Suchen

Tipps zum Umgang mit BYOD, Teil 2

Authentifizierung beim Remote-Zugriff per Smartphone

Seite: 2/5

Firma zum Thema

Sicherheitsaspekte bei Cloud-Anwendungen

Das SaaS-Modell hat auf den ersten Blick sein Versprechen von maximaler Benutzerfreundlichkeit eingelöst. Schaut man aber genauer hin, entdeckt man schnell Probleme. Wenn jeder x-beliebige User eine App downloaden und sich anmelden kann, was hält dann einen Angreifer davon ab?

Benutzer über den richtigen Umgang mit Passwörtern aufzuklären, ist vor diesem Hintergrund natürlich wichtig. Bei der Absicherung von Systemen aber allein auf die Gewissenhaftigkeit der Benutzer zu vertrauen, wäre grob fahrlässig. Denn hinter den Kulissen kommunizieren die meisten Anwendungen über das althergebrachte HTTP.

Für einen durchschnittlich begabten Cyberkriminellen ist es ein Leichtes, die zugrundeliegenden Webdienste, mit der die App kommuniziert, auszuspionieren. Sobald er herausgefunden hat, wie Benutzerlogins verarbeitet werden, kann er ohne großen Aufwand ein Skript schreiben, das Passwörter für ihn errät.

Schon seit Jahren ist klar, dass Passwörter allein nicht der Schlüssel zu mehr Sicherheit sind – deshalb haben wir VPNs mit Zertifikaten, Smartcards und Schlüsselanhänger erfunden, die den Zugriff sicherer gestalten sollen. Aber im Eifer, neue Geräte auf den Markt zu bringen, vernachlässigen wir gerne mal die Grundlagen. Wie also können wir es Angreifern schwieriger machen, ohne die Benutzer zu beeinträchtigen? Leider ist das nicht einfach, aber es gibt einige Ideen.

Den Anwendungsanbieter um Hilfe bitten

Die einfachste Methode besteht darin, zu prüfen, ob die Anwendung selbst für einen größeren Zugriffsschutz sorgen kann. Je größer und sicherheitsbedachter der Anbieter, desto höher ist die Wahrscheinlichkeit, dass er bei der Implementierung eines zusätzlichen Authentifizierungsfaktors behilflich sein kann.

Bei diesen zusätzlichen Faktoren handelt es sich meist um eine E-Mail-Bestätigung für unbekannte Geräte, SMS-Codes bzw. separate Apps, die Authentifizierungscodes generieren. Solche Methoden sind zwar besser als gar nichts, haben jedoch nach wie vor ihre Schwachstellen.

Unterschiedliche Benutzernamen und Passwörter für verschiedene Accounts zu haben, ist schon verwirrend genug. Wenn die eine App einen speziellen SMS-Code, die nächste eine E-Mail-Bestätigung und die Dritte eine Softtoken-App benötigt, kann sich der Helpdesk auf eine Flut von Anfragen gefasst machen. Und natürlich ist eine E-Mail-Bestätigung ziemlich zwecklos, wenn die E-Mails nicht vernünftig gesichert sind.

(ID:42237442)