Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Multi-Faktor-AuthentifizierungPasswörter bieten für die wachsenden Anforderungen digitaler Identitäten keine ausreichende Sicherheit mehr: Gestohlene oder schwache Passwörter sind laut Verizon für 81 Prozent aller Hacks verantwortlich. Eine 2-Faktor-Authentifizierung ist deutlich sicherer und einfacher zu nutzen.

Effektiver Schutz gegen Datendiebstahl

An Beispielen aus der Praxis mangelt es nicht, wenn es um den Diebstahl und Missbrauch von sensiblen Daten wie Telefonnummern, E-Mail-Adressen oder Passwörtern geht. Die Angriffe reichen von Schadsoftware, die Passwörter mitschneidet, über Brute-Force-Angriffe bis hin zu Spear-Phishing-Attacken. Man denke nur an das kürzlich aufgetauchte massive Datenleck bei Instagram, über das Millionen von Zugangsdaten kopiert werden konnten – teilweise sogar von sehr prominenten Nutzern. Verantwortlich war ein Bug in der API-Schnittstelle, der inzwischen nach Aussage des Anbieters behoben wurde. Dass dies kein Einzelfall ist, belegen Websites, die sich der Nutzeraufklärung verschrieben haben und Betroffene über Hacks informieren. So hat die Website haveibeenpwned.com inzwischen über 4,7 Milliarden gehackte Accounts registriert. Die Dunkelziffer liegt wahrscheinlich deutlich höher. Denn Unternehmen bemerken Hacks erst nach durchschnittlich vier Monaten, Behörden gar erst nach einem Jahr und mehr. Zudem darf spekuliert werden, wie viele Organisationen nie auf einen Übergriff aufmerksam werden.

Passwörter öffnen Angreifern private Türen in die Online-Welt

Während Unternehmen und Behörden noch im Dunkeln tappen, können die Angreifer über die Lecks in der IT-Infrastruktur mehr und mehr Daten erbeuten. Fallen ihnen dabei auch die Passwörter zu den dort gespeicherten E-Mail-Adressen in die Hände, potenziert sich die Ausbeute. Denn Passwörter werden heute oft mehrmals benutzt – ob im Büro, für den privaten Google-Account, als Facebook-Login oder aber auch für Transaktionen über Amazon und eBay. Doch der Missbrauch geht noch weiter: Löschen die Angreifer beispielsweise die Verknüpfung zwischen dem E-Mail- und eBay-Account, können sie unbehelligt Produkte kaufen und verkaufen, ohne dass der Account-Inhaber darüber informiert wird. Oder sie verkaufen die Zugänge oder Daten wie geistiges Eigentum und Forschungsergebnisse auf Internet-Schwarzmärkten. Denkbar ist auch, dass die Kriminellen die Daten über einen längeren Zeitraum gezielt manipulieren oder Backdoors einbauen und dadurch später immer wieder neue Übergriffe initiieren. Die potenziellen Schäden erreichen somit ganz neue und ungeahnte Dimensionen.

Schutz digitaler Identitäten auf allen Kanälen

Wie aber lassen sich diese schwerwiegenden Diebstähle und Betrugsfälle zuverlässig vermeiden? Schließlich gewinnen digitale Identitäten von Kunden und Mitarbeitern sowie die damit verbundenen Prozesse durch die fortschreitende Digitalisierung immer weiter an Bedeutung. Beide gilt es von Anfang bis Ende zu schützen – und zwar über zwei Haupteinfallstore für Angreifer: Logins und Transaktionen. Passwörter helfen hierbei nicht mehr weiter, denn sie sind inzwischen in über 80 Prozent aller Fälle selbst die Ursache für einen Hack. Auch komplexere oder längere Buchstaben-Zeichen-Kombinationen steigern die Sicherheit nicht, denn sie sind nicht nutzerfreundlich: Weil Anwender sich die Passwörter nicht merken können, greifen sie zu Mustern oder zur Notiz. Beides ist fatal, denn Angreifer können Passwörter dadurch leichter stehlen oder einfach erraten (Stichwort Targeted Password Guessing).

Der Schlüssel liegt in der Multi-Faktor-Authentifizierung (MFA). Die Technologie, die auf der Kombination von mindestens zwei Berechtigungsnachweisen (Faktoren) basiert, wird mittlerweile auch von Google, Apple oder Facebook eingesetzt – eben weil sie höchstmögliche Sicherheit bietet. Bei einem Login oder einer Transaktion wird ein Einmal-Passwort (One-Time-Passwort, OTP) generiert, das der entsprechende Nutzer über ein Hardware-Token, seinen PC-Bildschirm oder sein Smartphone abrufen kann. Er muss diese Daten dann eingeben, um das Login oder die Transaktion zu bestätigen. Da kein Hacker Zugriff auf diesen zweiten Faktor hat, ist diese Lösung deutlich sicherer als die alleinige Eingabe eines Passworts.

