Thought Leadership
Immer mehr Unternehmen lassen ihre Mitarbeiter von außen, also außerhalb des Netzwerks auf die IT-Infrastruktur zugreifen. Anforderungen der veränderten Arbeitsweltwie hohe Flexibilität und Mobilität werden so erfüllt und gleichzeitig Bedürfnissenwie der Work-Life-Balance entsprochen. Familie und Beruf lassen sich miteinander kombinieren und auf Anfragen und Probleme kann schnell reagier twerden, ohne dass das Unternehmen gefährdet wird.
Dagegen lässt sich nichts einwenden, wenn sie nicht verstärkt ungesicherte WLAN-Netze von Hotels und Flughäfen oder aber ungemanagte Geräte wie Smartphones und Tablets dafür nutzen würden. Für Hacker ist diese Arbeitsweise eine willkommene Gelegenheit Geld zu verdienen. Sie verschaffen sich Zugang zu sensiblen Daten und verkaufen diese weiter. Social Engineering, Keylogging, Phishing und Man-in-the-Middle-Attacken sind nur einige der Werkzeuge, die dafür eingesetzt werden. Im schlimmsten Fall erwächst dadurch beispielsweise Industrieunternehmen ungewollte Konkurrenz aus Fernost. Remote-Zugänge sollten daher vor Hackern geschützt werden.
Bewährt hat sich das Verfahren der Zwei- oder Mehrfaktor-Authentifizierung ohne Token sowohl im Zusammenspiel mit Laptops und Netbooks als auch mit Smartphones und Tablets. Diese Authentifizierungen bestehen mindestens aus zwei verschiedenen Faktoren, etwas das ich weiß (Passwort, PIN) und etwas das ich habe (Token, Smart Card oder Smartphone) oder das ich bin (biometrische Merkmale wie die Iris oder der Fingerabdruck). Als besonders sicher gilt die Nutzung von Einmal-Passwörtern, die per SMS auf das Gerät des sich einwählenden Mitarbeiters gesendet werden.
Vorsicht gilt bei der Generierung von Passwörtern über Apps, denn diese könnten eine neue Sicherheitslücke verursachen und eine Mehrfaktor-Authentifizierung letztlich wertlos machen.
Sicherheit durch One-Time-Passwörter und Flash
Eine Technologie, die dieses Verfahren bereits erfolgreich umsetzt, ist SMS Passcode. Verschafft sich ein Externer Zugang zum Unternehmensnetzwerk, muss er nicht nur über die richtigen Einwahldaten verfügen, sondern auch über das richtige Mobiltelefon, auf dem er das One-Time-Passwort per Flash-SMS geschickt bekommt. Im Gegensatz zu einem hardwarebasierten Token existiert dieses Passwort und damit der zweite Faktor vor der Anmeldung (preshared key) noch nicht. Erst nach der erfolgreichen Authentifizierung nach dem FIPS-Standard (Federal Information Processing Standard) wird er berechnet und über einen zusätzlichen Kanal (Mobilnetz) sicher als Flash-SMS an die im Active Directory hinterlegte Mobilnummer versandt.
Für zusätzliche Sicherheit sorgen Kurznachrichten mit Flash, weil sie nicht gespeichert werden. Malware, die unerkannt auf dem Handy auf die Daten wartet, kann die SMS deshalb nicht weiterleiten und wird dadurch unbrauchbar. Zusätzliche Hardware wie Smart Card oder Kartenlesegerät braucht der Mitarbeiter dann nicht mit sich herumzutragen. Der Vorteil des Verfahrens: Der Nutzer hat nur solange Zugriff auf die sensiblen Unternehmensinformationen, bis er sich ausloggt, so kann er sich mit dem gleichen Passwort nicht noch einmal anmelden.
Erfolgt die Zugriffskontrolle sogar über einen sessionsspezifischen Code wie bei SMS Passcode, haben beispielsweise Phishing-Angriffe keinerlei Möglichkeit über die Zugangsdaten hinaus Informationen zu stehlen. Hacker müssten eine neue Session öffnen, um über diese nur einmal gültigen Informationen hinaus Daten einsehen zu können und werden dadurch abgewiesen.Neben den Sicherheitsaspekten profitieren Unternehmen von geringen Einführungs- und Betriebskosten im Vergleich zu hardwarebasierten Mehrfaktor-Authentifizierungsverfahren, bei denen zusätzliche Geräte gemanagt, aktualisiert und transportiert werden müssen. In der aktuellen Version 6.1 bietet SMS Passcode höhere Sicherheit durch die Berücksichtigung von GEO- und IP-Informationen sowie des Nutzerverhaltens.
MANUEL SCHÖNTHALER
