Doppelt gemoppelt schützt besser

Sichere Authentifizierung in Unternehmensnetzwerken
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
651 Aufrufe  

Von Bernd Müller, freier Journalist

Die neue Datenschutzgrundverordnung kennt kein Pardon: Neben der Verschlüsselung von Unternehmensdaten ist die sichere Authentifizierung in Unternehmensnetzwerken ratsam. Den besten Schutz bietet die Zwei-Faktor-Authentifizierung von Eset. Sie lässt sich einfach implementieren und nutzen.

"123456" oder "ugl$24%sr55" – es gibt zwei Sorten von Passwörtern: fahrlässigdie Hacker in Sekunden erraten, und extrem komplizierte, die ein Hacker zwar niemals errät, die sich der rechtmäßige Besitzer aber leider so schlecht merken kann, dass er sich das Passwort auf einen Post-It-Zettel an den Bildschirm heften muss. Beide Varianten sind unsicher, werden früher oder später überwunden und sind daher nicht zu empfehlen. Hinzu kommt, dass laut einer Umfrage von SailPoint jeder siebte Mitarbeiter bereit wäre, sein Unternehmenspasswort zu verkaufen, einige sogar für nur 150 Dollar. Diese Mischung aus Leichtsinn und Gier kann für Unternehmen fatale Folgen haben, etwa wenn wertvolle Konstruktionszeichnungen oder Businesspläne in die Hände der Konkurrenz fallen.

Hohe Bußgelder drohen

Richtig unangenehm kann es ab dem 25. Mai 2018 werden. Dann tritt die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union in Kraft. Der DSGVO ist es egal, wenn Unternehmen Daten verlieren, so lange sie sich damit nur selbst schaden. Handelt es sich allerdings um „…alle Informationen über eine bestimmte oder bestimmbare natürliche Person“, drohen saftige Bußgelder. Im Klartext heißt das: Wer Kunden- oder Patientendaten aber auch Informationen über die eigenen Mitarbeiter „verliert“, weil sie nicht ausreichend geschützt sind, setzt die Existenz seines Unternehmens aufs Spiel. Statische Passwörter gelten nach der DSGVO als unsicher und schützen nicht vor Strafen.

Die gute Nachricht: Die neue DSGVO baut nicht nur eine Drohkulisse auf, sie nennt auch recht konkrete Maßnahmen, die Unternehmen anwenden können, um die Vorgaben zu erfüllen und Strafen abzuwenden. Eine Maßnahme ist die Verschlüsselung von Daten, eine weitere die Zwei-Faktor-Authentifizierung. Der Name „Zwei-Faktor-Authentifizierung“ beschreibt dabei den Identitätsnachweis eines Nutzers durch die Kombination zweier unterschiedlicher und unabhängiger Faktoren.

Bei der Zwei-Faktor-Authentifizierung muss sich der Nutzer immer zweifach ausweisen. Entscheidend ist dabei, dass das eine Passwort aus einer anderen Quelle kommt als das andere und jedes nur einmal benutzt wird.

Banken, zum Beispiel, nutzen eine solche Authentifizierung, um Überweisungen zu autorisieren. Dabei muss der Bankkunde ein Passwort eingeben sowie eine Transaktionsnummer, die zur einmaligen Verwendung aufs Smartphone geschickt wird. Anderes Beispiel: Um an einer DHL-Packstation ein Paket abzuholen, benötigt der Empfänger ebenfalls eine Einmal-TAN, dort allerdings kombiniert mit einer Kundenkarte. Viele Web-Anbieter wie Gmail, Twitter oder Dropbox arbeiten ebenfalls mit solchen Methoden.

Schutz auch für private Geräte

Für Unternehmen ist die Zwei-Faktor-Authentifizierung interessant, weil sich damit Zugänge zum internen Netzwerk und damit zu sensiblen Daten sehr zuverlässig absichern lassen. Auch wenn einmal durch Unachtsamkeit ein Passwort in falsche Hände gerät, ist das kein Beinbruch, denn ohne den zweiten Authentifizierungsfaktor kann ein Angreifer damit nichts anfangen. Das wird auch deshalb immer wichtiger, weil der Trend zum Konzept „Bring your own Device“ geht, also zur Verwendung von privaten Smartphones und Tablets auch für berufliche Tätigkeiten. Wenn ein solches Gerät während einer Freizeitaktivität verloren geht oder gestohlen wird, kann der Finder bzw. Dieb ohne den zweiten Faktor nicht in das Firmennetzwerk eindringen.

