More health, less stealth….

Emerging Access and Authentication Methods for Healthcare

Medical records are now, by and large, available in electronic form – in fact almost 8 in 10 of every physician uses EHR. Conveniently accessing them in a secure and compliant way is the challenge that everyone involved in the Healthcare industry faces. In 2015 the top three healthcare breaches resulted in over 100,000 million compromised records. While full disclosure of these attacks is not fully released, the key for criminals is often stolen credentials whether that be a user, administrator, or someone else with privileged system access. These attacks show bravado and hit the major headlines. Alongside the big hacks, there is a growing rash of small crimes at healthcare facilities like stolen medications, illicitly written prescriptions and theft of targeted individual health care records. For example, in a Cleveland Clinic, four nurses are being accused of stealing patient medications such as Oxycodone (a pain opioid sought after by drug addicts.)

Implementing strong access and authentication controls is the next step healthcare organizations must take to comply with the HIPAA and harden the attack surface from both sophisticated criminals and petty staffer criminal alike. Healthcare organizations are still standardizing on the right approach – let’s take a closer look at some of the technologies that are currently in use and explore them from a security and hackers perspective.

RFID (Radio Frequency Identification)

You may have one and not even know it. RFID technologies make up the majority of the market, most white access badges that you swipe to gain access to a door or potentially a computer have sophisticated micro circuitry built in.  Some of the amazing things that you might not know about RFID are:

  • There is no battery! The circuitry is powered by the energy it receives from the antenna when it is near a card reader.
  • Some RFID chips can contain up to 1K of data, that doesn’t sound like a lot but that is enough to hold your name, address, social security number and perhaps your last transaction.
  • RFID chips can be so small they may be imperceptible, Hitachi has a chip that is 15 x 0.15 millimeters in size and 7.5 micrometers thick. That is thinner and smaller than a human hair.

The good news for security professionals at healthcare organizations is there are many choices and uses for RFID technology.  Cards and readers purchased in mass quantities drive the price down and provide a homogeneous system that may be easy to administer as it becomes part of the onboarding and provisioning process. In addition to door access for staff, RFID cards can be given to patients on check in so that they have another form of identification. The bad news is that hackers are after consistent well-documented systems and they like hacking esoteric data transmissions like the ones that RFIDs use.  Using inexpensive parts that are on my workbench like an Arduino Microcontroller, a criminal could create a system to capture the transmission and essentially clone the data on a card then pose as an insider.

BioMetrics

There seem to be an ever-growing array of BioMetric devices like vein readers, heartbeat, iris readers, facial recognition and fingerprint readers.  When implemented properly a live biometric, that is a biometric device that samples both unique physical characteristic and liveliness (pulse for example) is almost always a positive match, in fact, fingerprint reading is used at border control in the US and other countries.   There are hacking demonstrations with molded gummy worm fingers, scotch tape finger lifts and even the supposed cutting off a finger.  Those attacks are on the far end of a practical hack as it is not repeatable or easy for a criminal.  The hurdles that biometrics face are:

  • Near 100% Match – This is a good news as we truly want valid users however skin abrasions, irregular vital signs, and aging are just some factors that make the current set of bio-metrics sometimes create false positives.
  • Processing Time – There are several steps to the fingerprint and biometric authentication process. Reading, evaluating the match then validating with an authentication service can take up to a second.  The process is not instantaneous – I can enter my password faster on my iPhone than I can get a positive fingerprint match.  Doctors and nurses patients simply don’t have the seconds to spare.
  • Convenience – Taking off gloves, staring at a face or retinal reader is simply not an option when staff is serving potentially hundreds of patients a day.

As the technology and processing improve, I think we will see a resurgence in BioMetric in healthcare but for now my local clinic has decommissioned the vein reader.

