:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Plattformsicherheit morgen Dezentrale Verschlüsselung und Authentifizierung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Industrieplattformen sind im Trend, auch der Mittelstand erkennt ihre Vorteile. Doch bei der Plattformsicherheit gibt es noch Schwächen. Die Zukunft liegt in Selbstsouveränität bei Authentifizierung und Verschlüsselung.
Der Erfolg von Industrieplattformen hängt von der Plattformsicherheit ab. Die Nutzer müssen darauf vertrauen, dass personenbezogene und geschäftskritische Daten weder anderen Mandanten noch Dritten bekannt werden. Die Plattform muss deshalb Verschlüsselung und Authentifizierung nutzen, um allen Nutzern eine hohe Sicherheit zu bieten.
Die Gegenwart: Verschlüsseln und zentral authentifizieren
Eine weit verbreitete Vorgehensweise für Plattformsicherheit besteht darin, erstens Daten spaltenweise zu verschlüsseln und zweitens Benutzer mit JSON-Tokens zu authentifizieren. Beides zusammen sorgt dafür, dass nur berechtigte Nutzer auf bestimmte Daten zugreifen können.
Spaltenbasierte Verschlüsselung
Bei der spaltenbasierten Verschlüsselung werden nur einzelne Attribute einer Datenbank verschlüsselt, nicht die gesamte Tabelle oder Datenbankdatei. Dabei gibt es pro Attribut (Spalte) jeweils nur einen Schlüssel. Damit haben die oft spaltenbasierten Operationen auf Industrieplattformen eine ausreichend hohe Leistung.
Ein Beispiel: Zwei Business-Services tauschen Nutzungsdaten für Assets aus, etwa Mietwagen oder Werkzeugmaschinen. Für eine korrekte Abrechnung reicht es aus, die eigentlichen Nutzungs- und Abrechnungsdaten in den entsprechenden Tabellenspalten zu verschlüsseln. Sie können nun rasch und ohne Zeitverzug gelesen werden und sind durch die Verschlüsselung optimal abgesichert.
Eine größere Plattform mit zahlreichen Nutzern muss eine große Zahl an unterschiedlichen Schlüsseln verwalten und nutzt dafür spezielle Systeme. Diese Systeme dürfen aber nur berechtigten Benutzern den Zugriff auf die entsprechenden Schlüssel geben. Deshalb ist ein sicheres Verfahren für die Benutzerauthentifizierung auf der Plattform notwendig.
Im B2C-Sektor ist OAuth (Open Authorization) verbreitet. Der Nutzer meldet sich nicht direkt bei einer Website an, sondern indirekt, etwa mit einem Social-Media-Login. Der Nachteil: Anbieter wie Google oder Facebook erhalten über die Metadaten viele zusätzliche Informationen über Nutzer. Das Verfahren ist deshalb im B2B-Kontext kritisch zu sehen. Stattdessen ist hier die JWT-Authentifizierung Standard.
Sichere JWT-Authentifizierung
Authentifizierung mit JSON Web Tokens (JWT) ist eine sichere und beliebte Methode zur Authentifizierung. Das Token ist ein verifizierbares Datenobjekt, dessen Integrität mit kryptografischen Signaturen sichergestellt wird. Sie werden verwendet, um die Identität eines Nutzers über einen Dritten (Identity-Provider) festzustellen. Dadurch entfällt eine Datenbankabfrage nach Berechtigungen und das Speichern von Sitzungsdaten („Stateless Session“).
Um das Verfahren nutzen zu können, stellt ein Authentifizierungsserver dem Nutzer (einmalig) ein Token mit seinen Informationen aus und signiert ihn mit einem Schlüsselpaar. Der Nutzer erhält den öffentlichen Schlüssel und nutzt ihn als Identifizierungsmerkmal für eine Anwendung.
Ein JSON Web Token enthält genügend Authentifizierungsmerkmale, sodass zusätzliche Merkmale nicht mehr notwendig sind. Deshalb hängt ihre Sicherheit in erster Linie davon ab, dass die Nutzer sie geheim halten und sie nicht auf dem Transportweg abgefangen werden. Daher sind diese Tokens nur kurze Zeit gültig und werden regelmäßig erneuert.
Die JWT-Authentifizierung wird von verschiedenen Identity-Providern angeboten und ist im Regelfall nicht mit anderen Diensten verbunden. Anders als bei Google oder Facebook kommt es nicht zu Korrelationen der Metadaten mit anderen Daten. Doch JWT ist immer noch ein zentrales Authentifizierungsverfahren, das auf föderalisiertem Vertrauen beruht.
:quality(80)/p7i.vogel.de/wcms/dc/3e/dc3e24196f47eed29bd5147141048b03/96818114.jpeg "Self-Sovereign Identity (SSI) gibt Nutzern die Kontrolle über ihre Identität zurück und kann für eine schnellere, sichere und vertrauenswürdige Digitalisierung sorgen. (©putilov_denis - stock.adobe.com)")
Selbstbestimmte Identitäten
Self-Sovereign Identity (SSI) und seine Verwendung
Die Zukunft: Selbstsouveräne Identitäten
Dezentral gespeicherte digitale Berechtigungsnachweise geben Individuen und Organisationen die vollständige Kontrolle über ihre Identitätsdaten: Die selbstsouveräne Identität oder Self-Sovereign Identity (SSI). Allgemein bedeutet SSI, dass Personen ihre digitale Identität selbst verwalten, etwa als Wallet auf einem mobilen Endgerät. Die Daten werden dezentral und fälschungssicher in einer Blockchain gespeichert.
Die Anwender sind dadurch nicht mehr von einem zentralen Identitätsdienstleister abhängig. Für die Authentifizierung wird ein Decentralized Identifier (DID) genutzt. Das ist ein digitaler Identifikator, der von einer vertrauenswürdigen Autorität ausgestellt wird, etwa einer Behörde oder dem Arbeitgeber. Ein Beispiel ist der Führerschein. Wenn sich ein Nutzer bei einem Car-Sharing-Service anmeldet, wird er für die Authentifizierung genutzt.
Bring (Hold) you own Key
SSI-Lösungen besitzen das Potenzial, zwei wichtige neue Sicherheitsmodelle umzusetzen: „Bring your own Key“ (ByoK) und „Hold your own Key“ (HyoK). Bei beiden Modellen geht es darum, dass die Schlüsselverwaltung für die Ver- und Entschlüsselung von Daten in die Hände des Nutzers gelegt wird. Heute ist das im Regelfall noch nicht so, für die Schlüsselgenerierung sind die Serviceanbieter verantwortlich.
Das ByoK-Konzept legt Erzeugung, Verwaltung und Aktualisierung der Schlüssel vollständig in die Hände der Nutzer. Dies hat zwar den Vorteil des alleinigen Schlüsselbesitzes, doch es gibt auch Schwachstellen. So erfordert die Schlüsselübergabe einen sicheren Transport und der Serviceanbieter muss dafür sorgen, dass die übergebenen Schlüssel sicher gespeichert werden.
Beim HyoK wird dagegen die gesamte Verschlüsselung an den Nutzer delegiert, der somit verschlüsselte Daten in der Cloud speichert. Der Nachteil liegt auf der Hand: Anwendungen können nur mit Zugriff auf Klartextdaten sinnvoll funktionieren. So empfiehlt sich HyoK in erster Linie für die Verschlüsselung von Einzeldokumenten, Backups oder bestimmten Feldern in Datenbanken zum Beispiel vor dem Hintergrund der Transportsicherheit.
Selbstsouveräne Identitäten und die Selbstverwaltung der kryptographischen Schlüssel sind moderne Verfahren der Plattformsicherheit, die sich sicher durchsetzen werden. Sie bieten den Nutzern einen großen größeren Einfluss auf ihre Daten und sind darüber hinaus datenschutzkonform – im B2B-Umfeld ein wichtiges Argument.
Über den Autor: Christopher Möhle ist COO der Technologieagentur Turbine Kreuzberg. Mit umfassender Erfahrung in den Bereichen Technologie und Umsetzungsstrategie leitet er das Plattform-Geschäft der Agentur. Dabei begleitet er Unternehmen bei der Entwicklung von digitalen Produkt- und Serviceplattformen sowie individuellen Applikationen auf IoT- und Blockchain-Basis.
(ID:47549162)
:quality(80)/p7i.vogel.de/wcms/f7/58/f758afe1546f1205243ad32549a2e54f/0112175009.jpeg "Die Grenzen zwischen virtueller und tatsächlicher Realität verschwimmen im Metaverse und es drohen neue Gefahren. (Bild: wacomka - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/cb/0acb930ffeada0264d349826d6aec40d/0104313658.jpeg "FIDO sind offene und lizenzfreie Standards zur sicheren und komfortablen Authentifizierung, zum Beispiel für passwortlose Zwei-Faktor-Authentifizierung mit Public-Key-Kryptographie. (Bild: gemeinfrei)")