Thought Leadership
Unsere Haustür. Hinter ihr fühlen wir uns sicher. Sie ist Bollwerk gegen unerwünschte Eindringlinge und eine gut gesicherte Schwelle, die jeder nehmen muss, wenn er bei uns Einlass will: Der Besucher muss sich unzweideutig zu erkennen geben. Ganz ähnlich, so sollte man meinen, verhält es sich mit dem elektronischen Zugang zum Unternehmensnetz.
Doch bei vielen, gerade mittelständischen Organisationen klafft ausgerechnet am „Haupttor“ zu ihren wertvollen Informationsbeständen eine merkliche Sicherheitslücke. Lesen Sie hier, warum und wie Sie sich mit einer starken Authentifizierung vor ungebetenen Gästen schützen sollten.
Wir öffnen niemals jemandem die Türe, der sich nicht zweifelsfrei zu erkennen gibt. Das haben wir von Kindesbeinen an gelernt und ist uns selbstverständlich. Warum nur, müssen wir uns also fragen, werfen wir diesen eisernen Grundsatz so leichtfertig über Bord, wenn es um den Zutritt zu Unternehmensnetzen geht? Um den Zugriff auf Daten und Informationsbestände von unersetzlichem Wert für den Geschäftserfolg? Die immense Zunahme massiver Datenlecks und gezielter Angriffe, besonders auf große Organisationen mit klingenden Namen, schickt eine klare Botschaft: Die Unternehmen sind nicht ausreichend vor unerwünschtem Besuch geschützt. Das trifft nicht nur auf so öffentlich exponierte Konzerne wie Sony (77 Millionen gestohlene Datensätze), Ebay (145 Millionen gestohlene Datensätze) oder Adobe (152 Millionen gestohlene Datensätze) zu. Auch für den deutschen Mittelstand zieht jetzt z. B. das Marktforschungsunternehmen Techconsult eine ernüchternde Bilanz: Im Rahmen ihrer jüngsten Studie zum Sicherheitsstatus in Deutschland („Security Bilanz Deutschland 2015“) haben die IT-Analysten festgestellt, dass für den Mittelstand beim Thema IT- und Informationssicherheit „weiterhin dringender Handlungsbedarf“ besteht. Danach schätzen die befragten Unternehmen ihre eigene Realisierung von Sicherheitsmaßnahmen und -konzepten durchweg negativer ein, also noch im vergangenen Jahr. Selbst bei grundlegenden und einfachen Lösungen, wie der Anwendung von Passwortrichtlinien, räumt mehr als die Hälfte der Organisationen ein, diese nicht gut umgesetzt zu haben (48 Prozent in 2014).
Datenklau und „Faktor Mensch“ – die Schwächen der alleinigen Passwortnutzung
Dabei ist doch gerade der korrekte, konsequente Gebrauch sicherer Passwörter die Zauberformel, die den Weg zu den Datenschätzen des Unternehmens frei macht. Bis heute gilt das Passwort als eines der grundlegenden Mittel, wenn es um die Authentifizierung von Netzwerkbesuchern geht. Also um die eindeutige Feststellung, ob die Person, die um „Einlass“ bittet, auch tatsächlich diejenige ist, die sie vorgibt zu sein. Traditionell gilt: Meldet sich ein Nutzer mit dem richtigen Passwort an, so ist das der Beweis seiner Authentizität. Doch stellt allein ein korrektes Zugangswort wirklich eindeutig fest, wer es gerade eingegeben hat? Wer am Rechner sitzt oder gerade das Smartphone nutzt? Und was – das ist die wohl immer noch größte Schwäche der alleinigen Passwort-Lösung – wenn Kennwörter versehentlich ausgeplaudert, vergessen oder gestohlen werden?