Bluetooth

Bluetooth technology is becoming ubiquitous. It is being built into almost all devices – some estimate that it will 90% of mobile devices by 2018.  Bluetooth is still emerging in the healthcare market which is dominated by RFID, however, there are advantages to Bluetooth over RFID cards:

  • Contactless – Bluetooth low energy relies on proximity rather than on physical contact.  While this might not seem like a huge advantage in a high traffic critical situation such as an emergency room, seconds count.  In addition, systems that require contact such as a card swipe or tap require maintenance to clean the contact.
  • BYOD Cost – For smaller clinics and organizations that are cost conscious using employee devices as a method of authentication may be the way to go as they will not incur the expense and management of cards and proprietary readers.  In fact, a Bluetooth reader can be purchased for as low as little as $4 compared with $100 card readers.
  • BYOD Convenience – Many organizations recognize an added convenience factor in using their employee, partners and customers mobile devices as a method of authentication.  Individuals are comfortable and interested in using their phones as access devices.  Administrators can quickly change access controls just-in-time for access to different applications, workstations and physical locations rather than have to restripe cards.

On the hacker side, Bluetooth signals just like RFID can be cloned however combined with OTP (One Time Password) for another layer of authentication criminals could be thwarted.

I contacted Jim Gerkin Identity Director from NovaCoast and he mentioned that we may see an uptick in small and mid-sized clinics using authentication devices in 2017.  They are looking for cost effective and open standard systems based on FIDO standards.  Bluetooth has the potential to meet requirements from a cost and security perspective again if OTP is used in conjunction.

The good news is that Micro Focus’s Advanced Authentication works with multiple types of authentication methods whether it be legacy systems, RFID, BioMetric and now Bluetooth.  In addition Micro Focus is part of the FIDO alliance which ensures a standardized approach.   I look forward to evaluating emerging authentication technologies in 2017 that may use DNA, speech recognition and other Nano-technology – watch this space!

Passwortkrieg – Wer kämpft eigentlich gegen wen?

Das Jahr 2016 brachte spektakuläre Datendiebstähle unfassbarer Dimension ans Tageslicht – Dropbox, Yahoo aber auch staatliche Institution wie RUAG wurden u.a. Opfer der sich immer stärker ausbreitenden professionellen Cyberangriffe. Hinzukommt eine wachsende Unzufriedenheit der Mitarbeiter bezüglich der Zugriffsbereitstellung, was zu einem Wildwuchs bei Zugriffsrechten führt. Im Blog erfahren Sie, wie man diesem Dilemma entkommen kann.

Im Jahr 2016 hat das Thema Datenklau hat eine bislang noch nie da gewesene Dimension erreicht. Datendiebstähle werden zum Alltag, Ransomware zur Norm und wenn ein Onlineportal Millionen Zugangsdaten verliert, überrascht das auch niemanden mehr. 68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der deutschen Telekom und der jüngste  Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy –  die Liste lässt sich beliebig weiter fortsetzen. Zwischen all diesen Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Auffällig ist, dass die erwähnten Datendiebstähle allesamt auf Netzwerkangriffe zurückgehen, die bereits vor 4, beziehungsweise im Falle von Yahoo, vor 2  Jahren erfolgten und die Unternehmen seinerzeit die Auswirkungen dieser initialen Angriffe in der Öffentlichkeit eher herunterspielten. Heute zeigt sich mit dem Auftauchen der seinerzeit beim Angriff erbeuteten eMail Adressen und Passwörter im erst das wahre Ausmaß des Schadens.

