More health, less stealth….

Emerging Access and Authentication Methods for Healthcare

Medical records are now, by and large, available in electronic form – in fact almost 8 in 10 of every physician uses EHR. Conveniently accessing them in a secure and compliant way is the challenge that everyone involved in the Healthcare industry faces. In 2015 the top three healthcare breaches resulted in over 100,000 million compromised records. While full disclosure of these attacks is not fully released, the key for criminals is often stolen credentials whether that be a user, administrator, or someone else with privileged system access. These attacks show bravado and hit the major headlines. Alongside the big hacks, there is a growing rash of small crimes at healthcare facilities like stolen medications, illicitly written prescriptions and theft of targeted individual health care records. For example, in a Cleveland Clinic, four nurses are being accused of stealing patient medications such as Oxycodone (a pain opioid sought after by drug addicts.)

Implementing strong access and authentication controls is the next step healthcare organizations must take to comply with the HIPAA and harden the attack surface from both sophisticated criminals and petty staffer criminal alike. Healthcare organizations are still standardizing on the right approach – let’s take a closer look at some of the technologies that are currently in use and explore them from a security and hackers perspective.

RFID (Radio Frequency Identification)

You may have one and not even know it. RFID technologies make up the majority of the market, most white access badges that you swipe to gain access to a door or potentially a computer have sophisticated micro circuitry built in.  Some of the amazing things that you might not know about RFID are:

  • There is no battery! The circuitry is powered by the energy it receives from the antenna when it is near a card reader.
  • Some RFID chips can contain up to 1K of data, that doesn’t sound like a lot but that is enough to hold your name, address, social security number and perhaps your last transaction.
  • RFID chips can be so small they may be imperceptible, Hitachi has a chip that is 15 x 0.15 millimeters in size and 7.5 micrometers thick. That is thinner and smaller than a human hair.

The good news for security professionals at healthcare organizations is there are many choices and uses for RFID technology.  Cards and readers purchased in mass quantities drive the price down and provide a homogeneous system that may be easy to administer as it becomes part of the onboarding and provisioning process. In addition to door access for staff, RFID cards can be given to patients on check in so that they have another form of identification. The bad news is that hackers are after consistent well-documented systems and they like hacking esoteric data transmissions like the ones that RFIDs use.  Using inexpensive parts that are on my workbench like an Arduino Microcontroller, a criminal could create a system to capture the transmission and essentially clone the data on a card then pose as an insider.

BioMetrics

There seem to be an ever-growing array of BioMetric devices like vein readers, heartbeat, iris readers, facial recognition and fingerprint readers.  When implemented properly a live biometric, that is a biometric device that samples both unique physical characteristic and liveliness (pulse for example) is almost always a positive match, in fact, fingerprint reading is used at border control in the US and other countries.   There are hacking demonstrations with molded gummy worm fingers, scotch tape finger lifts and even the supposed cutting off a finger.  Those attacks are on the far end of a practical hack as it is not repeatable or easy for a criminal.  The hurdles that biometrics face are:

  • Near 100% Match – This is a good news as we truly want valid users however skin abrasions, irregular vital signs, and aging are just some factors that make the current set of bio-metrics sometimes create false positives.
  • Processing Time – There are several steps to the fingerprint and biometric authentication process. Reading, evaluating the match then validating with an authentication service can take up to a second.  The process is not instantaneous – I can enter my password faster on my iPhone than I can get a positive fingerprint match.  Doctors and nurses patients simply don’t have the seconds to spare.
  • Convenience – Taking off gloves, staring at a face or retinal reader is simply not an option when staff is serving potentially hundreds of patients a day.

As the technology and processing improve, I think we will see a resurgence in BioMetric in healthcare but for now my local clinic has decommissioned the vein reader.

Bluetooth

Bluetooth technology is becoming ubiquitous. It is being built into almost all devices – some estimate that it will 90% of mobile devices by 2018.  Bluetooth is still emerging in the healthcare market which is dominated by RFID, however, there are advantages to Bluetooth over RFID cards:

  • Contactless – Bluetooth low energy relies on proximity rather than on physical contact.  While this might not seem like a huge advantage in a high traffic critical situation such as an emergency room, seconds count.  In addition, systems that require contact such as a card swipe or tap require maintenance to clean the contact.
  • BYOD Cost – For smaller clinics and organizations that are cost conscious using employee devices as a method of authentication may be the way to go as they will not incur the expense and management of cards and proprietary readers.  In fact, a Bluetooth reader can be purchased for as low as little as $4 compared with $100 card readers.
  • BYOD Convenience – Many organizations recognize an added convenience factor in using their employee, partners and customers mobile devices as a method of authentication.  Individuals are comfortable and interested in using their phones as access devices.  Administrators can quickly change access controls just-in-time for access to different applications, workstations and physical locations rather than have to restripe cards.

On the hacker side, Bluetooth signals just like RFID can be cloned however combined with OTP (One Time Password) for another layer of authentication criminals could be thwarted.