Vor allem die wachsende Verbreitung so genannter Botnets – also automatisierte Computerprogramme, die auf vernetzten Rechnern laufen und deren lokale Ressourcen nutzen – macht den Diebstahl von Zugangsdaten immer leichter. Besonders hoch ist das Risiko durch eingeschleppte, mit Trojanern infizierte USB-Sticks, die den angegriffenen PC im Handumdrehen zum Botnetz-Zombie und den Weg frei machen – für das Abfangen und den Missbrauch von Benutzerdaten, insbesondere Passwörtern.
Als wahre „Plage“ bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) das gezielte „Angeln nach Passwörtern“, das s.g. Phishing. Hierfür manipulieren die Betrüger Internetseiten und versenden massenweise gefälschte E-Mails, die den Empfänger dazu verleiten, seine Zugangsdaten ganz freiwillig herauszugeben. Etwa, weil er „aus Sicherheitsgründen“ vermeintlich seine Bankdaten neu bestätigen muss oder seine bisherigen Anmeldeinformationen verloren gegangen sind.
Auch die gezielte, soziale Manipulation der Opfer, das „Social Engineering“, hat sich zu einer wachsenden Bedrohung für die Passwortsicherheit entwickelt. Hierbei nutzen die Angreifer den „Faktor Mensch“ als Schwachstelle aus. Sie erkunden z.B. das soziale Umfeld der Zielpersonen und machen sich bestimmte, erkennbare Verhaltensmuster zunutze, um schließlich an geheime Daten und Nutzerinformationen zu gelangen. Kenntnisse über Neigungen oder soziale Verbindungen der Anwender machen es den Betrügern leicht, das Vertrauen eines autorisierten Nutzers zu gewinnen und diesen dazu zu verleiten, den Zugriff aufs Unternehmensnetzwerk zu gewähren und Zugangsdaten preis zu geben.
Ob über Botnets, Schwachstellen in gängigen Computerprogrammen oder Social Hacking-Attacken – Passwörter sind nach wie vor ein überaus beliebtes Ziel von Cyberkriminellen und bieten alleine keinen ausreichenden Schutz.
Enormer Sicherheitsgewinn: Aus Eins mach Zwei
Nicht ohne Grund empfiehlt daher u.a. das BSI in seinen Grundschutzkatalogen stärkere Maßnahmen, wenn es um die Feststellung von Nutzeridentitäten geht: Die so genannte Zweifaktor-Authentifizierung, kurz 2FA. Über dieses Verfahren weisen Internetnutzer ihre Zugangsberechtigung nicht mehr nur über ein Passwort, sondern über wenigstens zwei unterschiedliche, voneinander unabhängige Merkmale nach. Das kann etwas sein, das der Anwender weiß (Kennwort), etwas, das er besitzt (Bankkarte, Einmal-Passwort oder Hardware-Key/Dongle), oder etwas, was er „ist“, also ein biometrisches Merkmal, das ihn eindeutig identifiziert – etwa das Muster seiner Iris, seine Stimme oder sein persönlicher Fingerabdruck. Allerdings warnten nun internationale Experten anlässlich der im August 2015 in Las Vegas abgehaltenen „Black Hat-” IT-Sicherheitskonferenz vor allzu großem Vertrauen in Fingerabdruckscanner: Ein Hacker demonstrierte live, wie leicht sich z.B. die Fingerabdrücke der Anwender von Android-Geräten auslesen bzw. kopieren lassen. Diese Bedrohung, so die Forscher Yulong Shang und Tao Wei von der IT-Sicherheitsfirma Fireye, sei viel gefährlicher, als etwa der Diebstahl von Passwörtern. Ein gestohlenes Passwort könne man schließlich zurücksetzen und ändern. Fingerabdrücke aber sind ein unveränderliches Merkmal, das man sein Leben lang bei sich trägt – und das ein Leben lang von Cyberkriminellen missbraucht werden kann.
Doch welche Attribute der jeweiligen Authentifizierungslösung auch zugrunde liegen – der Benutzer muss mindestens Erkennungszeichen aus zwei verschiedenen Gruppen nachweisen, nur dann ist die 2FA erfolgreich. Wird eines der geforderten Kennzeichen nicht nachgewiesen oder wird eine Komponente falsch genutzt, wird der gewünschte Zugriff nicht erlaubt.
Die Vorteile liegen auf der Hand: Ist es Hackern einmal gelungen, Passwörter zu knacken und abzuziehen, bleibt Ihnen der Zugriff auf die Systeme ihrer Opfer dennoch verwehrt – das zweite Merkmal fehlt. Dass die Stärken von 2FA bis heute dennoch in nur wenigen Unternehmen effizient genutzt werden, liegt offenbar an der Furcht vor zu hoher Komplexität. Gerade bei anspruchsvolleren Maßnahmen wie der Zwei- bzw. Multifaktor-Authentifizierung haben besonders mittelständische Organisationen, so die Experten von Techconsult, ihre Schwierigkeiten. Zwischen 60 und 69 Prozent der von den Marktforschern befragten Unternehmen betrachtet die Umsetzung einer solchen Strategie als problematisch – was im Vergleich zum Vorjahr einem Anstieg um acht bis 15 Prozent entspricht.
„Dass anspruchsvollere Sicherheitsmaßnahmen auch häufiger Probleme bereiten, ist zu erwarten“, so der Techconsult-Analyst Henrik Groß. „Trotzdem lohnt sich die Umsetzung von Konzepten wie der Multi-Faktor-Authentifizierung ganz besonders, weil der Sicherheitsgewinn gegenüber einer einfachen Sicherheitsmaßnahme wie der reinen Passwort-Authentifizierung enorm ist.“
Fünf Tipps für eine erfolgreiche Einführung von 2FA |
|
1. Fokussieren Sie auf Ihre Anwender Wählen Sie eine Lösung, die Ihren Anwendern Flexibilität bietet, in dem sie ihren Codegenerator wählen können. SMS- und SoftToken-basierte Lösungen nutzen das Telefon des Users, er braucht kein extra Gerät mehr. Achten Sie darauf, dass verschiedene Optionen für SMS und SoftToken verfügbar sind, nicht überall haben Sie Netzabdeckung, nicht jeder hat ein Smartphone. Gute Lösungen lassen den Anwender die Methode wechseln, je nach Einsatzbereich und persönlichen Vorlieben. 2. Denken Sie an Ihren Helpdesk Die Verwaltung von Hardwaretoken beschäftigt Ihren Helpdesk: Tokens müssen registriert, verschickt und eventuell ersetzt werden. Wählen Sie daher eine Lösung, die keine zusätzliche Hardware und einen entsprechend geringen Verwaltungsaufwand braucht. Und die den Anwender befähigt, bestimmte Aufgaben des Tagesbetriebs selbst zu erledigen (Self Service) – etwa über ein Web-Portal. 3. Vereinfachen Sie die Administration Halten Sie den Aufwand für Ihre Administratoren so gering wie möglich, indem Sie bei der Auswahl der Lösung auf geeignete Mechanismen für das einfache Aufschalten von Anwendern und deren Ausstattung mit dem zweiten Faktor achten. Im Idealfall lassen sich die User in eine entsprechende Gruppe einsetzen und erhalten dort automatisch die Aufforderung und Anleitung zur Selbstregistrierung. 4. Achten Sie auf Sicherheit Stellen Sie sicher, dass verlorene oder defekte Endgeräte schnell und einfach deaktiviert werden können. Damit ein Verlust eindeutig festgestellt werden kann, sollte nur jeweils ein Gerät pro Anwender existieren. Bei Verwendung von SoftToken sollte die gewählte Lösung ein mehrfaches Aufnehmen des Registrierungsbarcodes auf verschiedenen Geräten verhindern. Wählen Sie ein System, das alle Anwender nutzen können. So müssen Sie keine Ausnahmen definieren, die das Sicherheitsniveau beeinträchtigen könnten. 5. Haben Sie Ihre Kosten im Blick Berücksichtigen Sie bei den Kosten für die Lösung auch Update-Pauschalen und evtl. Folgeinvestitionen. Ein Subskriptions-Modell mit integrierter Wartung und Updates schafft Kostentransparenz und verringert die Höhe der initialen Investitionen. Achten Sie auch auf die Modalitäten bei einer Lizenzerweiterung. Neben den Anschaffungskosten sind die Betriebskosten wesentlich, kalkulieren Sie den Aufwand für Pflege, Wartung und vor allem Verteilung, Verwaltung und Austausch der ausgegebenen Authentifizierungsmedien. Eine tokenlose Lösung kann hier viel Geld sparen. |
Gar nicht so kompliziert: BYOT – Bring Your Own Token
Das weiß auch Robert Korherr gut. Als CEO der in Geretsried ansässigen Prosoft ist der erfahrene Security-Experte seit vielen Jahren mit der Datensicherheit seiner überwiegend mittelständischen Kunden befasst und ist besorgt über die Zurückhaltung, mit der die Unternehmen dem Thema 2FA begegnen: „Hacker tragen gerne Schafspelz und sind wahre Meister in der Verschleierung ihrer Identität“, so Korherr. „Für eine verlässliche Netzwerksicherheit ist daher kaum etwas wichtiger, als die eindeutige Nutzeridentifizierung. Die ist nur mit einem Passwort aber längst nicht mehr gewährleistet. Wir raten unseren Kunden daher dringend zu einer starken Zweifaktorauthentifizierung und unterstützen sie natürlich bei der Umsetzung. Und die ist gar nicht so kompliziert, wie viele vielleicht befürchten.“
So hat die Prosoft mit den Produkten von SecurEnvoy zum Beispiel Lösungen im Portfolio, die laut Hersteller nicht nur einfach in der Handhabung sind, sondern vor allem die bereits vorhandene Infrastruktur des Kunden nutzen. Mobiltelefone und andere Endgeräte der Mitarbeiter werden zum persönlichen „Token“ – also der Hardwarekomponente im Identifizierungsprozess – und damit zum Faktor „etwas, das ich besitze“.
„Das ist einer neuer Ansatz“, erklärt Fabian Guter, Business Development Manager EMEA bei SecurEnvoy, „auf den wir zugegebenermaßen ein bisschen stolz sind. „Wir nutzen vorhandene Infrastrukturen wie z.B. Active Directory, und designen darauf aufbauend einfach zu verwendende Lösungen, die genau das tun, wozu sie eingesetzt werden sollen – ohne unnötige Komplexität. Dass bereits vorhandene, persönliche Endgeräte als Token verwendet werden, gibt den Anwendern und natürlich der gesamten Organisation eine außergewöhnliche Flexibilität. Wir unterstützen alle Typen, so dass praktisch jedes persönliche Endgerät frei und wechselnd als Authentifizierungswerkzeug ausgewählt werden und agieren kann. So wird Bring Your Own Device zu dem, was wir ‚Bring Your Own Token‘ nennen.”
Ein neues Modell, das möglicherweise Zukunft hat. Denn für neue Authentifizierungsmethoden, das belegt u.a. eine Studie von Frost & Sullivan, gibt es vielversprechende Prognosen. War der Markt für starke Authentifizierung in 2013 noch 1,53 Milliarden US-Dollar groß, so wird er den Analysten zufolge bis 2018 bereits ein Volumen von 2,1 Milliarden Dollar umfassen – das entspricht einem Wachstum um gut 35 Prozent. Davon profitieren werden zum einen die Anbieter, die mit modernen, einfach zu nutzenden Lösungen auf den zunehmenden Sicherheitsbedarf der Unternehmen eingehen. Und natürlich die Organisationen, die durch starke Mehrfaktorlösungen für den besseren Schutz ihrer Informationsbestände Sorge tragen.