Ursächlich für die massiven Fälle des Datendiebstahls waren in den genannten Fällen jeweils geknackte Passwörter privater LinkedIn Accounts. Und trotz steigender Bedrohungslage, gibt es immer noch genügend Mitarbeiter, die allem Anschein zur Folge naiv genug sind und das gleiche, privat genutzte  Passwort auch beruflich  verwenden und somit den Hackern Zugang  zu Unternehmensnetzwerken ermöglichen.  Erstaunlich ist auch, dass sich die öffentliche Empörung der jetzt ans Licht gekommenen, unvorstellbar großen Datendiebstähle  sehr in Grenzen hielt, denn entsprechende Schlagzeilen füllten gerade mal einen Tag lang die Gazetten. Anscheinend zählt der Verlust vertraulicher Daten und Passwörter, bei dem Unzählige schon ihr digitales Leben verloren – zum Glück nur das digitale – schon zur Tagesordnung. Doch nicht nur Unternehmen sind Opfer wachsender Cyberkriminalität, auch staatliche Institutionen geraten zunehmend  ins Visier der Hacker. Der staatseigene Schweizer Rüstungsbetrieb RUAG  und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden und zumindest einer dieser Angriffe war erfolgreich. Laut dem Bericht der Melde- und Analysestelle Informationssicherung (Melani) konnte der Hackerangriff auf das Schweizer Verteidigungsministerium Anfang 2016 noch rechtzeitig entdeckt werden. Der Angriff auf RUAG, begann im Dezember 2014 begann und blieb über ein Jahr lang unentdeckt. Mithilfe eines Schadprogramms gelang es den Angreifern, durch Watering-Hole-Angriffe über präparierte Webseiten eine Erstinfektion zu erreichen. Dies führte dazu, dass die Angreifer eine Schwachstelle im Browser eines Mitarbeiters ausnutzen und Schadsoftware installieren konnten. Im Nachgang kam es auf dem infizierten System zu einer Erweiterung der Benutzerprivilegien und über mehrere Stufen schließlich zur vollständigen Kontrolle über das Active Directory im Unternehmensnetz. Damit erlangten die Angreifer höchstmögliche Benutzerrechte.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt jeden Tag mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz – eine alarmierende Zahl.  Dort spricht man bereits von elektronischem Flächen-Bombardement, Streuverlusten und von Spezialeinheiten zur Bekämpfung  und bedient sich dabei des Vokabulars, welches man eigentlich nur aus dem Verteidigungsministerium kennt.  Der Feind lauert überall und sieht es bei seinen Beutezügen vor allem auf eines ab:

Er sucht die größte Schwachstelle, die ihm ein Eindringen in Unternehmensnetzwerke möglichst unbemerkt erlaubt. Passwörter und Zugangsdaten scheinen dabei das schwächste Glied der Kette zu sein, denn dreiviertel aller Cyberattacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen.

Doch neben dem Kampf gegen immer ausgetüftelterer Cyberattacken und professionelle Hacker  sieht sich die IT-Abteilung noch einer zweiten Front im Passwortkrieg gegenüber – der Front der unzufriedenen Mitarbeiter im eigenen Unternehmen. Denn als Reaktion auf die wachsende Cyberkriminalität mit immer subtileren Angriffsmethoden werden gleichzeitig auch immer restriktivere Maßnahmen bei der Passwortvergabe eingeführt. Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen sind zu verwenden, mindestens 10 Stellen sollten es sein und möglichst nach 14 Tagen zu erneuern und auf gar keinen Fall ein und das gleiche Passwort für alles zu benutzen  – um hier nur einige der häufigsten Regeln für die Passwortvergabe zu nennen. Schon heute besitzt ein User durchschnittlich 13 Passwörter und greift auf 6 – 10 Applikationen und Webseiten mit Logins pro Tag zu. Glaubt man der Studie von Deloitte wird sich die Zahl der Online Accounts pro Nutzer auf 200 bis zum Jahre 2020 erhöhen. Kein Mensch kann sich mehr all die benötigten verschiedenen und komplizierten Passwörter merken, was unweigerlich zur Folge hat, dass Haftnotizen als Gedankenstützen an Displays kleben oder oftmals das gleiche, meist einfache Passwort für mehrere Logins verwendet wird. Zudem führen diese Passwort-Policies in Unternehmen zunehmend auch zu Frust bei den Angestellten. So stellte das Ponemon-Institut in der jüngst veröffentlichen Umfrage für Identity Governance & Access Management fest, dass bei 38 % der befragten Unternehmen, Mitarbeiter über den aktuellen Prozess für die Zugriffsverwaltung verärgert sind. Und selbst wenn die Benutzer allen strikten Vorgaben bei der Passworterstellung folgen würden und tatsächlich starke und unterschiedliche Passwörter benutzten würden, diese immer noch nicht sicher genug wären. Mittels Social Engineering – auch soziale Manipulation genannt – nutzen Hacker menschliche Schwachstellen aus, um durch gezielte Beeinflussung an vertrauliche Informationen zu gelangen (siehe Blog: Tausche Passwort gegen Schokolade)

