Anzeige

Passwort

Der 1. Februar ist seit geraumer Zeit der „Ändere dein Passwort“-Tag. Er soll Nutzern als Erinnerungsstütze dienen, ihre verwendeten Passwörter regelmäßig zu ändern und soll so für mehr digitale Sicherheit sorgen. Cybersecurity-Experte Marco Föllmer von der EBF GmbH wirft einen Blick auf Authentifizierung-Methoden, die über Passwörter hinausgehen. 

Einfache Passwortkombinationen, die Nutzer bei verschiedenen Anwendungsdiensten verwenden, sind ein enormes Sicherheitsrisiko für Unternehmen – das ist bekannt. Doch selbst sehr komplexe Passwörter können ins Visier von Hackern geraten und von ihnen geknackt werden. Als deutlich sicherer gilt die Zwei-Faktor-Authentifizierung (2FA), die bereits in vielen Unternehmen genutzt wird, um Daten abzusichern. Im Vergleich zur simplen Passworteingabe ist die Zwei-Faktor-Authentifizierung zwar einerseits sicherer, aber andererseits ist sie für Nutzer auch zeitintensiver und aufwändiger. Mitarbeiter empfinden sie daher als wenig nutzerfreundlich. Aus diesem Grund arbeiten immer mehr IT-Experten aktuell an Verfahren, die eine Passworteingabe nicht immer erforderlich machen. Damit dies gelingt, setzen sie auf das “Zero-Trust“ Konzept.

Zero Trust: Vertraue niemandem

Der Kern des Zero-Trust-Ansatzes lässt sich durch die direkte Übersetzung verstehen: kein Vertrauen. Dabei wird bewusst nicht zwischen internen und externen Quellen unterschieden – jeder Zugriff auf Anwendungen und Unternehmensdaten wird zunächst als nicht vertrauenswürdig eingestuft. Egal, von welchem Gerät, welchem Nutzer oder welcher App: Jeder Zugriff muss explizit autorisiert werden.

Dies ist ein sehr komplexer Ansatz und stellt ein Novum im Vergleich zu bisherigen Handlungsweisen dar. Aber in Zeiten, in denen Qualität und Quantität von Cyberangriffen stetig zunehmen, ist es ein wirkungsvoller Weg, potentielle Einfallstore abzusichern.

Zero Trust erfordert intelligente Richtlinien

Voraussetzung zur Anwendung des Zero-Trust-Prinzips ist es, im Vorfeld Richtlinien zu definieren. Diese legen fest, in welchem Fall ein Nutzer den angeforderten Zugriff ohne zusätzliche Authentifizierungsschritte erhält und in welchem Fall weitere Schritte zur Feststellung der Identität notwendig sind. Dabei existieren verschiedene Authentifizierungsfaktoren, welche zur Bewertung der Zugriffsanfrage abgefragt werden.

Die verwendeten Geräte spielen dabei eine zentrale Rolle. Handelt es sich um ein von der IT verwaltetes Gerät, so können in der Regel geringere Hürden in Sachen Authentifizierung gelten. Wird das Gerät nicht gemanagt, ist das Misstrauen höher.
Auch die Nutzer selbst werden als Faktor herangezogen: Ist ein Nutzer beispielsweise im Active Directory hinterlegt, genießt er mehr Vertrauen als ein unbekannter Nutzer. Einen weiteren Faktor stellen einzelne Anwendungsdienste und deren Herkunft dar: Stammt eine Anwendung aus dem Firmen-App-Store, dessen Sicherheit von der Unternehmens-IT kontinuierlich geprüft wird? Oder wurde die App aus dem App-Store des Geräteherstellers heruntergeladen? Bei Letzterem besteht ein erhöhtes Sicherheitsrisiko, weshalb eine zusätzliche Authentifizierung sinnvoll sein kann beziehungsweise notwendig ist. Auch Zertifikate, die an mobile Endgeräte verteilt werden können und eine einzigartige Identität in Form eines Schlüssels ausdrücken, können bei den Richtlinien eine Rolle spielen.

