Passwort Alternativen sind ein guter Anfang, aber um die Sicherheit des Logins auf Dauer zu erhöhen benötigen wir ein dynamisches und adaptives Zugriffsmanagement!
Kaum eine Wissenschaft hat in den letzten 10 Jahren so eine rasante Entwicklung genommen, wie die Informatik. Viele Jahre war die Entwicklung in der IT- und Kommunikationstechnik vorhersehbar und evolutionär. IT-Dienstleistungen wurden mehr oder weniger lokal erbracht, die Rechner oder Rechenzentren waren unter Kontrolle der jeweiligen Unternehmens-IT und ein Datenaustausch über lokale Unternehmensgrenzen hinaus fand kaum statt. Doch diese eingespielte Struktur hat sich in den letzten Jahren in einem beispiellosen Maß geändert. Immer schnellere Internetverbindungen, steigende Rechnerleistungen, disruptive Technologien wie Cloud Computing, Big Data, Industrie 4.0 und smarte Mobilgeräte wie Smartphones, iphone und ipad sowie die generelle Industrialisierung von IT-Angeboten – all das sind bis zum heutigen Tag die Katalysatoren für den sich rasant vollziehenden digitalen Wandel der Gesellschaft. Nie zuvor gab es soviele signifikante Veränderungstrends gleichzeitig, und auch die gegenseitige Stimulation dieser Trends erreicht vollkommen neues Ausmaß. Immer mehr Menschen haben faktisch jederzeit und überall Zugang zu Informationen, Anwendungen und digitalen Service. Smart ist heute normal und Unternehmen müssen auf das sich dem ändernde Nutzerverhalten reagieren, indem auch sie ihren Arbeitnehmern neue Technologien anbieten – vor allem dann, wenn sie eine „Home-Office“-Arbeitskultur pflegen. Auch Geschäftsprozesse müssen sukzessive umgestellt werden, denn Mitbarbeiter, Kunden und Geschäftspartner erwarten, dass sie jederzeit Zugriff auf Geschäftsdaten, -anwendungen und –funktionen haben – unabhängig von Gerät oder Plattformen, Zeit und Ort. 74 % aller Deutschen über 14 Jahren – das sind 51 Millionen Menschen – nutzen gemäß Bitkom mittlerweile ein Smartphone, vor vier Jahren waren es gerade mal 36 Millionen. Und auch das Thema Cloud hat in den letzten beiden Jahren in Deutschland so richtig Fahrt aufgenommen. Laut dem Bitkom Cloud Monitor 2015 setzt mittlerweile mehr als die Hälfte aller Unternehmen in Deutschland Cloud-Services ein, weitere 18 Prozent planen oder diskutieren den Einsatz. Die aktuelle Zahlen der Bitkom zeigen einmal mehr, dass die Außengrenzen der IT-Netze und Systeme zunehmend erodieren und es heute keine klare Grenze zwischen innerhalb und außerhalb des Unternehmensnetzwerkes mehr gibt.
Der heilige Gral – Sicherheit und Annehmlichkeit
Die sich auflösenden oder zumindest sich verschiebenden Grenzen bieten entscheidende Vorteile für Unternehmen: Globale Märkte lassen sich schneller erfassen, Produkte effizienter auf Kundenbedürfnisse zuschneiden und Geschäftsmodelle und -ansätze stetig optimieren. Doch das vergangene Jahr 2016 hat auch gezeigt, das dies nicht frei von Risiken und Nebenwirkungen ist . Angriffsvektoren und Angriffsfläche haben deutlich zugenommen und das Thema Cyberkriminalität hat eine bislang noch nie da gewesene Dimension erreicht. Fast wöchentliche Meldungen über gestohlene Nutzerdaten unverstellbaren Ausmaßes wie zuletzt im Falle des YAHOO Rekordhacks lassen Datendiebstähle zum Alltag werden. Unberechtigter Zugriff resultierend aus Identitätsdiebstählen ist – neben der Verbreitung von Schadcode – nach wie vor die häufigste Ursache für sicherheitsrelevante Vorfälle in Unternehmen. Viele Angriffe konzentrieren sich zuerst auf den Diebstahl von Kennwörtern und Zugangsdaten aus dem Privatbereich – wie soziale Netzwerke, E-Mail Konten, Einkaufsportale – um sich im zweiten Schritt die Anmeldeinformation für das Unternehmensnetzwerk zu verschaffen. Professionelle Cyberkriminelle versuchen sich bei ihren Angriffen vor allem vertikal durch die Ebenen zu bewegen, um ihre Berechtigungen auszuweiten, eine Schwachstelle auszunutzen oder Zugriff auf Daten bzw. Anwendungen zu erhalten.
Angesichts der neuen Qualität und Intensität der Cyberkriminalität ist es ebenso bedenklich wie unerklärlich, dass die Mehrzahl der Unternehmen jedoch nach wie vor standardmäßig auf eine Kombination aus Benutzername und Passwort, welches hinsichtlich seiner Stärke weder variabel noch flexibel ist, bei der Zugriffskontrolle setzt. Eine kürzlich von Ponemon in Zusammenarbeit mit Micro Focus erstellten Studie belegt, dass Unternehmen sich der Tatsache eines erschreckend niedrigen Sicherheitsniveaus durchaus bewusst sind, dennoch fatale Kompromisse bei der IT Sicherheit eingehen nur um der Benutzerzufriedenheit Vorrang zu geben. Ein riskanter Spagat, bedenkt man, dass eine Cyberattacke auf Unternehmen gemäß einer Studie des Marktforschungsinstitut Vanson Bourne durchschnittlich rund 800.00 Euro Kosten verursachen würde – ohne Berücksichtigung der Verluste, die aus dem Imageschaden oder entgangenen Umsätzen resultieren.
Wie löst man nun das Passwort – Problem am besten und welche Alternativen gibt es bereits?
Mittlerweile gibt es viele alternativen Authentisierungstechniken. Neben altbekannten Hardwaretoken wie Chipkarten, USB-Sticks oder taschenrechnerähnliche Geräte zur Erzeugung von Einmal-Passwörtern, welche Unternehmen bereits heute bei Remote-Zugriffen etwa über VPN oder eine Virtual-Desktop-Infrastructure-Lösung standardmäßig einsetzen, wächst seit Jahren nun auch der Anteil der auf biometrischen Merkmalen basierenden Authentifizierungsmethoden.
Naiv betrachtet könne man nun meinen, dass es ein Einfaches wäre, mit Vielzahl der zur Verfügung stehenden Authentifizierungsmethoden und der Möglichkeit verschiedene Verfahren – Stichwort Multi-Faktor- Authentifizierung – miteinander zu kombinieren, das Passwort Problem endgültig zu lösen. Doch wie immer ist die Kunst der Einfachheit ein Puzzle der Komplexität. Die meisten Multi-Faktor- Authentifizierungslösungen tendieren dazu, jeweils nur einen speziellen Teil des Puzzle lösen. Die klassischen Hard- und Softwaretoken eigenen sich gut für Remote-Zugriffslösungen, sind im Büroalltag jedoch eher untauglich. Und während sich für Cloud-Anwendungen zunehmend das FIDO Protokoll U2F durchsetzt, versucht man das Passwort-Dilemma am Unternehmensarbeitsplatz mit integrierten Lösungen ( Single-Sign-on) ergänzt durch Smartcards und auf biometrische Merkmale basierte Methoden in den Griff zu bekommen. Gerade hierbei gibt es große Unterschiede zwischen den verfügbaren konkreten biometrischen Systemen und Produkten. Die Leistungsfähigkeit von biometrischen Verifikationssystemen ist sehr unterschiedlich. Nicht alle biometrischen Systeme verfügen über eine akzeptable Erkennungsleistung und demzufolge hohe Integrität bei der Sicherheit. So ist es teilweise möglich, dass diese mit Hilfe von Nachbildungen (z. B. einer Gesichtsmaske, Wachsnachbildung des bi, Kontaktlinsen mit Irismuster…) überlistet werden können.
Alleine diese Beispiele zeigen, dass Unternehmen, die bereits Methoden oder Geräte mit Zwei-Faktor-Authentifizierung (oder Multi-Faktor-Authentifizierung) nutzen, gezwungenermaßen meist mehrere Infrastrukturen verwalten und pflegen müssen. Diese Authentifizierungs-Silos sind nicht nur kostspielig und kompliziert zu verwalten, sondern bieten auch nur eingeschränkte Sicherheit.
Fazit:
Wie sieht es aus, der heilige Gral, der ein angemessenes Gleichgewicht zwischen Anforderungen an betrieblicher Handlungsfähigkeit, Nutzerfreundlichkeit und Sicherheit bietet?
Unternehmen brauchen mehr als nur Alternativen zum herkömmlichen Passwort. Wer der wachsenden Komplexität Herr werden will, setzt heute auf Lösungen, die alle Anwendungsfälle gleichermaßen abdecken. Benötigt wird ein adaptives und dynamisches Zugriffsmanagement mit einem Authentifizierungs-Framework als zentraler Plattform. Solche Systeme unterstützen eine Vielzahl unterschiedlicher Authentifizierungsmethoden und es lassen sich kontextsensitive Richtlinien kreieren, die den Zugriff auf bestimmte Applikationen hinsichtlich Tageszeit, IP-Adressband und Standort des zugreifenden Endgeräts reglementieren. Je nach Zugriffszenario können mehrere Faktoren überprüft werden. Erfolgt etwa der Zugriff auf eine Terminal-Server-Sitzung von Remote, fragt die Lösung ein Token und ein Passwort ab, erfolgt er hingegen vom Arbeitsplatzrechner, wird ein biometrisches Merkmal und eine PIN zur Authentifizierung herangezogen. Und nicht nur der Zugriffsort spielt eine Rolle: Welche Authentifizierungsmethode herangezogen wird, kann zum Beispiel auch aus den Rollen und Rechten abgeleitet werden, die im Identitätsmanagement-System hinterlegt sind. Für jede Situationen können verschiedenen Risikobewertungs-Richtlinien konfiguriert werden, mit deren Hilfe die Art der Authentifizierung an das potenzielle Risiko des Zugriffs auf die Informationen oder den Dienst angepasst werden kann.
Nur so wird es Unternehmen gelingen, ihre digitalen Identitäten und somit ihre kritischsten Assets auch in den heutigen hybriden IT-Umgebungen aus Cloud, Mobile und Rechenzentren angemessen zu schützen. Für die richtige Balance zwischen engmaschiger Sicherheit und Benutzerfreundlichkeit reicht es nicht, dass Passwort gegen Biometrie zu tauschen. Denn genauso wenig, wie eine Schwalbe einen Sommer ausmacht, wird der Einsatz von Passwort-Alternativen alleine nicht grundsätzlich die gesamte IT-Sicherheit im Unternehmen signifikant erhöhen.