multifaktor

Sicherheit muss praktikabel sein

Also, was können Unternehmen tun, um sich vor Identitätsdiebstahl zu schützen? Identitätsbasierte Sicherheitslösungen, wie beispielweise Multi-Faktor-Authentifizierung  können der Schlüssel sein, um sicheren Zugriff auf Anwendungen und Systeme, die Mitarbeiter für Ihr tägliches Arbeiten benötigen, zu gewährleisten. Doch wirklich sicherer wird es nur, wenn es auch einfach ist. Denn während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Darüber hinaus ist es wichtig, das die  Zugriffe dynamisch evaluiert und die Sicherheit für den Login adaptiert werden.  Wie Sie Ihr Unternehmen vor Cyberangriffen schützen können zeigen wir auf der  #DiscoverMF Tour, die am 7. Dezember 2016 in Zürich beginnt.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

Geo-fencing: securing authentication?

Micro Focus is leading the industry in geo-fencing and Advanced Authentication with it’s NetIQ portfolio. Simon Puleo looks at this fascinating new area and suggests some potential and very practical uses for this technology in his latest blog

Are you are one of the 500 million users who recently had their account details stolen from Yahoo?

Chances are that criminals will use them for credential stuffing – using automation to try different combinations of passwords and usernames at multiple sites to login to your accounts.

So you’re probably thinking the same as me – that a single username and password is no longer sufficient protection from malicious log-in, especially when recycled on multiple sites.

DeYahoo1

Is your identity on the line?

Indeed, 75% of respondents to a September 2016 Ponemon study agreed that “single-factor authentication no longer effectively protects unauthorized access to information.”

Biometric authentication is one solution and is already a feature of newer iPhones. However, skimmers and shimmers are already seeking to undermine even this.

Perhaps geo-fencing, the emerging alternative, can address the balancing act between user experience and security? It provides effective authentication and can be easily deployed for users with a GPS device. Let’s take a closer look at what this technology is, and how it can be used.

What is geo-fencing?

Geo-fencing enables software administrators to define geographical boundaries. They draw a shape around the perimeter of a building or area where they want to enforce a virtual barrier.  It is really that easy. The administrator decides who can access what within that barrier, based on GPS coordinates. In the example below, an admin has set a policy that only state employees with a GPS can access systems within the Capitol Building.

cap

Let’s dive deeper, and differentiate between geo-location and geo-fencing. Because geo-location uses your IP it can be easily spoofed or fooled, and is not geographically accurate. However geo-fencing is based on GPS coordinates from satellites tracking latitude and longitude.

While GPS can be spoofed it requires loads of expensive scientific equipment and certain features to validate the signal. Using geo-coordinates enables new sets of policies and controls to ensure security and enforce seamless verification, keeping it easy for the user to log-in and hard for the criminal to break in. Consider the below example:

Security Policy: Users must logout when leaving their work area.

Real-world scenario: Let’s go and get a coffee right now. Ever drop what you are doing, leaving your PC unlocked and vulnerable to insider attacks? Sure you have.

Control: Based on a geo-fence as small as five feet, users could be logged out when they leave their cube with a geo device, then logged back in when they return. It’s a perfect combination of convenience, caffeine and security.

Patient safety, IT security 

This scenario may sound incredible, but Troy Drewry, a Micro Focus Product Manager, explains that it is not that far-fetched. Troy shared his excitement for the topic – and a number of geo based authentication projects he is involved in – with me. One effort is enabling doctors and medical staff to login and logout of workstations simply by their physical location. This could help save valuable time in time-critical ER situations while still enforcing HIPAA policies.

Another project is working with an innovative bank that is researching using geo-fencing around ATMs to provide another factor of validation.  In this scenario, geo-fencing could have the advantage of PIN-less transactions, circumventing skimmers.

As he explained to me, “What is interesting to me is that with geo-fencing and user location as a factor of authentication, it means that security and convenience are less at odds.” I couldn’t agree more. Pressing the button on my hard token to login to my bank accounts seems almost anachronistic; geo-fencing is charting a new route for authentication.

Micro Focus is leading the industry in geo-fencing and Advanced Authentication. To learn more, speak with one of our specialists or click here.