I contacted Jim Gerkin Identity Director from NovaCoast and he mentioned that we may see an uptick in small and mid-sized clinics using authentication devices in 2017.  They are looking for cost effective and open standard systems based on FIDO standards.  Bluetooth has the potential to meet requirements from a cost and security perspective again if OTP is used in conjunction.

The good news is that Micro Focus’s Advanced Authentication works with multiple types of authentication methods whether it be legacy systems, RFID, BioMetric and now Bluetooth.  In addition Micro Focus is part of the FIDO alliance which ensures a standardized approach.   I look forward to evaluating emerging authentication technologies in 2017 that may use DNA, speech recognition and other Nano-technology – watch this space!

Yahoo! Gone Phishing…..

Yahoo! recently announced that a billion user records were stolen from them. Just another run of the mill hack? Apparently not. You see, more than 150,000 of those records apparently belonged to U.S. government and military employees. And their names, passwords, telephone numbers, security questions, birth dates, and backup e-mail addresses are now in the hands of cybercriminals to be used for who knows what. Actually, I have a pretty good guess – and phishing comes to the top of my mind.

What Is A Backup Email Address And Why Do I Care?

Like many other web services, Yahoo! allows customers to set up a recovery email address. If you forget your password or your account is locked, a special link in an email sent to your backup address can be used to recover your credentials. And apparently, many thousands of those backup email addresses ended in .gov or .mil. Yeah, workers with access to US government systems, and the secrets on them.

Yahoo! Did Not Know They Were Hacked…

Many have said that there are two types of companies; those that have been hacked, and those that don’t know that they’ve been hacked. In this case, cyber-security researcher Andrew Komarov kindly let the United States federal government know that he found Yahoo! users’ credentials on the Dark Web, and the feds in turn notified Yahoo! But that wasn’t even the beginning of the nightmare.

In fact, Bloomberg News reviewed the database that Komarov discovered and confirmed a sample of the accounts for accuracy. The thought that employees of government agencies like the National Security Agency may have had their personal information stolen immediately sent chills through the security community.

Since a 2012 Ponemon study showed that “Reusing the same password and username on different websites” came up as number 4 on the list of 10 risky practices employees routinely engage in, the chances are high that the passwords on a hacked user’s Yahoo! account and their backup email account probably are the same.

Komarov also found communications from a buyer for the data, but only if it contained information about a very specific set of people. The buyer supplied a list of ten names of U.S. and foreign government officials and industry executives to the hackers, and if their information was included in the stolen online loot then they had a deal.

… for Three Years!

I may have forgotten to mention that the data actually was stolen in August 2013, creating a 3-year opportunity for bad actors and foreign spies (based on the names in the buyer’s request, Komarov is pretty sure that it came from a government) to identify employees doing sensitive and high-security work here and overseas.

So of course, there are lessons on cyber-hygiene to be learned from this story and in a strange twist of things, Micro Focus has a number of products which can help keep your company and your employees safer from attack.

  1. Don’t reuse passwords. In fact, your company might be able to get rid of most of your application and web-based passwords by implementing secure single sign on or automated sign-on for mainframes. (Access Manager for web, SecureLogin for apps, and Automated Sign-On for Mainframes.
  2. Use different names on your work and personal email accounts. Work might be rlaped@microfocus.com and home might be securityguru@outlook.com. It makes machine-based identity matching harder if not impossible.
  3. Don’t use real security answers. In my case, I treat them like passwords and use random character strings. This is another good reason to use a secure (not online!) password manager with strong encryption.
  4. If at all possible, use multi-factor authentication to access (and recover) your online accounts. And ask your company to use our Advanced Authentication product to implement multi-factor authentication on your internal systems and even your mainframe in case your password is somehow exposed.
  5. Create a backup email address on another personal email service rather than using your work address. If you use Outlook.com, have your backup on iCloud.com. You don’t even need to use your backup address for anything other than account recovery.
  6. Finally, implement least privilege so that if a user’s identity is ever stolen the attacker won’t have access to your entire network. Audit user access to your systems and track what they are doing on them. Install software which can immediately shut down a risky session.

Even though it is not related to this story, another tip is don’t access work and personal email using the same email client. Autocomplete might send your work email out to a friend, which could be mildly regrettable to an international scandal. Micro Focus offers mobile device management that’s secure, scalable, and covers BYOD devices to help separate personal and business information.

Twin peaks: #MFSummit2017

Like scaling a mountain, sometimes it makes sense to stop and see how far you have come, and what lies ahead. #MFSummit2017 is your opportunity to check progress and assess the future challenges.

We called the first #MFSummit ‘meeting the challenges of change’ and it’s been another demanding 12 months for Micro Focus customers. Maintaining, or achieving, a competitive advantage in the IT marketplace isn’t getting any easier.

The technology of two recent acquisitions, the development, DevOps and IT management gurus Serena Software and multi-platform unified archive ninjas GWAVA puts exciting, achievable innovation within reach of all our customers. These diverse portfolios are also perfectly in tune with the theme of #MFSummit2017.

