:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Plattformsicherheit morgen Dezentrale Verschlüsselung und Authentifizierung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Industrieplattformen sind im Trend, auch der Mittelstand erkennt ihre Vorteile. Doch bei der Plattformsicherheit gibt es noch Schwächen. Die Zukunft liegt in Selbstsouveränität bei Authentifizierung und Verschlüsselung.
Der Erfolg von Industrieplattformen hängt von der Plattformsicherheit ab. Die Nutzer müssen darauf vertrauen, dass personenbezogene und geschäftskritische Daten weder anderen Mandanten noch Dritten bekannt werden. Die Plattform muss deshalb Verschlüsselung und Authentifizierung nutzen, um allen Nutzern eine hohe Sicherheit zu bieten.
Die Gegenwart: Verschlüsseln und zentral authentifizieren
Eine weit verbreitete Vorgehensweise für Plattformsicherheit besteht darin, erstens Daten spaltenweise zu verschlüsseln und zweitens Benutzer mit JSON-Tokens zu authentifizieren. Beides zusammen sorgt dafür, dass nur berechtigte Nutzer auf bestimmte Daten zugreifen können.
Spaltenbasierte Verschlüsselung
Bei der spaltenbasierten Verschlüsselung werden nur einzelne Attribute einer Datenbank verschlüsselt, nicht die gesamte Tabelle oder Datenbankdatei. Dabei gibt es pro Attribut (Spalte) jeweils nur einen Schlüssel. Damit haben die oft spaltenbasierten Operationen auf Industrieplattformen eine ausreichend hohe Leistung.
Ein Beispiel: Zwei Business-Services tauschen Nutzungsdaten für Assets aus, etwa Mietwagen oder Werkzeugmaschinen. Für eine korrekte Abrechnung reicht es aus, die eigentlichen Nutzungs- und Abrechnungsdaten in den entsprechenden Tabellenspalten zu verschlüsseln. Sie können nun rasch und ohne Zeitverzug gelesen werden und sind durch die Verschlüsselung optimal abgesichert.
Eine größere Plattform mit zahlreichen Nutzern muss eine große Zahl an unterschiedlichen Schlüsseln verwalten und nutzt dafür spezielle Systeme. Diese Systeme dürfen aber nur berechtigten Benutzern den Zugriff auf die entsprechenden Schlüssel geben. Deshalb ist ein sicheres Verfahren für die Benutzerauthentifizierung auf der Plattform notwendig.
Im B2C-Sektor ist OAuth (Open Authorization) verbreitet. Der Nutzer meldet sich nicht direkt bei einer Website an, sondern indirekt, etwa mit einem Social-Media-Login. Der Nachteil: Anbieter wie Google oder Facebook erhalten über die Metadaten viele zusätzliche Informationen über Nutzer. Das Verfahren ist deshalb im B2B-Kontext kritisch zu sehen. Stattdessen ist hier die JWT-Authentifizierung Standard.
Sichere JWT-Authentifizierung
Authentifizierung mit JSON Web Tokens (JWT) ist eine sichere und beliebte Methode zur Authentifizierung. Das Token ist ein verifizierbares Datenobjekt, dessen Integrität mit kryptografischen Signaturen sichergestellt wird. Sie werden verwendet, um die Identität eines Nutzers über einen Dritten (Identity-Provider) festzustellen. Dadurch entfällt eine Datenbankabfrage nach Berechtigungen und das Speichern von Sitzungsdaten („Stateless Session“).
Um das Verfahren nutzen zu können, stellt ein Authentifizierungsserver dem Nutzer (einmalig) ein Token mit seinen Informationen aus und signiert ihn mit einem Schlüsselpaar. Der Nutzer erhält den öffentlichen Schlüssel und nutzt ihn als Identifizierungsmerkmal für eine Anwendung.
Ein JSON Web Token enthält genügend Authentifizierungsmerkmale, sodass zusätzliche Merkmale nicht mehr notwendig sind. Deshalb hängt ihre Sicherheit in erster Linie davon ab, dass die Nutzer sie geheim halten und sie nicht auf dem Transportweg abgefangen werden. Daher sind diese Tokens nur kurze Zeit gültig und werden regelmäßig erneuert.
Die JWT-Authentifizierung wird von verschiedenen Identity-Providern angeboten und ist im Regelfall nicht mit anderen Diensten verbunden. Anders als bei Google oder Facebook kommt es nicht zu Korrelationen der Metadaten mit anderen Daten. Doch JWT ist immer noch ein zentrales Authentifizierungsverfahren, das auf föderalisiertem Vertrauen beruht.
:quality(80)/p7i.vogel.de/wcms/dc/3e/dc3e24196f47eed29bd5147141048b03/96818114.jpeg "Self-Sovereign Identity (SSI) gibt Nutzern die Kontrolle über ihre Identität zurück und kann für eine schnellere, sichere und vertrauenswürdige Digitalisierung sorgen. (©putilov_denis - stock.adobe.com)")
Selbstbestimmte Identitäten
Self-Sovereign Identity (SSI) und seine Verwendung
Die Zukunft: Selbstsouveräne Identitäten
Dezentral gespeicherte digitale Berechtigungsnachweise geben Individuen und Organisationen die vollständige Kontrolle über ihre Identitätsdaten: Die selbstsouveräne Identität oder Self-Sovereign Identity (SSI). Allgemein bedeutet SSI, dass Personen ihre digitale Identität selbst verwalten, etwa als Wallet auf einem mobilen Endgerät. Die Daten werden dezentral und fälschungssicher in einer Blockchain gespeichert.
Die Anwender sind dadurch nicht mehr von einem zentralen Identitätsdienstleister abhängig. Für die Authentifizierung wird ein Decentralized Identifier (DID) genutzt. Das ist ein digitaler Identifikator, der von einer vertrauenswürdigen Autorität ausgestellt wird, etwa einer Behörde oder dem Arbeitgeber. Ein Beispiel ist der Führerschein. Wenn sich ein Nutzer bei einem Car-Sharing-Service anmeldet, wird er für die Authentifizierung genutzt.
Bring (Hold) you own Key
SSI-Lösungen besitzen das Potenzial, zwei wichtige neue Sicherheitsmodelle umzusetzen: „Bring your own Key“ (ByoK) und „Hold your own Key“ (HyoK). Bei beiden Modellen geht es darum, dass die Schlüsselverwaltung für die Ver- und Entschlüsselung von Daten in die Hände des Nutzers gelegt wird. Heute ist das im Regelfall noch nicht so, für die Schlüsselgenerierung sind die Serviceanbieter verantwortlich.
Das ByoK-Konzept legt Erzeugung, Verwaltung und Aktualisierung der Schlüssel vollständig in die Hände der Nutzer. Dies hat zwar den Vorteil des alleinigen Schlüsselbesitzes, doch es gibt auch Schwachstellen. So erfordert die Schlüsselübergabe einen sicheren Transport und der Serviceanbieter muss dafür sorgen, dass die übergebenen Schlüssel sicher gespeichert werden.
Beim HyoK wird dagegen die gesamte Verschlüsselung an den Nutzer delegiert, der somit verschlüsselte Daten in der Cloud speichert. Der Nachteil liegt auf der Hand: Anwendungen können nur mit Zugriff auf Klartextdaten sinnvoll funktionieren. So empfiehlt sich HyoK in erster Linie für die Verschlüsselung von Einzeldokumenten, Backups oder bestimmten Feldern in Datenbanken zum Beispiel vor dem Hintergrund der Transportsicherheit.
Selbstsouveräne Identitäten und die Selbstverwaltung der kryptographischen Schlüssel sind moderne Verfahren der Plattformsicherheit, die sich sicher durchsetzen werden. Sie bieten den Nutzern einen großen größeren Einfluss auf ihre Daten und sind darüber hinaus datenschutzkonform – im B2B-Umfeld ein wichtiges Argument.
Über den Autor: Christopher Möhle ist COO der Technologieagentur Turbine Kreuzberg. Mit umfassender Erfahrung in den Bereichen Technologie und Umsetzungsstrategie leitet er das Plattform-Geschäft der Agentur. Dabei begleitet er Unternehmen bei der Entwicklung von digitalen Produkt- und Serviceplattformen sowie individuellen Applikationen auf IoT- und Blockchain-Basis.
(ID:47549162)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930817/original.jpg "Das JSON Web Token (JWT) hilft bei der sicheren Übertragung von JSON-Objekten, zum Beispiel für Authentifizierungsaufgaben zustandsloser Sessions. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904571/original.jpg "Auch im Cloud-native-Umfeld wollen sensible und personenbezogene Daten geschützt sein. (kran77 - stock.adobe.com)")