 

Was hat Schokolade mit Sicherheit zu tun?

Dass Schokolade so manchen Durchhänger im Büro mildern kann, wissen wir alle und außer vielleicht für die Figur stellt so ein kleines Stückchen süßer Sünde nun eigentlich auch keine wirklich große Gefahr dar, oder? Doch was würden Sie sagen, wenn ein Mitarbeiter oder ein Kollege sein wichtiges Computer-Passwort für ein Stück Schokolade verrät? Das halten Sie für unmöglich, denn so dumm kann doch wirklich keiner sein, oder? Wenn Sie sich da mal nicht täuschen …

Von beidem könnte es immer noch ein bisschen mehr sein, könnte man denken. Doch sowohl zu viel Schokolade als auch zu viel Sicherheit können kontraproduktiv sein. Das ist also nicht die Antwort auf die Frage, sondern der Hinweis auf eine aktuelle Studie. Die Forscher der International School of Management in Stuttgart und der Universität Luxemburg untersuchten wie leicht Nutzer ihr Passwort preisgeben. Die mit 1.206 zufällig ausgewählten Personen durchgeführte Studie zeigt: Für eine kleine Gefälligkeit verraten Menschen wildfremden Leuten ihr Passwort. Die Wissenschaftler verwendeten für ihre Studie dabei Vorgehensweise von Trickbetrügern – sie schickten sieben studentische Hilfskräfte los, die den zufällig ausgewählte Passanten erzählten, sie würden eine Umfrage zum Thema Computersicherheit durchführen. Zur Belohnung gab es eine Tafel Schokolade. Nach kurzen Fragen zum Thema baten die Tester die Probanden ihr Passwort auf den Umfragebogen zu schreiben. Das Ergebnis ist erschreckend: Insgesamt 36,8 % der Befragten nannten ihr komplettes Passwort, weitere 47,5 % gaben auf Nachfrage zumindest deutliche Hinweise auf Bestandteile des Passwortes. Schokolade als Köder unmittelbar vor der Passwortfrage verstärkte das Ergebnis – fast jeder zweite Teilnehmer gab sein vollständiges persönliches Passwort preis, wenn er direkt davor eine Tafel Schokolade bekommen hatte.

Diese Art der Betrügerei nennt sich “Social Engineering” oder “soziale Manipulation”. So wie Hacker technische Schwachstellen suchen, um in Computersystem einzudringen, nutzen Trickbetrüger  menschliche Schwachstellen aus – sie “hacken” ihre Opfer gewissermaßen und versuchen durch gezielte Beeinflussung, vertrauliche Informationen zu bekommen. Ausgenutzt werden unter anderem Sympathie für scheinbar ähnliche Menschen, Autoritätszugehörigkeit, Gier oder Neugier als psychologisches Prinzip. Während wir technische Schwachstellen und Lücken in unseren Computersystemen dank immer besserer Technologien und neuer Updates schließen können, bleiben die menschlichen Schwächen hingegen nahezu gleich.

Auf das Passwort alleine ist daher kein Verlass – bessere Lösungen für eine sichere Zukunft müssen her

Iris2blog

Lange stellten Passwörter den besten Kompromiss aus Sicherheit und Nutzbarkeit dar. Doch mit dem Wachstum der mobilen Belegschaft, der zunehmenden Akzeptanz von Cloud-Diensten  und Cloud-Apps und durch immer stärkere Vernetzung, wodurch immer mehr sensible Unternehmensdaten  zwischen Mitarbeitern und auch Geschäftspartnern  bewegt und gemeinsam bearbeitet werden, sind Geschäftsdaten heute einer höheren Gefahr durch Hacker, Betrüger und Cyberdiebstählen ausgesetzt. Erst kürzlich musste die Telekom mitteilen, dass 120.000 Kundendaten im Darknet aufgetaucht sind und dass diese Daten zumindest teilweise echt und aktuell seien. Die Telekom ist mitnichten ein Einzelfall, erst Anfang Juni diesen Jahres wurde bekannt, dass auch die Zugangsdaten von 32 Millionen Twitter-Nutzern zum Verkauf stehen. Zuvor betraf es LinkedIn und MySpace. Und wenn selbst der Twitter und Pinterest Account von Facebook Chef Mark Zuckerberg gehackt werden kann, wie Anfang Juni Venture Beat berichtete, dann ist es offensichtlich, dass die jahrelang gültige Devise des „Schützens und Verteidigens“ durch Investitionen in hochentwickelte Firewalls und Virenschutzprogramme heute nicht mehr alleine ausreichen für den Schutz sensibler Daten.

