:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Alternativen zum Passwort Passwörter, lebende Fossilien der IT
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Sie gelten oft als unsicher, nervig und sind immer wieder Thema bei Sicherheitslecks: Passwörter. Dennoch haben die meisten von uns noch immer täglich damit zu tun. Das könnte sich schon bald ändern, glaubt Sasa Petrovic, Digital Strategy Director von Citrix. Er stellt Alternativen zum Passwort-Chaos vor und geht auf die Herausforderungen von zeitgemäßem Identity Management ein.
Fossilien sind die Zeugnisse längst vergangener Zeiten und begegnen uns heute meist in Museen, beispielsweise in Form von spektakulären Dinosaurierskeletten. Diese Tiere werden uns in der realen Welt nicht über den Weg laufen, in der IT-Welt haben wir aber immer noch täglich mit digitalen Dinosauriern zu tun, den Passwörtern. Diese stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig. Während andere Technologien kamen und gingen blieben sie immer da – zumindest bis heute. Vieles spricht aber dafür, dass nun auch auf dem Gebiet der Authentifizierung mehr Evolution stattfindet.
Moderne Sicherheitsarchitektur statt Passwort-Dschungel
In der Erdgeschichte gibt es äußere Ereignisse, die den Fortgang der Evolution einschneidend prägen. Am bekanntesten ist sicherlich der Asteroid, der vor 66 Millionen Jahren sehr wahrscheinlich das Ende der Dinosaurier besiegelte und so letztlich den Säugetieren den Weg ebnete. Die Verschiebungen in der Arbeitswelt als Reaktion auf die Corona-Pandemie könnten eine vergleichbare Zäsur für die IT bedeuten. Jetzt wird endgültig deutlich, dass alte Netzwerk- und Sicherheitskonzepte ausgedient haben. Bisher bot die abgeschlossene Welt von Unternehmensnetzwerken noch einen gewissen Schutz. Auf der anderen Seite war sie ausgesprochen unflexibel. Heute, wo Mitarbeiter von überall arbeiten können, müssen sie sich auch von potenziell unsicheren Heim- oder sogar öffentliche Netzwerken aus einloggen.
Vor diesem Hintergrund erleben Zero-Trust-Ansätze einen wahren Boom. Letztlich heißt Zero Trust nichts anders, als dass man die alte Unterscheidung zwischen sicher und unsicher aufgibt. Stattdessen gilt nun alles und jeder im Netzwerk als potenziell unsicher. Das heißt aber wiederum, dass der Bedarf an Authentifizierung immens wächst: Jeder Netzwerkteilnehmer muss sich praktisch ständig irgendwo authentifizieren. Schon deshalb liegt es auf der Hand, dass es Alternativen zum klassischen Log-in mit Nutzername und Passwort benötigt.
Identity Access Management (IAM) - das Zukunftskonzept
IAM bezieht sich grundsätzlich auf den Prozess der Identifizierung, Authentifizierung und Autorisierung von Benutzerprofilen mithilfe eindeutiger digitaler Identitäten. Wie wichtig dieser Prozess ist, zeigt sich schon daran, dass bei 61 Prozent der jüngsten Datendiebstähle irgendeine Form von Anmeldedaten verwendet wurden. Vor allem, wenn sich Unternehmen nur auf einen einstufigen Prozess aus Passwort und Nutzername verlassen, haben Angreifer oft leichtes Spiel. Einerseits zeigen Statistiken, dass für Passwörter leider immer noch leicht zu erratende Buchstabenkombinationen gewählt werden, andererseits sind Mitarbeiter gerade im Home Office anfälliger für Phishing und Social Engineering.
Daher vereinen moderne Sicherheitskonzepte Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA). Das Prinzip dahinter lautet: seltenere, aber dafür sichere Überprüfung der Zugangsdaten. Die digitale Identität eines Nutzers wird anhand seiner Credentials und eines weiteren Faktors verifiziert: beispielsweise eine Mobilfunknummer. Kriminelle müssten nun für einen Identitätsdiebstahl nicht nur die Zugangsdaten kennen, sondern müssten auch über das Smartphone des Opfers verfügen. Aufgrund dieser hohen Hürde gilt das Verfahren als sehr sicher und darauf aufbauend können weitere Identifikationen automatisiert mittels elektronischer Token vorgenommen werden.
