitsalltag im Normalfall für den Mitarbeiter deutlich nutzerfreundlicher wird. Denn es ist sogar möglich, dass in Situationen, die das UEM als gänzlich sicher einstuft, gar keine Passworteingabe mehr erforderlich ist. Dies ist zum Beispiel dann der Fall, wenn ein Nutzer, der im Active Directory hinterlegt ist, ein von der IT verwaltetes Gerät benutzt, um auf eine gemanagte App zuzugreifen – und – wichtigste Voraussetzung – wenn dieses Gerät über ein Zertifikat verfügt, das auf sicherem Wege verteilt wurde.

Mehr Sicherheit, weniger Aufwand

Die konsequente Umsetzung des Zero-Trust-Modells bietet Unternehmen die Möglichkeit, für Sicherheit und gleichzeitig hohe Nutzerfreundlichkeit zu sorgen. Unternehmen können so einerseits ihre Daten gegen alle Angriffe – ob von außen oder innen – absichern und andererseits den Mitarbeitern einen effektiven Arbeitsalltag ermöglichen.

Marco Föllmer, Geschäftsführer
Marco Föllmer
Geschäftsführer, EBF GmbH
Marco Föllmer ist IT-Experte und Geschäftsführer der EBF GmbH. Diese erarbeitet gemeinsam mit ihren Kunden Lösungen für komplexe Enterprise Mobility-Herausforderungen und erstellt individuelle Konzepte für den digitalen Arbeitsplatz.

Weitere Artikel

Facebook

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von mehr als 530 Millionen Nutzer:innen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund sechs Millionen Menschen aus Deutschland sein.
Justitia

Warum IT-Experten härtere Regeln für Tech-Konzerne fordern

Die Corona-Pandemie dominierte im Jahr 2020 einen Großteil der Nachrichten und hat einen rasanten Digitalisierungsschub bewirkt. Damit kommt auch das Thema Datenschutz zurück auf die Tagesordnung. So wurde in Niedersachsen zuletzt der IT-Händler…
Post-Brexit Changes

Herkulesaufgabe Datenschutz: Datenaustausch zwischen EU und UK

Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und…
Datenschutz

Bitkom zum Jahresbericht des Bundesdatenschutzbeauftragten

Aus Anlass der Veröffentlichung des Tätigkeitsberichts des Bundesdatenschutzbeauftragten (BfDI) erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.