Build, Operate, and Secure (BOS)

BOS is the theme of #MFSummit2017 and our overarching ethos. Micro Focus products and solutions help our customers build, operate, and secure IT systems that unite current business logic and applications with emerging technologies to meet increasingly complex business demands and cost pressures.

Delegates to #MFSummit2017 can either focus on the most relevant specialism, the possibilities the other two may offer – or sample all three. This first blog of two focuses on Build.

DevOps – realise the potential

Following keynote addresses from Micro Focus CEO Stephen Murdoch and General Manager, Andy King, Director of Enterprise Solutions Gary Evans presents The Micro Focus Approach to DevOps.

Everyone knows what DevOps is, but what does it mean for those managing enterprise applications?

Gary’s 40-minute slot looks at the potential of DevOps to dramatically increase the delivery rate of new software updates. He explains the Micro Focus approach to DevOps, how it supports Continuous Delivery – and what it means to our customers.

Interested?

Want to know more about this session, or check out the line-up for the Operate and Secure modules – the subject of our next blog? Check out the full agenda here.

Use the same page to reserve your place at #MFSummit2017, a full day of formal presentations and face-to-face sessions, overviews and deep-dive Q&As, all dedicated to helping you understand the full potential of Micro Focus solutions to resolve your business challenges.

Our stylish venue is within easy reach of at least four Tube stations and three major rail stations. Attendance and lunch are free.

If you don’t go, you’ll never know.

Ice Phishing, Whaling, and Social Engineering

Introduction

According to the 1960’s song, “It’s the Most Wonderful Time of the Year”. But it’s also the time to be on the lookout for a cyber-attack posing as an email with the best wishes of corporate executives. In 2016, a fake phishing email sent by JPMorgan was able to dupe 20% of its staff into opening and clicking on a simulated malware link.

There She Blows!

The latest attacks are based on “whaling”—a refined kind of phishing attack in which hackers use spoofed or similar-sounding domain names to make it look like the emails they send are from your CFO or CEO. In fact, Whaling is becoming a big enough issue that it’s landed on the radar of the FBI.

Trawling the Network

Whaling hasn’t quite overshadowed regular old phishing, though. A 2016 report by PhishMe states that over 93% of phishing emails are now ransomware. And almost half of those surveyed by endpoint protection company SentinelOne state that their organization has suffered a ransomware attack in the last 12 months. If it’s not ransomware, it’s hackers looking to put other types of malicious code on corporate or public networks or to gain access to passwords belonging to employees or other users. Alarming new types of ransomware, such as Samas or Samsam, will toast your organization just by opening the email—no click required. The dangers are very, very real.

But while it may be impossible to prevent employees from opening phishing emails or clicking on a link, there are ways to create an inoculated environment filled with cyber-hygiene to mitigate the effects of an attack.

Don’t Get Caught

As levels of sophistication of the cyber attacks continue to increase, vigilance is key. Here are a few best practices to keep in mind:

  • Take offline backups of critical information for recovery from ransomware. While “snap copying” live volumes is trendy, you could be snapping ransomware-encrypted files.
  • Implement the security protocol of “least privilege” for all users to minimize access to critical systems and data. Be sure to collect and correlate user entitlements to enforce least privilege.
  • Limit the use of “mapped” drives, which can be encrypted by ransomware. Use secure systems designed for file sharing
  • Implement multi-factor authentication in case user credentials are compromised without forgetting to include strong authentication for your  mainframe systems.
  • Speaking of mainframes, often the locale of some of the most sensitive data in the corporation, ensure that the terminal emulator being used:
    • Is certified on whatever desktop operating system is in use
    • Implements the latest security standards
    • Is configured so that macros can only be run from trusted locations and cannot be used as a point of attack.
  • Ensure that you have a single point of control for all of your identity, access, and security settings, but don’t forget to monitor the people who manage it.
  • If employees use intelligent personal devices such as smartphones and tablets, think about implementing an endpoint management system, which can be remotely disabled (and the device wiped), in case it is lost or compromised.

Conclusion

Good corporate governance and awareness can help prevent  users from clicking on phishing emails, but a more robust approach needs to ensure that IT  can mitigate the risks if they do.

The helpful hints above should hopefully serve to get you through the holidays and provide even a sensible resolution for 2017.

Cyber Monday

Big retailers have been planning ahead for up to 18 months for their share of approximately 2.6 billion dollars of revenue. Cyber Monday started in 2005 by Shop.org has become one of the biggest online traffic days of the year, Simon Puleo takes a look at the list of how some of our biggest customers have prepared.

‘Twas the night before Cyber Monday and all through the house

everyone was using touchscreens gone was the mouse.

While consumers checked their wish lists with care

in hopes that great savings soon would be there.

The children were watching screens in their beds

while visions of Pikachu danced in their heads.

And Mamma in her robe and I in my Cub’s hat

reviewed our bank accounts and decided that was that!’

Cyber Monday started in 2005 by Shop.org has become one of the biggest online traffic days of the year.  Black Friday may have started as early as 1951 and between the two shopping holidays generate over $70 BN!  Let’s take a look at the list of how some of our biggest customers have prepared:

1.)    Performance testing.  Did you know that our customers typically start performance testing for cyber-Monday in February, why would they start so early?  Customers are testing more than just peak load, they are testing that sites will render correctly across multiple configurations, bandwidths, devices, and sometimes in multiple regions of the world.  The goals of ecommerce is to enable as many shoppers as possible that includes my Dad on his iPad 2 on a rural carrier and my daughter on her Chromebook in an urban area.   Multiply that by thousands of users and you can see that unfortunately, retailers can’t hire enough of my relatives to help them out. What they do is use a combination of synthetic monitors and virtual users to simulate and assess how a website will perform when 10,000 of users are shopping at the same time.

BlackMon1

2.)    New Feature Testing.  Whether you consciously think about it or not you expect and gravitate towards websites that have the latest feature set and best user experience.  What does that mean?  Listing a photo and description is bare bones the best commerce websites not only have reviews, videos, links to social media and wish lists they may actually be responsive to your shopping habits, regional weather and personal interests.  They use big data sets to preclude what you are browsing for and offer you targeted deals too good to pass up!  While that is exciting, it also means that the complexity of code both rendering the browser and behind the scenes has grown exponentially over the years.  Ensuring that new features perform and old code works with legacy systems as well renders correctly over multiple devices is what functional and regression testing is all about.  While a team of testers may track multiple code changes they lean towards automation to ensure that code works on target configurations.

3.)    Offering Federated Access Management What? you’re thinking, user-login was solved ages ago. For sophisticated online retailers using Facebook, Google, Yahoo!, Twitter, LinkedIn or other credentials to gain access is first a method to gain trust, second opens up the potential opportunity for more customers and finally a road to valuable personal data.  Regardless of which advantage a retailer may prioritize developing the ability to enable millions of Facebook users to easily login and check-out with a credit-card equates to new customers and a leg up over legacy competitors.  And, for added amount of trust and security retailers can couple multi-factor authentication at key points of the conversion process.   Simple user login and password for each shopping site is quickly becoming a relic of the past as users opt for convenience over management of many user names and passwords.

BlackMon2

These are some of the top methods and solutions that big retailers have implemented for 2016.  The best online commerce professionals know what they are up against and what is at stake for example:

  • In 2014 there were over 18,000 different Android devices on the market according to OpenSignal, that is an overwhelming amount of devices to ensure.
  • At a minimum retailers lose $5600 per minute their websites are down
  • The market is huge a recent estimate put the global amount of digital buyers at 1.6 Billion, that is nearly 1/5 of the world’s population.  Converting even .1% of that number is 160,000 users!
  • Users are fickle and will leave a website if delayed just a few seconds
  • Last year Cyber Monday accounted for $3 billion in revenue, this year we expect even more!

Retailers like Mueller in Germany realize that no “downtime” is critical to keeping both the online and virtual shelving stocked.  Their holistic approach to managing software testing and performance helps them implement new features while keeping existing systems up and running.   It is never too late to get started for this year or preparing for next, consider how Micro Focus has helped major US and European Online Retailers with performance testing, automated functional and regression testing, access management and advanced authentication.

Passwortkrieg – Wer kämpft eigentlich gegen wen?

Das Jahr 2016 brachte spektakuläre Datendiebstähle unfassbarer Dimension ans Tageslicht – Dropbox, Yahoo aber auch staatliche Institution wie RUAG wurden u.a. Opfer der sich immer stärker ausbreitenden professionellen Cyberangriffe. Hinzukommt eine wachsende Unzufriedenheit der Mitarbeiter bezüglich der Zugriffsbereitstellung, was zu einem Wildwuchs bei Zugriffsrechten führt. Im Blog erfahren Sie, wie man diesem Dilemma entkommen kann.

Im Jahr 2016 hat das Thema Datenklau hat eine bislang noch nie da gewesene Dimension erreicht. Datendiebstähle werden zum Alltag, Ransomware zur Norm und wenn ein Onlineportal Millionen Zugangsdaten verliert, überrascht das auch niemanden mehr. 68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der deutschen Telekom und der jüngste  Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy –  die Liste lässt sich beliebig weiter fortsetzen. Zwischen all diesen Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Auffällig ist, dass die erwähnten Datendiebstähle allesamt auf Netzwerkangriffe zurückgehen, die bereits vor 4, beziehungsweise im Falle von Yahoo, vor 2  Jahren erfolgten und die Unternehmen seinerzeit die Auswirkungen dieser initialen Angriffe in der Öffentlichkeit eher herunterspielten. Heute zeigt sich mit dem Auftauchen der seinerzeit beim Angriff erbeuteten eMail Adressen und Passwörter im erst das wahre Ausmaß des Schadens.

