Sicherheitslücke bei RSA

Lernen Security-Anbieter aus Diebstahl geheimer SecurID-Token-Daten?

Seite: 2/2

Firmen zum Thema

Flexible Authentifizierung bringt Alternativen ins Spiel

Die Antwort lautet flexible, austauschbare Authentifizierung, im Englischen auch als „versatile authentication“ bezeichnet. Die Idee dahinter ist, dass man verschiedene Authentifizierungsmechanismen wahlweise nutzen kann und sie auch in unterschiedlicher Weise kombinierbar sind. Damit kann man beispielsweise eine zusätzliche Authentifizierung anfordern, wenn auf besonders kritische Daten zugegriffen wird – oder wenn sich die Risikobewertung eines bestimmten Authentifizierungsmechanismus verändert hat.

Durch die Unterstützung von Soft-Tokens, Out-of-Band-Authentifizierung, Hardware-Tokens und anderen Verfahren gibt es bei guten Lösungen in diesem Bereich auch eine ausreichende Auswahl an Optionen. So könnte man beispielsweise einen zusätzlichen Faktor oder eine zusätzliche Information für die Authentifizierung schnell einbinden, auch ohne den Logistik-Aufwand von Hardware-Tokens.

Diese Flexibilität erlaubt eine schnellere Reaktion auf Situationen wie die eingangs beschriebene, sie ermöglicht aber auch eine differenzierte Authentifizierung. So könnte man beispielsweise bei Zugriffen auf besonders sensitive Informationen eine weitere Authentifizierung verlangen oder bei unterschiedliche Mechanismen für verschiedene Anwender-Gruppen nutzen. Hardware-Token eignen sich beispielsweise deutlich besser für interne Mitarbeiter als für Kunden, schon wegen der Beschaffungs- und Logistikkosten.

Von Fall zu Fall abwägen

Die Diskussion darüber, wie unsicher oder sicher ein Mechanismus ist, ist dann zwar müßig, steht aber nicht im Mittelpunkt. Auch bei der RSA SecurID geht es ja nun in erster Linie um die Frage einer Risikobewertung.

Mit den genannten flexiblen, austauschbaren Authentifizierungsmechanismen schafft man die Voraussetzung, flexibler entscheiden zu können, wie viele und wie starke Authentifizierungsmechanismen in welcher Kombination für welche Benutzergruppen und welche Zugriffe benötigt werden. Damit kann man besser reagieren.

Maximal starke Authentifizierung für jeden ist nun einmal weder praktikabel und noch bezahlbar – und selbst dann bleibt ein Restrisiko. Daher gilt es nun, die richtige strategische Ausrichtung für die Authentifizierung zu schaffen, um zumindest beim nächsten Vorfall (der bestimmt kommt, für irgendeinen Anbieter – vielleicht auch einen von denen, die nun etwas hämisch auf RSA Security zeigen) schnell und flexibel reagieren zu können.

(ID:2050718)