Authentifizierung im Unternehmen

Legitimations-Cocktail statt einzelnes Kennwort

28.03.2007 | Redakteur: Stephan Augsten

Single Sign-On eröffnet Anwendern ein angenehmeres Arbeiten und hilft Kosten zu sparen, da nicht für jede Anwendung ein eigenes Passwort eingerichtet werden muss. Trotzdem gibt es weiterhin Bedenken: Wenn dieser eine Berechtigungsnachweis kompromittiert wird, hat der Angreifer Zugang zu allen Bereichen und Ressourcen des Firmennetzes. Bietet ein allgegenwärtiges Passwort, das leicht geknackt werden kann, wirklich ausreichenden Schutz?

Bevor diese Frage beantwortet wird, muss festgestellt werden, dass Single Sign-On (SSO) ein Teil einer größeren Identitäts-Management-Infrastruktur ist. Jede SSO-Initiative sollte mit einer Analyse des Autorisierungs-/Zugriffs-Kontroll-Modells im Unternehmen gekoppelt sein, um sicher zu stellen, dass die sensiblen Daten und Ressourcen auch optimal geschützt sind.

Es ist schlimm genug, wenn ein SSO-Berechtigungsnachweis kompromittiert wird. Eröffnen die kompromittierten Berechtigungen durch schwache Zugangskontrollen aber auch noch den Zugriff auf geschützte und sensible Daten, ist das Sicherheits-Management besonders gefährdet.

Firmen müssen Kompromisse eingehen

Passwörter sind seit Jahren die bevorzugten Authentifizierungs-Mechanismen in der IT, da sie unkompliziert sowie portabel sind und bei ihrer Einführung praktisch keine Kosten verursachen. Natürlich ziehen alle Annehmlichkeiten auch gewisse Nachteile nach sich: Einfache Kennwörter können einerseits leicht gestohlen werden und lassen sich durch „Brute-Force“-Angriffe auf Wörterbuchebene recht schnell knacken.

Kryptische Passwörter hingegen geraten in der Regel öfter in Vergessenheit, was eine zusätzliche Belastung für den Help-Desk bedeutet. Um die Supportkosten im Rahmen zu halten gibt es preiswerte Lösungen, die ein selbstständiges Zurücksetzen der Passwörter ermöglichen und diesen Prozess erheblich optimieren.

Ob Passwörter ausreichend Schutz bieten hängt immer davon ab, was geschützt werden soll. Sicherheit ist eine riesige Risiko-/Nutzen-Analyse und die Praktiker müssen Tag für Tag entscheiden, ob die potentiellen Gefahren die Kosten für eine stringentere Sicherheit rechtfertigen. Natürlich haben sich regulatorische Anforderungen geändert, sodass die Kosten für einen Kompromiss bei weitem höher sind als in der Vergangenheit. Also werden neue Anforderungen heute wesentlich öfter genehmigt – eine entsprechende Analyse ist aber immer noch zwingend notwendig.

Weitere Identifizierungs-Mechanismen

Viele Organisationen entscheiden sich dafür, Passwörter zu ersetzen beziehungsweise durch weitere Security-Mechanismen zu ergänzen, um einen ausreichenden Schutz der SSO-Berechtigungsnachweise zu gewährleisten. Einmal-Passwörter mit einer zweistufigen Basis-Authentifizierung sind weit verbreitet, seit die Unterstützung für RSAs SecurID in fast allen einsetzbaren Netzwerk-Zugriffs-Produkten implementiert wurde. Zudem ist der nachträgliche Integrationsaufwand relativ gering. Vor allem Smartcards mit digitalen Zertifikaten werden in Europa gerne eingesetzt.

Auf der anderen Seite ist die Ausstellung, Verwaltung und Erneuerung von Tokens und Smartcards nicht gerade günstig. Außerdem treten weitere anwenderspezifische Schwierigkeiten auf, wenn etwa ein User die Karte verliert und in kritischen Momenten keinen Zugriff zu den unternehmenswichtigen Bereichen oder Systemen hat.

Trotz dieser Probleme sehen Smartcards einer erfolgreichen Zukunft entgegen: Auf der RSA Conference 2006 gab Bill Gates bekannt, dass Microsoft diese Technik – nicht zuletzt dank der Akquisition von Alacris – zum Eckpunkt der Vista-Authorisierungs-Strategie auserkoren hat. Und wenn Microsoft eine Technologie vorantreibt, wird sie in den meisten Fällen auch ein wichtiger Faktor im Markt.

Zunehmende Bedeutung der Biometrie

Eine weitere Option bei den Authentifizierungs-Technologien ist die Biometrie. In letzter Zeit haben solche Lösungen durch die Hersteller einen Schub erfahren, um vorhandene Installationen wie Smartcard und Token zu ersetzen. Dabei setzen die Hersteller auf personengebundene Identifikationsmerkmale wie Fingerabdrücke oder Netzhaut-Muster.

Natürlich sind biometrische Systeme in ihrer Genauigkeit und Auflösung eingeschränkt. Beispielsweise hat ein kleiner Personenkreis nicht erkennbare Fingerabdrücke, sodass Fingerprint-Scanner niemals eine hundertprozentige Effektivität erreichen. Sicherer ist da die Methode der Venenerkennung, die per Infrarot das Muster des Venenverlaufs in der Hand erfasst, und auch mit einer Temperaturmessung kombiniert werden kann. Fujitsu bietet mit Palmsecure eine solche Lösung an.

Desweiteren setzen einige Hersteller auf neue Technologien wie Bio-Passwörter. Hierbei erkennt ein Algorithmus die Gültigkeit des Anmeldeversuchs daran, wie der Anwender das Passwort eintippt. Diese Methode klingt zwar etwas weit hergeholt, funktioniert aber tatsächlich. Um gegenüber den amtierenden Tokens und Smartcards Boden gut zu machen, müssen neue Technologien aber auch bewertet werden, bevor sie in verbreitete Anwendungen und Geräte integriert werden.

Die Mischung machts

Letztendlich verspricht eine Kombination aus allen genannten Technologien den besten Schutz. Ein ganzer Satz von Risiko-Management-Techniken, hier unter dem Begriff „kontextbezogene Authentifizierung“ zusammengefasst, verspricht einen optimal angepassten Sicherheits-Grad. Basierend auf den Policies kann ein Unternehmen entscheiden, für welchen Bereich ein einfaches Passwort ausreicht. Im Falle kritischer Anwendungen und Systeme könnte hingegen eine telefonische, eine auf diversen Fragen aufbauende oder auf einem Einmal-Passwort basierende Authentifizierung in Frage kommen – vielleicht sogar alle erwähnten Methoden.

Kontextbasierte Authentifizierung hat natürlich Auswirkungen auf die Anwender-Praxis. So benötigt der User für die Anmeldung an Computer und Netzwerk eine Level-1-Authentifizierung mit einfachem Kennwort, während im Bereich Finanzen eine Level-2-Erkennung mit Smartcard oder Einmal-Passwort zum Einsatz kommt. Bei extrem sensiblen Informationen könnte eine biometrische Identifizierung den Security-Mix vervollständigen. Genaugenommen ist das nicht mehr SSO, da zwei oder drei Identifizierungen die einfache Legitimation ersetzen – im Ergebnis bedeutet dies allerdings eine erhebliche Steigerung der Sicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2000280 / Authentifizierung)