Ursächlich für die massiven Fälle des Datendiebstahls waren in den genannten Fällen jeweils geknackte Passwörter privater LinkedIn Accounts. Und trotz steigender Bedrohungslage, gibt es immer noch genügend Mitarbeiter, die allem Anschein zur Folge naiv genug sind und das gleiche, privat genutzte  Passwort auch beruflich  verwenden und somit den Hackern Zugang  zu Unternehmensnetzwerken ermöglichen.  Erstaunlich ist auch, dass sich die öffentliche Empörung der jetzt ans Licht gekommenen, unvorstellbar großen Datendiebstähle  sehr in Grenzen hielt, denn entsprechende Schlagzeilen füllten gerade mal einen Tag lang die Gazetten. Anscheinend zählt der Verlust vertraulicher Daten und Passwörter, bei dem Unzählige schon ihr digitales Leben verloren – zum Glück nur das digitale – schon zur Tagesordnung. Doch nicht nur Unternehmen sind Opfer wachsender Cyberkriminalität, auch staatliche Institutionen geraten zunehmend  ins Visier der Hacker. Der staatseigene Schweizer Rüstungsbetrieb RUAG  und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden und zumindest einer dieser Angriffe war erfolgreich. Laut dem Bericht der Melde- und Analysestelle Informationssicherung (Melani) konnte der Hackerangriff auf das Schweizer Verteidigungsministerium Anfang 2016 noch rechtzeitig entdeckt werden. Der Angriff auf RUAG, begann im Dezember 2014 begann und blieb über ein Jahr lang unentdeckt. Mithilfe eines Schadprogramms gelang es den Angreifern, durch Watering-Hole-Angriffe über präparierte Webseiten eine Erstinfektion zu erreichen. Dies führte dazu, dass die Angreifer eine Schwachstelle im Browser eines Mitarbeiters ausnutzen und Schadsoftware installieren konnten. Im Nachgang kam es auf dem infizierten System zu einer Erweiterung der Benutzerprivilegien und über mehrere Stufen schließlich zur vollständigen Kontrolle über das Active Directory im Unternehmensnetz. Damit erlangten die Angreifer höchstmögliche Benutzerrechte.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt jeden Tag mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz – eine alarmierende Zahl.  Dort spricht man bereits von elektronischem Flächen-Bombardement, Streuverlusten und von Spezialeinheiten zur Bekämpfung  und bedient sich dabei des Vokabulars, welches man eigentlich nur aus dem Verteidigungsministerium kennt.  Der Feind lauert überall und sieht es bei seinen Beutezügen vor allem auf eines ab:

Er sucht die größte Schwachstelle, die ihm ein Eindringen in Unternehmensnetzwerke möglichst unbemerkt erlaubt. Passwörter und Zugangsdaten scheinen dabei das schwächste Glied der Kette zu sein, denn dreiviertel aller Cyberattacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen.

Doch neben dem Kampf gegen immer ausgetüftelterer Cyberattacken und professionelle Hacker  sieht sich die IT-Abteilung noch einer zweiten Front im Passwortkrieg gegenüber – der Front der unzufriedenen Mitarbeiter im eigenen Unternehmen. Denn als Reaktion auf die wachsende Cyberkriminalität mit immer subtileren Angriffsmethoden werden gleichzeitig auch immer restriktivere Maßnahmen bei der Passwortvergabe eingeführt. Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen sind zu verwenden, mindestens 10 Stellen sollten es sein und möglichst nach 14 Tagen zu erneuern und auf gar keinen Fall ein und das gleiche Passwort für alles zu benutzen  – um hier nur einige der häufigsten Regeln für die Passwortvergabe zu nennen. Schon heute besitzt ein User durchschnittlich 13 Passwörter und greift auf 6 – 10 Applikationen und Webseiten mit Logins pro Tag zu. Glaubt man der Studie von Deloitte wird sich die Zahl der Online Accounts pro Nutzer auf 200 bis zum Jahre 2020 erhöhen. Kein Mensch kann sich mehr all die benötigten verschiedenen und komplizierten Passwörter merken, was unweigerlich zur Folge hat, dass Haftnotizen als Gedankenstützen an Displays kleben oder oftmals das gleiche, meist einfache Passwort für mehrere Logins verwendet wird. Zudem führen diese Passwort-Policies in Unternehmen zunehmend auch zu Frust bei den Angestellten. So stellte das Ponemon-Institut in der jüngst veröffentlichen Umfrage für Identity Governance & Access Management fest, dass bei 38 % der befragten Unternehmen, Mitarbeiter über den aktuellen Prozess für die Zugriffsverwaltung verärgert sind. Und selbst wenn die Benutzer allen strikten Vorgaben bei der Passworterstellung folgen würden und tatsächlich starke und unterschiedliche Passwörter benutzten würden, diese immer noch nicht sicher genug wären. Mittels Social Engineering – auch soziale Manipulation genannt – nutzen Hacker menschliche Schwachstellen aus, um durch gezielte Beeinflussung an vertrauliche Informationen zu gelangen (siehe Blog: Tausche Passwort gegen Schokolade)