Neuere Ansätze gehen sogar soweit, die Nutzungsgewohnheiten der Mitarbeiter zur Authentifizierung heranzuziehen. Deep Learning macht es möglich, diese genauer kennenzulernen und beispielsweise zu erkennen, wie schnell ein Nutzer tippt oder mit wie viel Druck er auf das Smartphone-Display drückt. Bei ungewöhnlichen Vorgängen kann der Zugriff dann verweigert werden.

Die Zukunft wird nutzerfreundlicher

Die definierten Richtlinien lassen sich mithilfe eines Unified Endpoint Management Systems (UEM) in die Praxis umsetzen. Sie dienen der Verwaltung von Endgeräten wie Handys und Laptops und machen es möglich, Richtlinien für diese Geräte zu definieren, die dem Zero-Trust-Prinzip folgen. Das UEM überprüft die verschiedenen definierten Faktoren und erkennt, ob sich das Gerät in einer sicheren Situation befindet oder ob es Anomalien gibt. Je nach Ausprägung der verschiedenen Faktoren werden sukzessive stärkere Authentifizierungsschritte eingefordert. So gelingt es, dass der Arbeitsalltag im Normalfall für den Mitarbeiter deutlich nutzerfreundlicher wird. Denn es ist sogar möglich, dass in Situationen, die das UEM als gänzlich sicher einstuft, gar keine Passworteingabe mehr erforderlich ist. Dies ist zum Beispiel dann der Fall, wenn ein Nutzer, der im Active Directory hinterlegt ist, ein von der IT verwaltetes Gerät benutzt, um auf eine gemanagte App zuzugreifen – und – wichtigste Voraussetzung – wenn dieses Gerät über ein Zertifikat verfügt, das auf sicherem Wege verteilt wurde.

Mehr Sicherheit, weniger Aufwand

Die konsequente Umsetzung des Zero-Trust-Modells bietet Unternehmen die Möglichkeit, für Sicherheit und gleichzeitig hohe Nutzerfreundlichkeit zu sorgen. Unternehmen können so einerseits ihre Daten gegen alle Angriffe – ob von außen oder innen – absichern und andererseits den Mitarbeitern einen effektiven Arbeitsalltag ermöglichen.

Marco Föllmer, Geschäftsführer
Marco Föllmer
Geschäftsführer, EBF GmbH
Marco Föllmer ist IT-Experte und Geschäftsführer der EBF GmbH. Diese erarbeitet gemeinsam mit ihren Kunden Lösungen für komplexe Enterprise Mobility-Herausforderungen und erstellt individuelle Konzepte für den digitalen Arbeitsplatz.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cookie Schlüssel

Bye, bye Cookies: Kantars Projekt Moonshot

Kantar, ein Unternehmen für Daten, Insights und Beratung, stellt einen wichtigen Meilenstein in seiner Roadmap zur Bereitstellung einer unabhängigen Plattform zur cookie-freien Messung der Werbewirksamkeit in der Werbebranche vor.
Online-Banking

Vertrauen in Datensicherheit am größten bei Online-Banking

Insgesamt haben Deutsche wenig Vertrauen in die Datensicherheit auf Online-Plattformen. Trotzdem übernehmen die Nutzerinnen und Nutzer auch immer noch zu wenig Eigenverantwortung durch eigene Sicherheitsmaßnahmen.
Trojaner

Staatstrojaner: Geheimdienste sollen erweiterte Befugnisse erhalten

Verschlüsselung ist Strafverfolgungs- und anderen Behörden ein Dorn im Auge: US-Senatoren haben nun einen Gesetzentwurf gegen Verschlüsselung vorgelegt. Aber auch hierzulande sollen Behörden mit dem Staatstrojaner erweiterte Befugnisse erhalten.
USA-Flaggen an Zaun

Datensperrzone USA: Folgen des EuGH-Urteils zum Privacy Shield

Mehr als vier Jahre hielt der Datenschutzschild stand – nun aber kippte der Europäische Gerichtshof (EuGH) nach einem ebenso langen, länderübergreifenden Rechtsstreit die Privacy-Shield-Vereinbarung zwischen der europäischen Union und den Vereinigten Staaten.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!