Hochsichere Authentifizierung und Transaktionssicherheit

Mit zukunftsweisenden Token-Typen wie Push- oder QR-Token lassen sich Logins und Transaktionen sogar ohne die Eingabe von Daten verifizieren und autorisieren. Bei der Push-Authentifizierung erhält der Freigebende eine Push-Benachrichtigung auf sein Smartphone oder ein anderes hinterlegtes Gerät. Diese muss nur noch per Klick auf „OK“ oder „Nicht OK“ bestätigt oder abgelehnt werden. Bei QR-Token wird lediglich ein QR-Code eingescannt, um ein Login oder eine Transaktion zu bestätigen. Die KeyIdentity Open-Source-Lösung LinOTP ermöglicht sogar eine Offline-Authentifizierung per QR-Token. Dies ist ein großer Vorteil für den Einsatz im Flugzeug oder in hochsicheren Umgebungen, in denen kein WLAN gestattet oder nicht vorhanden ist.

Absicherung kritischer Geschäftsprozesse

Unternehmen befinden sich heute im Zeitalter der Vollvernetzung: Sie setzen auf Cloud-Services, extern betriebene Rechenzentren und haben viele Lieferanten, Webportale und Partner, die auf unterschiedlichste Anwendungen, Systeme und Netze zugreifen können (müssen). Sämtliche Sicherheitsmaßnahmen versagen, wenn ein Angreifer die Identität eines Nutzers gekapert hat. Auch die Anwendungssicherheit, welche die Sicherheitsbranche lange beschäftigt hat, kann vor diesem Risiko nicht mehr schützen. Es gilt, den nächsten „Layer“ abzusichern – nämlich die Aktionen eines Benutzers, die Schaden verursachen können. Kritische Geschäftsprozesse sind so zu schützen, dass es nahezu unmöglich ist, Angriffe zu initiieren oder Prozesse und Identitäten zu manipulieren. Gleichzeitig muss Nicht-Abstreitbarkeit durch den Anwender realisiert werden. Durch die Verwendung spezieller, auf asymmetrischer Kryptographie basierender Push-Token, kann das Problem einer gestohlenen Identität gelöst, die Parameterdetails vor Veränderung geschützt und eine Nicht-Abstreitbarkeit realisiert werden. Noch kritischere Geschäftsprozesse können zum Beispiel durch einen 4-Augen-Token abgesichert werden, bei dem mindestens zwei unterschiedliche Personen via Push-Token ihre Zustimmung geben müssen.

Schutz auf unterschiedlichen Sicherheitsniveaus

Bei der Multi-Faktor-Authentifizierung lassen sich viele verschiedene Token-Typen je nach Anforderung und Sicherheitslevel der Nutzer bei Unternehmen und Behörden auswählen: von SMS-Token über Software-und Hardware-Token bis hin zu QR- und Push-Token. Zudem ist es möglich, nach Zeit und Einsatzhäufigkeit befristete Token zu vergeben. Dies ist beispielsweise sinnvoll, wenn ein Zulieferer nur begrenzten Zugriff auf bestimmte IT-Bereiche im Unternehmen erhalten soll. Nach einer dreimaligen Nutzung oder nach einem halben Jahr ist der Token dann deaktiviert beziehungsweise das Kontingent der Authentifizierungen aufgebraucht. So wird ein etwaiger Missbrauch von vornherein ausgeschlossen.

Die Multi-Faktor-Authentifizierung bietet Unternehmen und Behörden durch ihre Konzeption viele verschiedene Möglichkeiten, um ihre Logins und Transaktionen abzusichern. Sicherheitsverantwortliche sind daher gefordert, sich mit den technologischen Möglichkeiten auseinanderzusetzen. Denn eines ist sicher: Der nächste Angriff kommt auf jeden Fall.

Dr. Amir AlsbihDr. Amir Alsbih, COO/CTO bei KeyIdentity

www.keyidentity.com
 

GRID LIST
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Digitale Identität

Identitäten für elektronische Finanztransaktionen

'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von…
Cloud Identity

IBM bringt Identitätsmanagement in die hybride Cloud

IBM stellt einen neuen Sicherheitsservice aus der IBM Cloud vor: Demnächst haben…
Access Management

CIAM: Authentifizierung ist Marketing-Sache!

Bessere Customer Experience, weniger Datensilos – und ein hoher Sicherheitsgrad. Customer…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet