:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Pro und Contra Blockchain-gestützte Benutzerauthentifizierung
Zentralisierte Architekturen der Benutzerauthentifizierung hätten ausgedient, glauben Sicherheitsexperten. Das Internet der Dinge und die Digitalisierung kritischer Infrastrukturen erfordern zuverlässige Methoden verteilter, „passwortloser“ Authentifizierung von Anwendern, Diensten und IoT-Endgeräten. Kann die die DLT-Technik Abhilfe schaffen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Blockchain-Technologie, kurz DLT, nutzt fortgeschrittene Kryptografie und verteilte Anwendungsausführung, um die Nachverfolgung von Ereignissen, den autarken Vertragsvollzug in Softwarecode (in Ethereum-Lingo die sogenannten „smarten Verträge“) und eine Vielzahl anderer innovativer Nutzungsszenarien zu ermöglichen.
:quality(80)/images.vogel.de/vogelonline/bdb/1509300/1509329/original.jpg "Auf und ab: Gartners aktuelles Hype-Cycle-Diagramm für Blockchain-Geschäftsanwendungen sagt der DLT-Technik je nach Industrie eine lange Reise durch das trübe „Tal der Enttäuschung“ voraus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1509300/1509330/original.jpg "Eine neue biometrische Wegwerf-Identität „für drei Wochen“: Der Industriedesigner Mian Wei bietet mit seinen Ersatzfingerabdrücken im Stil eines Heftpflasters einen vermeintlichen Ausweg aus der Biometrik-Falle für Paranoide.")
:quality(80)/images.vogel.de/vogelonline/bdb/1509300/1509331/original.jpg "Beim Einsatz von biometrischen Daten kann Blockchain-gestützte Authentifizierung für die Betroffenen leicht nach hinten los gehen. Darum prüfe, wer sich bindet.")
Nahezu unvernichtbar: Ist das aber ein Vorteil?
Die zahlreichen praktischen Vorteile der DLT-Technik hat ja auch bereits die eine oder andere innovative Entwicklungsschmiede in praktischen Anwendungsszenarien nachgewiesen (siehe dazu „Passwortfreie Authentifizierung mit Remme.io“). In den Augen ihrer Befürworter gilt die Blockchain als:
- unvernichtbar: Die netzwerkweite Replikation soll die Datenintegrität wahren.
- fälschungsresistent: Kryptografische Mechanismen wie das Hashing sorgen für die Nachverfolgbarkeit des historischen Aufbaus der Blockchain.
- fehlertolerant: Ein Konsensverfahren mit byzantinischer Fehlertoleranz verkraftet je nach Implementierung eine gewisse Anzahl bösartiger Insider, die es insgeheim sabotieren. So garantiert beispielsweise das pBFT-Verfahren u.a. in Hyperledger Fabric und Hyperledger Sawtooth, dass die Aktivitäten von bis zu (n-1)/3 arglistigen Netzwerkknoten garantiert wirkungslos bleiben.
Dieses Bild malen sich jedenfalls die Befürworter der Technik aus. Die Blockchain gilt mitunter als der wichtigste Hoffnungsträger der fälschungsresistenten Authentifizierung. Doch nicht alles ist Gold, was glänzt.
So stellt die Blockchain-Technologie die Entwickler gerade im Hinblick auf die Bereitstellung alternativer Methoden der Authentifizierung vor einige recht eigenartige Herausforderungen. Dazu zählen insbesondere:
- die Unveränderlichkeit der Blockchain: Das Hashing-Verfahren sorgt dafür, dass sich einmal beglaubigte Daten aus der Blockchain niemals löschen oder „zurückrufen“ lassen (ohne die gesamte Blockchain ungültig zu machen); dafür wird die Blockchan auf alle aktiven Netzwerkknoten repliziert.
- die Zugänglichkeit des Ledgers: Die verteilte Natur des dezentralisierten On-Chain-Datenspeichers, siehe Hyperledger Sawtooth — insbesondere, aber nicht nur, im Falle von öffentlichen Blockchains — erschwert die Geheimhaltung schutzwürdiger, verschlüsselter Daten, da sich die Robustheit einer Verschlüsselungsmethode niemals permanent gewährleisten lässt (schon alleine deswegen nicht, weil die Rechenleistung kontinuierlich zunimmt, während einmal eingetragene Daten in der Blockchain permanent in dem ursprünglichen Datenblock, ob verschlüsselt oder nicht, in unveränderter Form bestehen bleiben).
- die (beschränkte) Skalierbarkeit des Netzwerks: Einige Konsensverfahren gehen stark zu Lasten der Transaktionsgeschwindigkeit (z.B. PoW in der aktuellen Implementierung von Ethereum) oder beschränken die Anzahl der Knoten auf Grund des gestiegenen Overheads (z.B. beim Einsatz des reinen pBFT-Verfahrens in einer öffentlichen Blockchain). Bei der Umsetzung eines Blockchain-gestützten Systems der Authentifizierung mit Ereignisaufzeichnung in der Blockchain tritt eben dieser Aspekt der Praktikabilität relativ schnell in den Vordergrund.
Die Blockchain macht ihren Inhalt — wenn auch in verschlüsselter Form — allen Teilnehmern des Netzwerks zugänglich. Sogar in privaten bzw. konsortiumkontrollierten Blockchains lässt sich unberechtigter Zugang nicht völlig ausschließen. Da die verfügbare Rechenleistung potenzieller Cyber-Diebe im Laufe der Zeit zunimmt, hätte ein Blockchain-gestützter Tresor von Authentifizierungsdaten unabhängig von der eingesetzten Verschlüsselungsmethode ein eingebautes — dem Nutzer jedoch unbekanntes — „Verfallsdatum“.
Die Geheimhaltung von Daten, die innerhalb einer Blockchain „gesichert“ sind, hängt im Endeffekt von der Widerstandsfähigkeit der eingesetzten Verschlüsselung ab und diese nimmt ja mit der Zeit auf Grund der steigenden Rechenleistung prinzipiell immer nur ab. So verwandelt sich die „dezentralisierte“ Blockchain im Endeffekt in einen singulären, wenn auch in einem gewissen Sinne „verteilten“ Punkt des Versagens: Ein Bruch der Verschlüsselung an einem beliebigen Netzwerkknoten hätte die Enthüllung sensibler Daten zur Folge.
Hinzu kommt noch ein weiteres Problem: die Einhaltung der DSGVO. Geht es denn überhaupt? Durchaus. Wer aber personenbezogene Daten (wie bereits die E-Mail-Adresse, geschweige denn biometrische Informationen!) direkt in der Blockchain sichern wollte, würde gegen das Prinzip der Datensparsamkeit verstoßen. Denn auf Grund der Unveränderlichkeit der Blockchain lassen sich die Spuren der Tätigkeit eines authentifizierten Nutzers aus dem gemeinsamen Protokoll niemals vollständig entfernen. So haben auch einige innovative Hoffnungsträger des Blockchain-gestützten Passwort-Managements mit dem weltweiten Inkrafttreten der DSGVO das Tuch geworfen.
Civics Blockchain-gestütztes Identitätensystem: die Kunst, die Schuld von sich zu weisen
Dabei ist das Potenzial für Missbrauch sensibler Daten gerade im Zusammenhang mit der Blockchain-Technik enorm. Leider gibt es viel zu viele Unternehmen, die eben „irgendwas mit Blockchain“ machen wollen, ohne sich die Implikationen zu Ende zu überlegen.
Einige Lösungsanbieter wie beispielsweise Civic mit seinem Secure Identity Ecosystem bestehen auf den Einsatz biometrischer Daten — ein Lippenbekenntnis zu einem missverstandenen Konzept von (Schein-)Sicherheit.
Civic nutzt zur Verwaltung der Daten die sogenannten „smarten Verträge“, eine Besonderheit der Ethereum-Blockchain. Diese kleinen Schnipsel von ausführbaren Code erlauben dem Anbieter u.a. die Bereitstellung eines Ökosystems von Lösungen rund um die Prüfung und Beglaubigung der Nutzeridentität auf der Basis biometrischer Daten. Der Dienst sichert sensible Informationen außerhalb der Blockchain. Ob sich das System angesichts bekannter Schwächen biometrischer Authentifizierung tatsächlich bewährt, bleibt abzuwarten.
Auf Gedeih und Verderb: Biometrie in der Blockchain?
Die Biometrie ist an sich schon ein heikles Thema. Dafür gibt es ja auch hinreichend gute Gründe. Biometrische Authentifizierungsdaten eines Nutzers sind einmalig und unersetzbar. Die Nutzung dieser personenbezogenen Daten, wie sie von Blockchain-Startups wie Civic leider praktiziert wird, läuft auf Missbrauch hinaus. Denn biometrische Daten — sowohl Fingerabdrücke als Iris-Scans, möglicherweise auch andere Körpermerkmale wie Muster der Handvenenerkennung — lassen sich in physischer Form durchaus replizieren. Biometrische Daten sollten daher niemals mit Finalität alleine durch Maschinen ausgewertet werden. Ein Lesegerät kann nicht beurteilen, ob der Fingerabdruck nicht zu einer Prothese gehört statt zu einer Person. Zu weit her geholt? Einen solchen voll funktionsfähigen Ersatzfingerabdruck-Pflaster bietet seit 2016 ein Industriedesigner aus Boston namens Mian Wei auf seiner Webseite an, unter dem Markennamen IDENTITY, natürlich nur für legale Zwecke an.
Biometrische Daten sind nicht „sicher“, sie sind vielmehr extrem unzuverlässig und inflexibel. Denn anders als ein Zertifikat, ein Schlüssel oder ein Tokengenerator lassen sich körpereigene Merkmale wie ein Iris-Scan nicht „austauschen“. Beim Verlust biometrischer Daten bestehen für den Betroffenen keinerlei Möglichkeiten der Schadensbegrenzung. Die Folgen eines Cybersicherheitsvorfalls im Falle von biometrischen Daten sind irreversibel. Diese Daten gehören nicht in die Blockchain.
Die Einverständniserklärung des (ahnungslosen) Nutzers mildert ja auch nicht die Risiken, sondern verschiebt bloß die Haftung vom Anbieter auf das potenzielle Opfer eines Datenmissbrauchs.
Das Risiko — vor allem für die Privatsphäre der Mitarbeiter, aber auch für jeden Arbeitgeber, der diese Daten künftig nutzen wollte — sollte den Entwicklern dieser Lösungen zu denken geben.
Die Blockchain-Szene hat im Hinblick auf eine fälschungssichere Authentifizierung durchaus einige interessante Ansätze zu bieten; auch wenn das „Anheften“ von Biometriedaten an eine Blockchain nicht dazu zählen mag. Ein gutes Beispiel sind MultiSig-Wallets.
Ein Beispiel der wahren Dezentralisierung: MultiSig-Wallets
Eine konventionelle Krypto-Wallet wird mit einem einzigen privaten Schlüssel „geschützt“: Mit der Geheimhaltung dieses Schlüssels steht und fällt die Sicherheit der Wallet und ihrer Inhalte. Der gefürchtete „One-Single-Point-of-Failure“ lässt grüßen. Abhilfe schafft eine MultiSig-Wallet (kurz für Multi Signature). Eine solche Wallet verfügt über mehrere private Schlüssel, die an verschiedenen Stellen hinterlegt sind, und macht sich die MultiSig-Technologie — das M-of-N-Transaktionsschema der Distributed-Ledger-Technik — zu Nutze: Es sind in jedem Fall M von N existierenden Schlüsseln der Wallet erforderlich, um eine einzelne Transaktion auszulösen. Den einen privaten Schlüssel kann der Nutzer auf seinem Smartphone mit sich führen, den zweiten privaten Schlüssel seinem MultiSig-Dienstleister anvertrauen und schließlich den dritten privaten Schlüssel (zum Beispiel ausgedruckt auf Papier) im einem Tresor hinterlegen. Nur der berechtigte Besitzer der Wallet verfügt so jederzeit über mindestens M der N existierenden Schlüssel und kontrolliert somit alleine den Zugang zu seinen Geldreserven oder sonstigen Ressourcen — anders als im konventionellen Finanzwesen, wo die Bank sowohl den Kontozugang als auch die eigentlichen Geldmittel verwaltet.
Das Aufheben der Abhängigkeit von einem einzigen privaten Schlüssel löst so gleich mehrere Probleme auf einen Schlag.
Block.io, eine Service-API zur Erstellung und Verwaltung von Wallets, bietet mit der Basic MultiSig Wallet API eine solche MultiSig-Wallet als einen Service zur Integration in Webseiten, mobile Apps und andere Anwendungen.
Im Geiste einer MultiSig-Wallet entwickelt ZeroPass ein vollständig passwortloses und im echten Sinne des Wortes dezentralisiertes Authentifizierungssystem (vorerst noch in einer nicht-öffentlichen Beta).
Die Plattform ZeroPass verteilt Schnipsel der zu schützenden Passwörter verschlüsselt über die eigenen Server des Anbieters, die Endgeräte des jeweiligen Anwenders sowie die seiner vertrauten Freunde. Sollten dem Anwender seine Zugangsdaten einmal abhanden kommen, ließen sie sich durch die Konsensusbildung der von ihm zuvor genannten Vertrauenspersonen wiederherstellen. Es gibt also doch Licht im Tunnel.
:quality(80)/images.vogel.de/vogelonline/bdb/1511100/1511124/original.jpg "Cyberattacken gegen das ukrainische Stromversorgungsnetz in den Jahren 2016 und 2017 lieferten den Gründern von REMME.io hinreichend Ansporn, um im Hinblick auf die sichere Authentifizierung neue Wege zu beschreiten. (Pixabay)")
Das Ende der PKI?
Passwortfreie Authentifizierung mit Remme.io
Fazit
Die Blockchain ist als ein Tresor von Authentifizierungsdaten wie Zertifikaten, Passwörtern oder privaten Schlüsseln denkbar ungeeignet. Die verteilte Architektur dieses Datenspeichers kann die Integrität der Daten, jedoch nicht deren Geheimhaltung gewährleisten. Doch es gibt Licht im Tunnel. Das Aufkommen innovativer Ansätze zur sicheren, fälschungsresistenten Authentifizierung auf Blockchain-Basis lässt auf mehr Sicherheit hoffen. Doch damit das gelingt, müssen sich die Nutzer wie auch die Entscheidungsträger — die Denker und Lenker der Industrie — über die Implikationen ihrer Entscheidungen weitergehende Gedanken machen.
Über die Autoren: Filipe Pereira Martins und Anna Kobylinska arbeiten für McKinley Denali Inc. (USA) und sind als IT-Consultants auf Cybersecurity spezialisiert.
(ID:45705026)
:quality(80)/images.vogel.de/vogelonline/bdb/1944200/1944204/original.jpg "Datenbanken sind der Ort, an dem Daten gespeichert werden. Deshalb sind sie auch das Herzstück in einem Datenschutzkonzept. (Nmedia - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")