Starke Authentifizierungsverfahren hingegen, wie Multi-Faktor Authentifizierung, sind in der Lage Identitätsdiebstähle zu begrenzen und somit die Sicherheit zu steigern. Dahinter steckt die Idee, drei Grundbereiche der Authentifizierung miteinander zu verknüpfen: Etwas, das der Nutzer besitzt, wie ein Token oder ein Smartphone; ein Körpermerkmal des Nutzers, zum Beispiel ein Fingerabdruck und andere biometrische Merkmale; und drittens etwas, das der Nutzer weiß, eben ein Passwort, eine PIN oder ein Einmalpasswort (OTP = One Time Password). Die Anzahl der Authentifizierungs-methoden wächst stetig. Die Auswahl geht von Standards wie Fingerabdrücken , Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera oder auch das Nutzen eines Zertifikats auf der SIM-Karte im Handy.

MFA stellt neue Anforderungen an Entwickler

Stellt sich also die Frage, warum nicht schon vielmehr Unternehmen eine Mulit-Faktor-Authentifizierungsverfahren einsetzen. Dazu muss man wissen, dass Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Die meisten älteren Anwendungen nutzen ihr eigenes Login-Dialogfeld. Die Entwicklung ist verhältnismäßig einfach. MFA hingegen ist komplexer umzusetzen. So muss jede Anwendung mit einer Vielzahl an verschiedenen Eingabeverfahren umgehen können. Der Programmieraufwand für jede Anwendung ist beträchtlich.

Access Management Lösungen auf Basis von Single-Single-On-Mechanismen (SSO) und Gateway Komponenten können diese Herausforderung lösen und den Vorgang auf eine einzige Anmeldung beschränken. Bei Bedarf und Zugriff auf schützenswerte bzw. kritische Daten und Dienste kann mittels sogenannter „Step up“ Authentifizierung z.B. ein zusätzliches Einmalpasswort abgefragt werden. Die Entscheidung einer zusätzlichen Abfrage kann dabei dynamisch und adaptiv erfolgen, z.B. wenn ein Anwender versucht mittels eines privaten Gerätes aus einem unischeren Land auf sensible Daten zuzugreifen.

Was bei MFA Methode zu berücksichtigen ist: Sicherheit muss auch praktikabel sein

Während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem wirkt sich das negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die  Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Aspekte, wie Flexibilität in puncto Nutzung und Integration verschiedener Authentifizierungsmethoden oder Handhabbarkeit in Ausnahmesituationen (Beispiel: das Vergessen der Smartcard), sowie die TCO sind besonders zu berücksichtigen. In unserem Live-Webinar „ Identitätsbasierende Sicherheit für die hybride IT von heute und morgen“ am 26. Juni liefern wir Antworten, wie der IT-Sicherheitsstandard in einer hybride IT erhöht werden kann,  wie sie sich konkret vor Missbrauch der digitalen Identität schützen können was Unternehmen im Hinblick auf ein zukunftsfähiges Access Management  beachten sollten und welche Lösungen bereits heute verfügbar sind. Informationen und Anmeldemöglichkeit finden Sie hier.

Götz Walecki

Manager Systems Engineering

LV7A5495_1(1)

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen

Das PCI Security Standard Council hat mir der kürzlich verabschiedeten neuen Version PCI DSS 3.2. seine Sicherheitstandards für die Finanzindustrie nochmals deutlich verschärft. Erst kürzlich bekannt gewordene Angriffe auf das SWIFT-System haben gezeigt, dass die bereits hohen Sicherheitsstandards und Complianceanfoderungen immer noch nicht ausreichend genug sind, die sensiblen Daten umfassend zu schützen. Woran liegt das? Erfahren Sie in unserem Blogbeitrag mehr über die vielfältigen Gründe und welche Konsequenzen auf den Handel, die Banken und alle anderen, die mit Kreditkarten arbeiten, zukommen.

Die Cyberkriminalität in der Finanzwelt ist weiterhin auf dem Vormarsch. Wie bereits in meinem letzten Blogbeitrag erwähnt, hat sich die Cyber-Kriminalität laut einer KPMG-Studie zu einem äußert lukrativen Geschäft entwickelt. Geografisch gesehen häufte sich die Wirtschaftskriminalität in der Schweiz vor allem im Raum Zürich, gefolgt vom Tessin als zweitplatzierte Region. Dass gerade diese beiden Regionen die Liste anführen ist nicht weiter verwunderlich, da sowohl Zürich als auch Lugano die größten Finanzzentren in der Schweiz sind, und die Finanzinstitute nach wie vor im Fokus der Cyberkriminellen stehen. Obwohl die Finanzindustrie zu den am höchsten regulierten Branchen mit hohen Sicherheitsstandards und Complianceanforderungen zählt, gibt es nach wie vor unzählige Fälle von Datenmissbrauch und Datendiebstählen bei Finanzdienstleistern. Als Beispiel können hier die erst kürzlich bekannt gewordenen Angriffe auf das SWIFT System genannt werden.

Mit PCI DSS wurde bereits vor vielen Jahren ein Sicherheitsstandard für die Zahlungsindustrie eingeführt – basierend auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Die Sicherheitsvorkehrungen der Kreditkartenunternehmen reichen anscheinend nicht aus. Woran liegt das? Die Gründe sind vielfältig:

  • Ausnutzung bestehender privilegierter Accounts durch Advanced Persistent Threat Szenarien,
  • die gestiegene Nutzung von Mobilitätslösungen und Cloud Services,
  • vermehrte Web-App-Angriffe durch die Verwendung gestohlener Zugangsdaten,
  • das Ausnutzen von Schwachstellen in Webanwendungen und
  • eine stetig steigende Bedrohungslage durch neue Schadsoftware und Cyberspionage.

Aber auch die Einhaltung von PCI-Compliance-Vorschriften bereitet den Unternehmen anscheinend Probleme. Gemäß dem 2015 PCI Compliance Report von Verizon fallen drei von vier Unternehmen durch, wenn es um die Einhaltung von PCI-Compliance geht. Damit sind all diese Unternehmen anfällig für Cyberangriffe auf Kreditkartentransaktionen und Kundendaten.

Als Reaktion sowohl auf die massiven Datendiebstähle bei Finanzdienstleistern als auch auf die steigende Komplexität der Bedrohungen, hat das PCI Security Standards Council seine Sicherheitsanforderungen nun deutlich erhöht. Mit der am 28. April 2016 verabschiedeten Version 3.2 fordert das PCI Security Standards Council unter anderem den konsequenten Einsatz einer Multi-Faktor-Authentifizierung (MFA) für Banken, Händler und andere, die mit Kreditkarten arbeiten. In bisherigen Versionen wurde ausschließlich der Einsatz einer Two-Factor-Authentifizierung für den Remotezugriff gefordert. Neu gilt dies für alle Administratoren, auch bei Zugriffen innerhalb des Cardholder Data Environment (CDE), und man spricht über Multi-Factor-Authentifizierung. Mit den neuen Sicherheitsanforderungen will das PCI Security Standards Council offenbar ein klares Zeichen setzten, dass die momentanen Schutzmechanismen für kritische und sensible Daten, wie solche von Karteninhabern, nicht ausreichend sind und erweitert werden müssen.

Damit verfolgt das PCI Security Standards Council die gleiche Richtung in Bezug auf Passwörter, wie sie bereits letzten Herbst durch den britischen Geheimdienst GHCQ in der Publikation „Password guidance: simplifying your approach“ empfohlen wurden. Angesichts der heutigen Bedrohungsszenarien sind längere und komplexere Passwörter alleine nicht mehr ausreichend.

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

thumbAuch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-

Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird. Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann