Adaptive Sicherheit: Schutz in jeder Situation - Erfolgreiche IAM-Projekte - Heise Partnerzones Erfolgreiche IAM-Projekte . Identity, Access, Management, Identität, Zugriff, Sicherheit . Automatisieren und sichern Sie die Kontoverwaltung, um Benutzerkonten zu autorisieren, die Kennwortverwaltung zu vereinfachen und für alle Plattformen und Systeme Single Sign-On-Funktionen bereitzustellen. /styles/zones/basis.css

Adaptive Sicherheit: Schutz in jeder Situation

Zugriffe von Mitarbeitern mit Mobilgeräten und über öffentliche WLANs sind heute in Unternehmen ebenso die Regel wie die Öffnung von Anwendungen für Kunden und Geschäftspartner. Starre Richtlinien für Authentifizierungslösungen reichen nicht mehr. Adaptive Sicherheit heißt die Lösung.

Autor: Martin Kuppinger

In vielen Unternehmen finden sich heute noch Informationssicherheitsrichtlinien, die für den Zugriff auf klassifizierte Informationen eine Zwei-Faktor-Authentifizierung unter Verwendung eines Hard-Tokens fordern. Das ist gut gemeint. In Anbetracht der offensichtlichen Limitierungen von Kennwörtern ist es auch sinnvoll, eine starke Authentifizierung zu fordern. In einer Welt, in der immer mehr unterschiedliche Benutzergruppen mit einer Vielzahl von Geräten von praktisch überall her auf Unternehmensanwendungen zugreifen zu können, sind starre Vorgaben, die auf eine spezifische technische Lösung abzielen, aber nicht mehr zeitgemäß.

Die perfekte Lösung gibt es nicht

Es gibt schlicht kein einziges Authentifizierungsverfahren, dass auch hohe Sicherheitsanforderungen erfüllen kann und in jeder Anwendungssituation und mit jedem Gerät funktioniert – und dann womöglich auch noch so bequem in der Anwendung ist, dass es von den Nutzern akzeptiert wird.

Smartcard-Reader finden sich in immer weniger Notebooks und bei Tablets und Smartphones fehlen sie ganz. Externe Reader sind hier keine Lösung. Auch OTP-Hard-Tokens für die Generierung von Einmal-Kennwörtern (OTP, One Time Password) erfüllen bei weitem nicht alle Anforderungen. Sie sind teuer, die Logistik ist aufwändig und wenn Benutzer – man denke an die Kunden – mit vielen verschiedenen Unternehmen zusammenarbeiten, dann ist das Verfahren sehr umständlich, weil man viele verschiedene OTP-Tokens braucht. Auch Biometrie und andere Verfahren für die starke Authentifizierung stoßen schnell an ihre Grenzen.

Vielfach werden daher inzwischen hardware-gestützte Verfahren durch andere Lösungen ersetzt. Insbesondere SMS-basierende Verfahren, bei denen ein Einmalkennwort – meist in Form einer PIN – per SMS an das Mobiltelefon des Benutzers gesendet wird, sind besonders beliebt. Oft wird suggeriert, dass damit ja ein Zwei-Faktor-Verfahren genutzt wird, weil das Mobiltelefon der zweite Faktor sei, neben dem zusätzlich erforderlichen Wissen beispielsweise in Form einer Authentifizierung mit Benutzername und Kennwort. Das ist zwar grundsätzlich richtig. Wenn aber eine solche Authentifizierung für Anwendungen wie das eBanking auf dem Mobilgerät genutzt wird, dann ist die Sicherheit stark eingeschränkt, da ein Angreifer mit dem abgefangenen Einmalkennwort auch direkt die eBanking-Anwendung manipulieren könnte. Das Problem ist, dass die als „out of band“ (also auf einem anderen Kanal erfolgende) Authentifizierung über SMS und PIN eben oft nicht „out of band“ ist. Abgesehen davon funktionieren SMS-basierende Verfahren nicht überall. Gerade in Rechenzentren mit ihrem hohen Schutzbedarf gibt es oft keinen Empfang.

Auf der anderen Seite sind Kennwörter bekanntermaßen unsicher. Hinzu kommen die vielen Vorfälle, in denen Kennwörter von Angreifern ausgelesen wurden, oft im großen Maßstab. Es besteht kein Zweifel, dass die Kombination aus Benutzername und Kennwort nicht die Lösung sein kann. Schlimmer noch: Auf mobilen Endgeräten reicht oft eine einfache PIN, um dann mit gespeicherten Credentials auf Websites und Systeme zugreifen zu können.

Auf der nächsten Seite lesen Sie:

Flexibilität als Schlüssel zum Erfolg

1 | 2 ... | 4