Bei der Zwei-Faktor-Authentifizierung muss sich der Nutzer immer zweifach ausweisen. Entscheidend ist dabei, dass das eine Passwort aus einer anderen Quelle kommt als das andere und jedes nur einmal benutzt wird. Die Zwei-Faktor-Authentifizierung kombiniert etwas, das der Nutzer besitzt, mit etwas, das der Nutzer weiß, oder mit etwas, das der Nutzer als unveränderliches Merkmal mit sich führt. Im Prinzip gibt es drei unterschiedliche "Quellen" für Zugangscodes:

  • Etwas, das die Person weiß: Der häufigste "Aufbewahrungsort" für Passwörter ist unser Gedächtnis. In den Tiefen unseres Gehirns merken wir uns die PIN zum Geldabheben am Bankautomaten oder für den Zugang zum E-Mail-Postfach. Sicher ist dieser Ort aber nur, wenn wir dieses Gedächtnis nicht auslagern und zum Beispiel die PIN auf die Kreditkarte schreiben. In diese Kategorie gehören auch Einmal-TANs, die etwa per SMS aufs Smartphone geschickt werden.
  • Etwas, das die Person besitzt: Das kann eine Bankkarte sein, ein mechanischer Schlüssel oder ein Dongle, der in den PC gesteckt wird.
  • Etwas, das untrennbar mit der Person verbunden ist: Das kann ein Fingerabdruck sein, die Iris des Auges oder die Stimme.

Die Kombination macht‘s

Die Zwei-Faktor-Authentifizierung ist dann besonders sicher, wenn sie Verfahren aus zwei dieser Gruppen kombiniert, also zum Beispiel das Auflegen des Fingers auf einem Fingerabdrucksensor plus die Eingabe eines Passworts über die Tastatur. Am häufigsten ist allerdings die Kombination aus einem gemerkten Passwort und einer Transaktionsnummer, die zur einmaligen Verwendung aufs Smartphone geschickt wird.

Ein einfacher und dabei sehr sicherer Weg, um die Zwei-Faktor-Authentifizierung in einem Unternehmen einzuführen, ist „Secure Authentication“ des IT-Sicherheitsspezialisten ESET. Das Unternehmen ist vor allem durch die Internet Security Suite und viele weitere Lösungen rund um den IT-Schutz von Firmen bekannt.

Um sich mit dieser Methode zu authentifizieren, benötigt der Nutzer ein gemerktes Passwort sowie ein Smartphone mit der ESET Secure Authentication Mobile-App. Die App ist rasch installiert, der Nutzer erhält dazu per SMS einen Aktivierungslink. Wann immer sich der Anwender – beispielsweise mit dem Notebook – am Netzwerk anmelden möchte, erscheint über die App sofort eine entsprechende Nachricht. Er muss jetzt lediglich auf "Erlauben" drücken und erlangt umgehend Zugang. Diese sogenannte "Push Authentication" verbindet höchstmögliche Sicherheit mit maximalem Bedienungskomfort – ein wichtiger Faktor für die Akzeptanz der 2FA. Handys ohne Internetanschluss erhalten eine SMS mit einem sechsstelligen Code, der am Notebook eingegeben werden muss.

Auf der Serverseite ist die Integration und Verwaltung ebenso einfach, das macht die ESET Secure Authentication im Vergleich zu anderen Lösungen zur Zwei-Faktor-Authentifizierung deutlich preiswerter. ESET Secure Authentication sichert unter anderem Outlook Web Access, Remote Desktop Web Access, Microsoft Exchange, Microsoft SharePoint und Microsoft Dynamics CRM sowie SSL-VPNs – und das in nur zehn Minuten.

ESET Secure Authentication ist deutliche kostengünstiger als vergleichbare Hardware-Lösungen. Die benötigte Infrastruktur – Server und Smartphones – gehören heute zur Grundausstattung eines jeden Unternehmens, weitere Investitionen sind nicht vonnöten. Zudem sind die Anwender mit dem Prinzip vertraut, denn so wird es beim Online-Banking und den mTans seit Jahren praktiziert. Produktschulungen können entfallen und Fehlbedienungen sind nahezu ausgeschlossen.

Ohr und Herzschlag als Passwort

Die Zwei-Faktor-Authentifizierung steht erst am Anfang, neue und verblüffende Ideen werden in den kommenden Jahren den Markt erobern. So gibt es bereits biometrische Varianten, die über ein Fitnessarmband den für jede Person charakteristischen Herzschlag messen, oder eine App, welche die Form des Ohrs vermisst. Entwickler arbeiten auch daran, dass Einmal-Kennwörter künftig nicht mehr als Zahlencode übermittelt, sondern auf dem PC-Bildschirm als Bild angezeigt werden, das der Nutzer mit seinem Smartphone abfotografieren muss.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.