Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Mobile KeyImmer mehr Unternehmen lassen ihre Mitarbeiter von außen, also außerhalb des Netzwerks auf die IT-Infrastruktur zugreifen. Anforderungen der veränderten Arbeitsweltwie hohe Flexibilität und Mobilität werden so erfüllt und gleichzeitig Bedürfnissenwie der Work-Life-Balance entsprochen. Familie und Beruf lassen sich miteinander kombinieren und auf Anfragen und Probleme kann schnell reagier twerden, ohne dass das Unternehmen gefährdet wird.

Dagegen lässt sich nichts einwenden, wenn sie nicht verstärkt ungesicherte WLAN-Netze von Hotels und Flughäfen oder aber ungemanagte Geräte wie Smartphones und Tablets dafür nutzen würden. Für Hacker ist diese Arbeitsweise eine willkommene Gelegenheit Geld zu verdienen. Sie verschaffen sich Zugang zu sensiblen Daten und verkaufen diese weiter. Social Engineering, Keylogging, Phishing und Man-in-the-Middle-Attacken sind nur einige der Werkzeuge, die dafür eingesetzt werden. Im schlimmsten Fall erwächst dadurch beispielsweise Industrieunternehmen ungewollte Konkurrenz aus Fernost. Remote-Zugänge sollten daher vor Hackern geschützt werden.
 
Bewährt hat sich das Verfahren der Zwei- oder Mehrfaktor-Authentifizierung ohne Token sowohl im Zusammenspiel mit Laptops und Netbooks als auch mit Smartphones und Tablets. Diese Authentifizierungen bestehen mindestens aus zwei verschiedenen Faktoren, etwas das ich weiß (Passwort, PIN) und etwas das ich habe (Token, Smart Card oder Smartphone) oder das ich bin (biometrische Merkmale wie die Iris oder der Fingerabdruck). Als besonders sicher gilt die Nutzung von Einmal-Passwörtern, die per SMS auf das Gerät des sich einwählenden Mitarbeiters gesendet werden.
 
Vorsicht gilt bei der Generierung von Passwörtern über Apps, denn diese könnten eine neue Sicherheitslücke verursachen und eine Mehrfaktor-Authentifizierung letztlich wertlos machen.
 

Sicherheit durch One-Time-Passwörter und Flash

 
Eine Technologie, die dieses Verfahren bereits erfolgreich umsetzt, ist SMS Passcode. Verschafft sich ein Externer Zugang zum Unternehmensnetzwerk, muss er nicht nur über die richtigen Einwahldaten verfügen, sondern auch über das richtige Mobiltelefon, auf dem er das One-Time-Passwort per Flash-SMS geschickt bekommt. Im Gegensatz zu einem hardwarebasierten Token existiert dieses Passwort und damit der zweite Faktor vor der Anmeldung (preshared key) noch nicht. Erst nach der erfolgreichen Authentifizierung nach dem FIPS-Standard (Federal Information Processing Standard) wird er berechnet und über einen zusätzlichen Kanal (Mobilnetz) sicher als Flash-SMS an die im Active Directory hinterlegte Mobilnummer versandt. 
 
Für zusätzliche Sicherheit sorgen Kurznachrichten mit Flash, weil sie nicht gespeichert werden. Malware, die unerkannt auf dem Handy auf die Daten wartet, kann die SMS deshalb nicht weiterleiten und wird dadurch unbrauchbar. Zusätzliche Hardware wie Smart Card oder Kartenlesegerät braucht der Mitarbeiter dann nicht mit sich herumzutragen. Der Vorteil des Verfahrens: Der Nutzer hat nur solange Zugriff auf die sensiblen Unternehmensinformationen, bis er sich ausloggt, so kann er sich mit dem gleichen Passwort nicht noch einmal anmelden.
 
Erfolgt die Zugriffskontrolle sogar über einen sessionsspezifischen Code wie bei SMS Passcode, haben beispielsweise Phishing-Angriffe keinerlei Möglichkeit über die Zugangsdaten hinaus Informationen zu stehlen. Hacker müssten eine neue Session öffnen, um über diese nur einmal gültigen Informationen hinaus Daten einsehen zu können und werden dadurch abgewiesen.Neben den Sicherheitsaspekten profitieren Unternehmen von geringen Einführungs- und Betriebskosten im Vergleich zu hardwarebasierten Mehrfaktor-Authentifizierungsverfahren, bei denen zusätzliche Geräte gemanagt, aktualisiert und transportiert werden müssen. In der aktuellen Version 6.1 bietet SMS Passcode höhere Sicherheit durch die Berücksichtigung von GEO- und IP-Informationen sowie des Nutzerverhaltens.
 
MANUEL SCHÖNTHALER
 
 
 
 
 
 
 
 
 
 
GRID LIST
 Android-Malware

Bedrohungslage für Android verschärft sich

Die Gefahrenlage für Android-Mobilgeräte spitzt sich weiter zu: 810.965 neue Schaddateien…
Hacked Smartphone

Hybrid-Apps als Einfallstor für Angriffe

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf…
USB

Unternehmen kommen an ein USB-Device-Management nicht vorbei

Optische und magnetische Wechselmedien (beispielsweise CD, DVD, MO-Disk usw.) wurden in…
Mobile Mitarbeiter

Standortvernetzung und sichere Anbindung von mobilen Mitarbeitern | Case Study

Infotecs, Cyber Security und Threat Intelligence Anbieter realisiert ein Projekt zusammen…
Authentifizierung

App sichert Online-Transaktionen und digitale Zugriffe

HID Global, weltweiter Anbieter von vertrauenswürdigen Identitätslösungen, präsentiert…
Mobile Security Tablet

AV-TEST: Perfekter Schutz mit G DATA Mobile Internet Security

Das Test-Institut AV-TEST hat im neuen Vergleichstest 20 Sicherheitslösungen für das…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security