Suchen

Multi-Faktor-Authentifizierung im Unternehmen Remote-Zugriff richtig absichern

Autor / Redakteur: Claus Rosendal / Stephan Augsten

Cyber-Kriminelle finden immer neue Wege, die Token-basierte Zwei-Faktor-Authentifizierung auszuhebeln. Entsprechend abgesicherte Remote-Access-Lösungen stellen somit einen möglichen Angriffspunkt dar. Dieser Beitrag geht auf die Hacking-Methoden und die sichere Multi-Faktor-Authentifizierung in Echtzeit ein.

Als täglicher Begleiter ist das Smartphone als Schlüssel für den Remote-Zugriff prädestiniert.
Als täglicher Begleiter ist das Smartphone als Schlüssel für den Remote-Zugriff prädestiniert.
(Bild: © Yuri Bizgaimer - Fotolia)

Der Remote Access gehört in vielen Unternehmen standardmäßig im Geschäftsalltag, um einen Zugriff auf Daten und ganze IT-Systeme zu ermöglichen. Vor diesem Hintergrund ist die Nutzung von Diensten über das Internet in den vergangenen zehn Jahren sprunghaft angestiegen.

Mit der Entwicklung der allgegenwärtigen Nutzung eines Online-Zugangs im Tagesgeschäft hat die Bedrohung durch Identitätsdiebstahl mit unglaublicher Geschwindigkeit und Komplexität zugenommen. Eine Befragung von mehr als 500 Unternehmen durch Ponemon Research ergab, dass 90 Prozent in den letzten zwölf Monaten erfolgreich gehackt werden konnten.

Daran zeigt sich der Bedarf in großen Unternehmen, strenge und effektive Sicherheitsmethoden als Mittel zum Schutz gegen Sicherheitslücken anzuwenden. Im Folgenden wollen wir betrachten, wie sich die Absicherung gegen unberechtigte Zugriffe in den vergangenen Jahren entwickelt hat.

Grundlegende des Hacking-Methoden

Die Bedrohungen und ihre Komplexität haben sich ebenso weiterentwickelt wie die Remote Access-Industrie. In der Anfangszeit der Nutzung von Online-Services waren Benutzernamen und Passwörter in der Regel die einzige Form der Authentifizierung. Um diese zu entschlüsseln, verwendeten Hacker entweder Brute-Force-Attacken oder Wörterbuchangriffe

Auf diesem Wege versuchten sie, die Zugangsdaten zu erraten und die Identität eines Benutzers anzunehmen. Ein Computer oder Hacker probierte so lange verschiedene Passwörter aus, bis der Zugriff gewährt wurde. Als Reaktion darauf wurden die Systeme darauf getrimmt, einen Account nach einigen Fehlversuchen zu sperren.

Die Hacker entwickelten daraufhin Techniken wie Keylogger. Heute zählen Pharming, Phishing oder eine Kombination aus beiden zu den meistverbreiteten Angriffen. Diese Begriffe beschreiben Methoden, mit denen die Benutzer zu einer gefälschten Website geleitet werden, die aussieht wie das Original.

Letztlich wird der Benutzer also dazu verleitet, seinen Benutzernamen und das zugehörige Passwort unwissentlich preiszugeben. Einige der fortschrittlichsten Angriffe schicken dabei gestohlene Informationen über ein kleines Instant-Messaging-Programm in Echtzeit an die Hacker.

Der Token als Sicherheitsrisiko

Token-Verfahren zur Zwei-Faktor-Authentifizierung lassen sich dementsprechend aushebeln. Beispielsweise erfasst die Malware Zeus die Anmeldeinformationen eines Benutzers – selbst fortschrittliche, zeitlich begrenzte Token-Codes – und sendet die Informationen an den Hacker.

Um weiter Öl ins Feuer zu gießen, sind in den letzten Jahren neuere und komplexere Methoden entstanden, um Benutzerinteraktionen mit Online-Services abzufangen. Dazu gehören unter anderem die Methoden Man-in-the-Browser, Man-in-the-Middle und Session Hijacking.

Selbst die sichersten traditionellen Geräte mit Token zur Zwei-Faktor-Authentifizierung können die Identität eines Nutzers nicht mehr gegen diese neuen und heimtückischeren Bedrohungen schützen. Dennoch sind sich viele Unternehmen nicht darüber im Klaren, dass die traditionellen Token kompromittiert werden können und dass sie damit ein signifikantes Sicherheitsrisiko darstellen.

Das richtige Maß an Zugriffsschutz

Die sich heute stets entwickelnde Bedrohungsumgebung führt zu einem ständigen Kampf, in dem die Unternehmen stets das richtige Maß an Investitionen in Schutz für das Unternehmen evaluieren müssen. Oft ist der bestmögliche Schutz für viele Unternehmen nicht machbar, sodass Kompromisse eingegangen werden müssen.

Um sich vor Identitätsdiebstahl innerhalb der Budgetvorgaben zu schützen, haben Unternehmen verschiedene Methoden erprobt. Hierzu zählen etwa Zertifikate und biometrische Scans, Ausweise und Hardware- sowie Software-Token, wobei Letztere die dominierende Technologie darstellen.

Zertifikate werden häufig als die ideale Möglichkeit zum Verbinden von Geräten mit einer als sicher zu erkennenden Verbindung gesehen. Das zentrale Problem sind die Bereitstellung und die Verwaltung dieser Zertifikate und die Risiken, wenn diese ohne das Wissen des Benutzers kopiert werden. Außerdem kann die Zertifizierungsstelle ebenfalls kompromittiert werden.