Die heute weit verbreitete Version von SSO setzt immer noch auf Passwörter, die nun allerdings wesentlich seltener eingegeben werden müssen. In Zukunft könnte das Passwort aber auch hier obsolet werden, wenn stattdessen auf einen einzelnen, aber sehr sicheren Faktor gesetzt wird: beispielsweise biometrische Erkennungsmerkmale, wie Fingerabdruck oder die eigene Stimme. Eine Alternative wäre die Kombination von mehreren Faktoren, von denen allerdings keiner ein Passwort ist, also beispielsweise eine Mobilfunknummer und ein Hardware-Token.
Der Teufel steckt im Detail
Das Konzept hinter Identity Access Management, das auf SSO und MFA basiert, klingt sehr einleuchtend, in der Praxis kann die Verwaltung von Mitarbeiteridentitäten im Unternehmen aber schnell zu einer Mammutaufgabe werden. Ein weiteres Grundprinzip von Zero Trust ist der Least-Privilege-Ansatz, der besagt, dass Mitarbeiter immer nur die Rechte innehaben sollten, die sie wirklich zur Erfüllung ihrer Aufgaben benötigen. Das heißt, dass die Rechtevergabe sehr granular erfolgen muss und sich auch über die Zeit ändern kann – etwa, wenn Mitarbeiter befördert werden. Vom Umfang der gewährten Rechte können wiederum auch die Anforderungen an die Authentifikation abhängen. Bestimmte Rechte können auch kontextabhängig sein: beispielsweise, wenn eine Person von einem privaten oder sonstigen, nicht durch die Firma verwaltetem Gerät arbeitet. Auch Dienstreisen können Auswirkungen auf Zugriffsrechte haben, wenn sich Mitarbeiter aus dem Ausland einloggen. Außerdem sollten Unternehmen das Nutzerverhalten überwachen, um bei ungewöhnlichem Verhalten schnell Rechte entziehen zu können. Derartige temporäre Einschränkungen müssen natürlich auch wieder rückgängig gemacht werden können. Das alles zusammen kann sich in einem erheblichen Verwaltungsaufwand für IT-Teams niederschlagen.
Unternehmen sollten eine umfassende Secure-Access-Lösung implementieren, die neben IAM auch Privileged Access Management (PAM) umfasst. Durch die Kombination dieser beiden Ansätze lassen sich die Herausforderungen der modernen Zugriffsverwaltung am besten lösen. Doch was besagt PAM genau? PAM ist eine Unterkategorie von IAM, die sich mit bestimmten Benutzergruppen mit demselben Profiltyp befasst. Dies kann sich auf Profile von Mitarbeitern in HR-Teams, Rechtsteams oder IT-Teams beziehen, bei denen die Benutzer ein erhöhtes Maß an Zugriff benötigen, um ihre Arbeit effektiv zu erledigen. Mit PAM können Unternehmen zudem die Aktionen der Benutzer und den Zugriff auf sensible Informationen einschränken und kontrollieren. PAM-Lösungen arbeiten oft mit anderen Lösungen zusammen und fügen eine zusätzliche Sicherheitsebene zu den bestehenden Cybersicherheitsrichtlinien hinzu. Sicherheitsinformationen, auf die über PAM-Systeme zugegriffen wird, werden in der Regel von den allgemeinen Systemen getrennt verwaltet und können im Notfall schnell gesichert werden, ohne dass der Zugriff auf den allgemeinen Technologie-Stack beeinträchtigt wird.
Fazit
Wir brauchen einen Evolutionsschub in der Authentifizierung, der Alternativen zum Passwort schafft, sodass dieses bald wirklich zu den technologischen Fossilien zählen kann. Lösungen, die passwortbasiertes SSO mit einem weiteren Faktor vereinen, sind heute noch weit verbreiteter Standard, aber wir können davon ausgehen, dass sich in Zukunft Konzepte durchsetzen werden, die ganz ohne Passwörter auskommen werden.
Über den Autor: Saša Petrović ist Digital Strategy Director bei Citrix.
(ID:48327233)
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")