multifaktor

Sicherheit muss praktikabel sein

Also, was können Unternehmen tun, um sich vor Identitätsdiebstahl zu schützen? Identitätsbasierte Sicherheitslösungen, wie beispielweise Multi-Faktor-Authentifizierung  können der Schlüssel sein, um sicheren Zugriff auf Anwendungen und Systeme, die Mitarbeiter für Ihr tägliches Arbeiten benötigen, zu gewährleisten. Doch wirklich sicherer wird es nur, wenn es auch einfach ist. Denn während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Darüber hinaus ist es wichtig, das die  Zugriffe dynamisch evaluiert und die Sicherheit für den Login adaptiert werden.  Wie Sie Ihr Unternehmen vor Cyberangriffen schützen können zeigen wir auf der  #DiscoverMF Tour, die am 7. Dezember 2016 in Zürich beginnt.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

FT Cyber Security Summit 2016

David Mount reports back from the FT Cyber Security Summit 2016 in London, and shares his thoughts on Cyber Security in the enlightening blog. Read on

FT

Last month I was fortunate to be able to carve some time out of my diary to attend the Financial Times Cyber Security Summit in London. The event promised a strong line-up of cyber-security heavyweights – and I mean that in the knowledge and experience sense, rather than in Trump’s view of a cyber-crime protagonist.

The sentiment was clear – the good guys are still losing to the bad guys, and it doesn’t look like it’s going to change any time soon. Nausicaa Delfas, Director of Specialist Supervision at the UK’s Financial Conduct Authority shared some interesting, if unsurprising numbers. Over the past few years, they have seen the number of reported cyber-attacks on financial institutions steadily rise – 5 in 2014, 27 in 2015, and 75 so far in 2016. The pessimist (or perhaps realist) in me makes me think that we’re facing ever increasing armies of cyber-criminals who are better organised, better skilled and better funded than the average target; the optimist in me tries to think that we’re actually getting better at spotting the attacks earlier, and thus able to respond more effectively than before.

IAS blog 2

Whatever the reasons, it’s evident that the good guys will only become truly effective in their mission through effective sharing of information. Indeed, the great military strategist Sun Tzu proclaimed “if you know your enemy and know yourself, you need not fear the results of a hundred battles”. There’s no room for egos in cyber-security. Attacks happen, and one major bank highlighted the empathetic sentiment they received from their customers if they announce they are suffering a cyber-attack such as DDOS.

So let’s not perpetuate the myth that all cyber-attacks are perpetrated by socially awkward teenagers in their bedrooms. Some indeed are, and often as a result of frankly inexcusable and embarrassing approaches to information security. However, many are not. We must change our approach and find the ways to allow cyber-security professionals to truly come together as a team, rather than acting as a loosely grouped collection of skilled individuals. Thankfully, we’re starting to see some initiatives take shape in this space, and during the event there was optimism regarding the UK Government-led National Cyber Security Centre, but much more work is needed on cyber information sharing platforms to provide open, timely access to rich information such as threats, attack vectors and indicators of compromise. As basketball coach John Wooden said – “failure isn’t fatal. But failure to change might be” – a prophecy to the cyber threats of today or tomorrow perhaps?

IAS 3

Datenschutz und Datensicherheit

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.

 – Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung

In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.

Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.

Kernelemente der Reform – Worauf sollten Unternehmen achten

Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.

Infographic, Europäische Union 2015
Infographic, Europäische Union 2015

Recht auf Vergessen

Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.

Technische und organisatorische Anforderungen

Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )

Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt

Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei  einer Verletzung des Schutzes personenbezogener Daten.  Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde –  insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen  ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen.  Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.

Fazit:

Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Was hat Schokolade mit Sicherheit zu tun?

Dass Schokolade so manchen Durchhänger im Büro mildern kann, wissen wir alle und außer vielleicht für die Figur stellt so ein kleines Stückchen süßer Sünde nun eigentlich auch keine wirklich große Gefahr dar, oder? Doch was würden Sie sagen, wenn ein Mitarbeiter oder ein Kollege sein wichtiges Computer-Passwort für ein Stück Schokolade verrät? Das halten Sie für unmöglich, denn so dumm kann doch wirklich keiner sein, oder? Wenn Sie sich da mal nicht täuschen …

