Passwort

Der 1. Februar ist seit geraumer Zeit der „Ändere dein Passwort“-Tag. Er soll Nutzern als Erinnerungsstütze dienen, ihre verwendeten Passwörter regelmäßig zu ändern und soll so für mehr digitale Sicherheit sorgen. Cybersecurity-Experte Marco Föllmer von der EBF GmbH wirft einen Blick auf Authentifizierung-Methoden, die über Passwörter hinausgehen. 

Einfache Passwortkombinationen, die Nutzer bei verschiedenen Anwendungsdiensten verwenden, sind ein enormes Sicherheitsrisiko für Unternehmen – das ist bekannt. Doch selbst sehr komplexe Passwörter können ins Visier von Hackern geraten und von ihnen geknackt werden. Als deutlich sicherer gilt die Zwei-Faktor-Authentifizierung (2FA), die bereits in vielen Unternehmen genutzt wird, um Daten abzusichern. Im Vergleich zur simplen Passworteingabe ist die Zwei-Faktor-Authentifizierung zwar einerseits sicherer, aber andererseits ist sie für Nutzer auch zeitintensiver und aufwändiger. Mitarbeiter empfinden sie daher als wenig nutzerfreundlich. Aus diesem Grund arbeiten immer mehr IT-Experten aktuell an Verfahren, die eine Passworteingabe nicht immer erforderlich machen. Damit dies gelingt, setzen sie auf das “Zero-Trust“ Konzept.

Zero Trust: Vertraue niemandem

Der Kern des Zero-Trust-Ansatzes lässt sich durch die direkte Übersetzung verstehen: kein Vertrauen. Dabei wird bewusst nicht zwischen internen und externen Quellen unterschieden – jeder Zugriff auf Anwendungen und Unternehmensdaten wird zunächst als nicht vertrauenswürdig eingestuft. Egal, von welchem Gerät, welchem Nutzer oder welcher App: Jeder Zugriff muss explizit autorisiert werden.

Dies ist ein sehr komplexer Ansatz und stellt ein Novum im Vergleich zu bisherigen Handlungsweisen dar. Aber in Zeiten, in denen Qualität und Quantität von Cyberangriffen stetig zunehmen, ist es ein wirkungsvoller Weg, potentielle Einfallstore abzusichern.

Zero Trust erfordert intelligente Richtlinien

Voraussetzung zur Anwendung des Zero-Trust-Prinzips ist es, im Vorfeld Richtlinien zu definieren. Diese legen fest, in welchem Fall ein Nutzer den angeforderten Zugriff ohne zusätzliche Authentifizierungsschritte erhält und in welchem Fall weitere Schritte zur Feststellung der Identität notwendig sind. Dabei existieren verschiedene Authentifizierungsfaktoren, welche zur Bewertung der Zugriffsanfrage abgefragt werden.

Die verwendeten Geräte spielen dabei eine zentrale Rolle. Handelt es sich um ein von der IT verwaltetes Gerät, so können in der Regel geringere Hürden in Sachen Authentifizierung gelten. Wird das Gerät nicht gemanagt, ist das Misstrauen höher.
Auch die Nutzer selbst werden als Faktor herangezogen: Ist ein Nutzer beispielsweise im Active Directory hinterlegt, genießt er mehr Vertrauen als ein unbekannter Nutzer. Einen weiteren Faktor stellen einzelne Anwendungsdienste und deren Herkunft dar: Stammt eine Anwendung aus dem Firmen-App-Store, dessen Sicherheit von der Unternehmens-IT kontinuierlich geprüft wird? Oder wurde die App aus dem App-Store des Geräteherstellers heruntergeladen? Bei Letzterem besteht ein erhöhtes Sicherheitsrisiko, weshalb eine zusätzliche Authentifizierung sinnvoll sein kann beziehungsweise notwendig ist. Auch Zertifikate, die an mobile Endgeräte verteilt werden können und eine einzigartige Identität in Form eines Schlüssels ausdrücken, können bei den Richtlinien eine Rolle spielen.

Neuere Ansätze gehen sogar soweit, die Nutzungsgewohnheiten der Mitarbeiter zur Authentifizierung heranzuziehen. Deep Learning macht es möglich, diese genauer kennenzulernen und beispielsweise zu erkennen, wie schnell ein Nutzer tippt oder mit wie viel Druck er auf das Smartphone-Display drückt. Bei ungewöhnlichen Vorgängen kann der Zugriff dann verweigert werden.

Die Zukunft wird nutzerfreundlicher

Die definierten Richtlinien lassen sich mithilfe eines Unified Endpoint Management Systems (UEM) in die Praxis umsetzen. Sie dienen der Verwaltung von Endgeräten wie Handys und Laptops und machen es möglich, Richtlinien für diese Geräte zu definieren, die dem Zero-Trust-Prinzip folgen. Das UEM überprüft die verschiedenen definierten Faktoren und erkennt, ob sich das Gerät in einer sicheren Situation befindet oder ob es Anomalien gibt. Je nach Ausprägung der verschiedenen Faktoren werden sukzessive stärkere Authentifizierungsschritte eingefordert. So gelingt es, dass der Arbeitsalltag im Normalfall für den Mitarbeiter deutlich nutzerfreundlicher wird. Denn es ist sogar möglich, dass in Situationen, die das UEM als gänzlich sicher einstuft, gar keine Passworteingabe mehr erforderlich ist. Dies ist zum Beispiel dann der Fall, wenn ein Nutzer, der im Active Directory hinterlegt ist, ein von der IT verwaltetes Gerät benutzt, um auf eine gemanagte App zuzugreifen – und – wichtigste Voraussetzung – wenn dieses Gerät über ein Zertifikat verfügt, das auf sicherem Wege verteilt wurde.

Mehr Sicherheit, weniger Aufwand

Die konsequente Umsetzung des Zero-Trust-Modells bietet Unternehmen die Möglichkeit, für Sicherheit und gleichzeitig hohe Nutzerfreundlichkeit zu sorgen. Unternehmen können so einerseits ihre Daten gegen alle Angriffe – ob von außen oder innen – absichern und andererseits den Mitarbeitern einen effektiven Arbeitsalltag ermöglichen.

Marco Föllmer, Geschäftsführer
Marco Föllmer
Geschäftsführer, EBF GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

EU Flagge

DSGVO-konform? Reifegrad in großen Organisationen

Zum Stand ihrer Umsetzung von Datenschutzmaßnahmen zwei Jahre nach Inkrafttreten der EU-DSGVO hat Sinequa im Januar 2020 durch das Marktforschungsinstitut Sapio Research eine Umfrage in Deutschland, Frankreich und Großbritannien zum Stand der Vorbereitungen…
DSGVO

DSGVO als Wettbewerbsnachteil?

Wie eine kürzlich erschienene Studie des Instituts der deutschen Wirtschaft (IW) offenbarte, klagen rund ein Drittel der deutschen Unternehmen über Wettbewerbsnachteile im Rahmen der im Mai 2018 in Kraft getretenen EU-DSGVO. Ein Statement von Volker Sommer,…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!