Biometrische Scans hatten ebenfalls großen Erfolg und viele sehen sie als eine sehr sichere Alternative an. Allerdings hat sich die Annahme, dass Sie stets einen funktionierenden Finger-, oder Irisscanner zur Hand haben, als nicht praktikabel erwiesen, und der Scan selbst führt zur Erstellung einer digitalen Datei, die wiederum kompromittiert werden kann.

Eine weitere Alternative ist der Ausweis per SmartCard, die in einer Zeit von „Bring your own device“ („BYOD“) ebenfalls nicht praktikabel ist, denn die Anwender fordern den Zugriff auf eine ständig wechselnde Vielzahl von Geräten. Ein neuer Ansatz ist also erforderlich.

Unterschiedliche Ansätze und Ergebnisse

Um auf die heutigen modernen Bedrohungen zu reagieren und dabei den Bedarf des Benutzers hinsichtlich einfacher und flexibler Lösungen zu decken, haben viele Unternehmen bereits mit Multi-Faktor-Authentifizierung begonnen, die auf mobilen Netzwerken basiert.

Die wichtigste Triebfeder für die Einführung der neuen Art der Multi-Faktor -Authentifizierung hat dabei zwei Aspekte: Zum einen der Bedarf an verstärkter Sicherheit, die neuartigen Bedrohungen vorgreift, und zum anderen die Bereitstellung dieses hohen Maßes an Sicherheit auf eine einfache und kostengünstige Weise. Das Gerät, das für den Authentifizierungsprozess verwendet wird, muss zusätzlich in Echtzeit mit dem Netzwerk verbunden und für den betreffenden Nutzer einzigartig sein.

Wenn die Authentifizierungsmaschine jedoch ein reguläres Token per SMS sendet, kann der Code durch die heutigen Malware-Bedrohungen einfach gestohlen werden. Deshalb müssen sich Organisationen um Strategien bemühen, die effizient in einem Nachrichten-basierten Umfeld funktionieren, um sich erfolgreich gegen die modernen Bedrohungen zu schützen. Zentrale Elemente können enthalten:

Verstärkte Sicherheit: Um den höchstmöglichen Grad an Sicherheit zu gewährleisten, muss das One Time Password (OTP) in Echtzeit generiert werden und spezifisch für diese besondere Sitzung (gesperrt) sein, im Gegensatz zu Tokens, die Seed-Dateien verwenden, in denen die Zugangscodes gespeichert sind.

Einfache Infrastruktur: Zur Minimierung der Komplexität der Infrastruktur sollte die Lösung bei verschiedenen Log-in-Szenarien andocken wie z.B. Citrix, VMware, Cisco, Microsoft, SSL-VPNs, IPsec-VPNs und Web Logins. Andere Möglichkeiten zur Minimierung einer Überbelastung der Infrastruktur beinhalten dabei die Bereitstellung dieser Log-ins in einer integrierten und auf Sitzungen basierenden Architektur.

Mehrschichtige Abwehr: Zur Unterstützung der Zustellung der Codes in Echtzeit benötigt die Organisation eine robuste und doppelte Server-Architektur, kombiniert mit der Unterstützung eines multiplen Sendemechanismus, der unabhängig von der geografischen Lage funktioniert.

Einfache Verwaltung: Die Lösung sollte möglichst einfach innerhalb der bestehenden Management-Infrastruktur verwaltet werden können.

Standortbewusst: Um die Sicherheit zu maximieren, sollte das Unternehmen kontextbezogene Informationen - wie Geo-Location und Verhaltensmuster - nutzen, um den den Benutzer effektiv zu authentifizieren.

Blick in die Zukunft

Der Diebstahl von Online-Identitäten hat innerhalb kurzer Zeit die herkömmlichen Abwehrmethoden von heute überwunden und zur Entwicklung einer außerordentlich profitablen Industrie auf dem Schwarzmarkt geführt.

Der Schutz gegen diese neue Generation von Bedrohungen erfordert eine neue Generation von Lösungen: die Multi-Faktor-Authentifizierung. Durch den Versand eines Codes an das Mobiltelefon des Nutzers, der sitzungs- und standortspezifisch ist, können Lösungen wie diese die verschärften, flexiblen Authentifizierungen liefern, die Unternehmen zum Schutz ihrer Mitarbeiter, Benutzer und Daten benötigen.

Über den Autor

Claus Rosendal ist Gründungsmitglied von SMS PASSCODE A/S. Er ist in der Rolle des Chief Technology Officer für die Produktstrategie und -entwicklung verantwortlich. Vor der Gründung von SMS PASSCODE A/S war er einer der Mitgründer von Conecto A/S, einem der führenden Beratungsunternehmen im Bereich Mobiles Computing und IT-Security-Lösungen mit dem besonderen Schwerpunkt auf Citrix, Blackberry und anderen fortschrittlichen mobilen Endgeräten.

Vor der Gründung von Conecto A/S leitete Rosendal sein eigenes IT-Consulting-Unternehmen, in dem er für mehrere erfolgreiche ERP-Implementierungen in verschiedenen Firmen (C5 / SAP) verantwortlich war. Der Autor hat einen Master-Abschluss in Computer Science der Universität von Kopenhagen.

(ID:42491282)