Von beidem könnte es immer noch ein bisschen mehr sein, könnte man denken. Doch sowohl zu viel Schokolade als auch zu viel Sicherheit können kontraproduktiv sein. Das ist also nicht die Antwort auf die Frage, sondern der Hinweis auf eine aktuelle Studie. Die Forscher der International School of Management in Stuttgart und der Universität Luxemburg untersuchten wie leicht Nutzer ihr Passwort preisgeben. Die mit 1.206 zufällig ausgewählten Personen durchgeführte Studie zeigt: Für eine kleine Gefälligkeit verraten Menschen wildfremden Leuten ihr Passwort. Die Wissenschaftler verwendeten für ihre Studie dabei Vorgehensweise von Trickbetrügern – sie schickten sieben studentische Hilfskräfte los, die den zufällig ausgewählte Passanten erzählten, sie würden eine Umfrage zum Thema Computersicherheit durchführen. Zur Belohnung gab es eine Tafel Schokolade. Nach kurzen Fragen zum Thema baten die Tester die Probanden ihr Passwort auf den Umfragebogen zu schreiben. Das Ergebnis ist erschreckend: Insgesamt 36,8 % der Befragten nannten ihr komplettes Passwort, weitere 47,5 % gaben auf Nachfrage zumindest deutliche Hinweise auf Bestandteile des Passwortes. Schokolade als Köder unmittelbar vor der Passwortfrage verstärkte das Ergebnis – fast jeder zweite Teilnehmer gab sein vollständiges persönliches Passwort preis, wenn er direkt davor eine Tafel Schokolade bekommen hatte.

Diese Art der Betrügerei nennt sich “Social Engineering” oder “soziale Manipulation”. So wie Hacker technische Schwachstellen suchen, um in Computersystem einzudringen, nutzen Trickbetrüger  menschliche Schwachstellen aus – sie “hacken” ihre Opfer gewissermaßen und versuchen durch gezielte Beeinflussung, vertrauliche Informationen zu bekommen. Ausgenutzt werden unter anderem Sympathie für scheinbar ähnliche Menschen, Autoritätszugehörigkeit, Gier oder Neugier als psychologisches Prinzip. Während wir technische Schwachstellen und Lücken in unseren Computersystemen dank immer besserer Technologien und neuer Updates schließen können, bleiben die menschlichen Schwächen hingegen nahezu gleich.

Auf das Passwort alleine ist daher kein Verlass – bessere Lösungen für eine sichere Zukunft müssen her

Iris2blog

Lange stellten Passwörter den besten Kompromiss aus Sicherheit und Nutzbarkeit dar. Doch mit dem Wachstum der mobilen Belegschaft, der zunehmenden Akzeptanz von Cloud-Diensten  und Cloud-Apps und durch immer stärkere Vernetzung, wodurch immer mehr sensible Unternehmensdaten  zwischen Mitarbeitern und auch Geschäftspartnern  bewegt und gemeinsam bearbeitet werden, sind Geschäftsdaten heute einer höheren Gefahr durch Hacker, Betrüger und Cyberdiebstählen ausgesetzt. Erst kürzlich musste die Telekom mitteilen, dass 120.000 Kundendaten im Darknet aufgetaucht sind und dass diese Daten zumindest teilweise echt und aktuell seien. Die Telekom ist mitnichten ein Einzelfall, erst Anfang Juni diesen Jahres wurde bekannt, dass auch die Zugangsdaten von 32 Millionen Twitter-Nutzern zum Verkauf stehen. Zuvor betraf es LinkedIn und MySpace. Und wenn selbst der Twitter und Pinterest Account von Facebook Chef Mark Zuckerberg gehackt werden kann, wie Anfang Juni Venture Beat berichtete, dann ist es offensichtlich, dass die jahrelang gültige Devise des „Schützens und Verteidigens“ durch Investitionen in hochentwickelte Firewalls und Virenschutzprogramme heute nicht mehr alleine ausreichen für den Schutz sensibler Daten.

Starke Authentifizierungsverfahren hingegen, wie Multi-Faktor Authentifizierung, sind in der Lage Identitätsdiebstähle zu begrenzen und somit die Sicherheit zu steigern. Dahinter steckt die Idee, drei Grundbereiche der Authentifizierung miteinander zu verknüpfen: Etwas, das der Nutzer besitzt, wie ein Token oder ein Smartphone; ein Körpermerkmal des Nutzers, zum Beispiel ein Fingerabdruck und andere biometrische Merkmale; und drittens etwas, das der Nutzer weiß, eben ein Passwort, eine PIN oder ein Einmalpasswort (OTP = One Time Password). Die Anzahl der Authentifizierungs-methoden wächst stetig. Die Auswahl geht von Standards wie Fingerabdrücken , Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera oder auch das Nutzen eines Zertifikats auf der SIM-Karte im Handy.

MFA stellt neue Anforderungen an Entwickler

Stellt sich also die Frage, warum nicht schon vielmehr Unternehmen eine Mulit-Faktor-Authentifizierungsverfahren einsetzen. Dazu muss man wissen, dass Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Die meisten älteren Anwendungen nutzen ihr eigenes Login-Dialogfeld. Die Entwicklung ist verhältnismäßig einfach. MFA hingegen ist komplexer umzusetzen. So muss jede Anwendung mit einer Vielzahl an verschiedenen Eingabeverfahren umgehen können. Der Programmieraufwand für jede Anwendung ist beträchtlich.

Access Management Lösungen auf Basis von Single-Single-On-Mechanismen (SSO) und Gateway Komponenten können diese Herausforderung lösen und den Vorgang auf eine einzige Anmeldung beschränken. Bei Bedarf und Zugriff auf schützenswerte bzw. kritische Daten und Dienste kann mittels sogenannter „Step up“ Authentifizierung z.B. ein zusätzliches Einmalpasswort abgefragt werden. Die Entscheidung einer zusätzlichen Abfrage kann dabei dynamisch und adaptiv erfolgen, z.B. wenn ein Anwender versucht mittels eines privaten Gerätes aus einem unischeren Land auf sensible Daten zuzugreifen.

Was bei MFA Methode zu berücksichtigen ist: Sicherheit muss auch praktikabel sein

Während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem wirkt sich das negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die  Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Aspekte, wie Flexibilität in puncto Nutzung und Integration verschiedener Authentifizierungsmethoden oder Handhabbarkeit in Ausnahmesituationen (Beispiel: das Vergessen der Smartcard), sowie die TCO sind besonders zu berücksichtigen. In unserem Live-Webinar „ Identitätsbasierende Sicherheit für die hybride IT von heute und morgen“ am 26. Juni liefern wir Antworten, wie der IT-Sicherheitsstandard in einer hybride IT erhöht werden kann,  wie sie sich konkret vor Missbrauch der digitalen Identität schützen können was Unternehmen im Hinblick auf ein zukunftsfähiges Access Management  beachten sollten und welche Lösungen bereits heute verfügbar sind. Informationen und Anmeldemöglichkeit finden Sie hier.

Götz Walecki

Manager Systems Engineering

LV7A5495_1(1)

Move beyond weak mainframe passwords with advanced multifactor authentication

Flexibility is the key when it comes to multifactor authentication and you can also use these same methods to authorize access to your host systems as well. You can set up different authentication requirements for different types of users and manage everything from a central console. David Fletcher provides more insight in his blog….

More and more companies are moving to multifactor authentication. Almost everyone agrees that multifactor authentication is the best way to provide the strongest level of authentication (who you are). This technology is taking hold in many industries, and for the most part it’s working pretty well. Now ask yourself “How can I use multifactor authentication to authorize access to my host systems?”

thumb

Complex and Expensive?

Wow—things just got really complicated and expensive. Think about who is accessing your host systems today. Employees all over the world with different devices and different access needs. Business partners who need access but don’t have your same systems and devices. What about customers who are actually updating their own data via web services on your host systems? The level of complexity that comes with implementing multifactor authentication for enterprise applications is hard enough. Now throw in the mainframe and it’s enough to keep anyone from moving in that direction.

But what if there was a flexible and manageable way to use multifactor authentication for host applications? Because Micro Focus is the expert in securing and managing access to your host systems, we have developed new capabilities to make implementing and managing multifactor authentication flexible and affordable. You can even use the same products for implementing multifactor authentication for your enterprise applications and authorizing access to your host systems.

Affordable and Flexible:

The key to making multifactor authentication affordable and flexible is having a system that supports many different ways of authenticating. Such a system could support whatever methods of authentication are right for your users and your budget.

There are many different ways that a user can be authenticated. You can take advantage of the fact that most (if not all) employees or partners have a cell phone. No need for costly devices to increase security to your systems. What if you could let a partner choose between answering three security questions or using a fingerprint for authenticating or a combination of questions and cell phone?

Flexibility is the key when it comes to multifactor authentication. Now you can also use these same methods to authorize access to your host systems as well. You can set up different authentication requirements for different types of users and manage everything from a central console.

Micro Focus® Advanced Authentication, combined with Host Access Management and Security Server (MSS) and one or more of our terminal emulation clients, provide up to 14 different methods of authentication to authorize access to host systems. As new technologies emerge, you can count on Micro Focus to stay ahead of the game so that when you are ready to make a move, we are too.

To learn more about enabling multifactor authentication to authorize access to your host systems, contact your Micro Focus sales representative today.

Originally published here

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen – Teil 2

Mit den neuen Sicherheitsanforderungen hat das PCI Security Standard Council ein klares Zeichen gesetzt, wie sensible Daten von Kreditkarteninhaber zu schützen sind. Den Firmen wurde zwar noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, die entsprechenden Weichen dafür sollten aber bereits heute gestellt werden. Erfahren Sie, wie eine effektive und starke Authentifizierungs-Stratgie Ihnen hilft, das Passwort-Problem zu lösen und compliant zu bleiben.

Im ersten Teil meines Blogs zum neuen Sicherheitsstandard PCI DSS 3.2 berichtete ich über die geänderten Sicherheitsanforderungen, die den konsequenten Einsatz einer Multi-Faktor-Authentifizierung für Administratoren bei Banken, Händler und alle anderen, die mit Kreditkarten arbeiten, nun zwingend vorschreibt. Auch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird.

thumb

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann