Suchen

Tahers Thesen zur IT-Sicherheit: Zugriffsschutz Läuft die Zeit der Passwort-Authentifizierung bald ab?

| Redakteur: Stephan Augsten

Social Engineering ist und bleibt die effektivste Angriffsart, um unerlaubten Zugang zu einem Firmennetzwerk zu bekommen. Grund genug, das Kennwort-gestützte Zugangsverfahren zu überdenken, meint Taher Elgamal. Alternativen gebe es zuhauf – und lernen könne man von der Entwicklung, die SSL genommen hat.

Firma zum Thema

Taher Elgamal: „Die Security-Branche muss Kennwort-basierende Methoden hinter sich lassen.“
Taher Elgamal: „Die Security-Branche muss Kennwort-basierende Methoden hinter sich lassen.“
( Archiv: Vogel Business Media )

Jeder Sicherheitsberater und jeder wohl- oder nicht so wohlgesonnene Hacker weiß, dass man am einfachsten über soziale Geflechte unauhorisierten Zugang zu den Unternehmensnetzwerken bekommt. Selbst ausgefeilte Attacken sind einfacher und verlaufen zerstörerischer, wenn der Angreifer irgendwie Zugang zu einem Kennwort für ein Konto oder ein System in einem Netzwerk erhält.

Die schwerwiegendsten Angriffe laufen über Root- oder Super-User-Kennwörter, die Administratoren zum Netzwerkmanagement benutzen. Gerade deswegen muss sich die Branche gemeinsam daran begeben, die auf Kennworteingabe-basierenden Methoden hinter sich zu lassen. Denn viele der heutigen Angriffe drehen sich darum, irgendwie an ein Passwort zu kommen.

Gegenwärtig laufen Bestrebungen, den Zugang für die Benutzer zu vereinfachen, indem nur noch ein einziges Kennwort die anderen sozusagen (v)erschließt. Für die Benutzer bedeutet das natürlich einen großen Komfortvorteil. Jedoch bleibt auch dabei das Sicherheitsrisiko bestehen, das sich aus der Abhängigkeit von Kennwörtern ergibt.

Stärkere Authentifizierung heißt die Devise

Es ist wirklich an der Zeit, dass sich die Branche gemeinsam daran macht, die Standards zu etablieren, die das Ende der Kennwörter herbeiführen können. Es gab in der Vergangenheit Bestrebungen in dieser Richtung, die Liberty Alliance zum Beispiel. Aber die Branche hat letztlich keinen der Anstöße umgesetzt.

Stärkere Authentifizierung bleibt sowohl bei der Internet- als auch bei der geschäftlichen Nutzung das wichtigste Thema, das es zu lösen gilt. Dafür gibt es viele verschiedene Antworten. Einige davon sind in bestimmten Situationen – je nach dem gewünschten Sicherheitsniveau – sinnvoller als andere.

Die Infrastruktur kann mehr

Die Branche muss das früher oder später anerkennen und mit den Ideen und Infrastruktur-Lösungen aufwarten, die den Kundenbedürfnissen entsprechen. PKI-Zertifikate, verschiedene biometrische Lösungen oder mobile Technologien können dabei sehr nützlich sein. Übrigens: Gerade in Sachen SSL haben wir gesehen, dass eine Infrastruktur eine Vielzahl von Verschlüsselungs- und Signaturmethoden unterstützen kann. Etwas Ähnliches wäre in Sachen Authentifizierung wünschenswert.

Über Taher Elgamal

Dr. Taher Elgamal gilt in der IT-Welt als der „Erfinder“ von SSL und kümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape. Zudem schrieb er das SSL-Patent und setzte sich in verschiedenen Gremien der Branche für SSL als Internet-Sicherheitsstandard ein. Ferner erfand Dr. Elgamal mehrere Branchen- und Regierungsstandards für Datensicherheit und digitale Signaturen, beispielsweise DSS. Der gebürtige Ägypter ist für zahlreiche Unternehmen als Beirat und für Axway, die Business Interaction Networks Company, als Chief Security Officer tätig. Seine Promotion erlangte Taher Elgamal an der renommierten Stanford University.

(ID:2053250)