:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fallstudie zum SafeNet Authentication Manager Sicherer Remote-Zugriff für CANCOM-Mitarbeiter
Durch Übernahmen hat sich das Systemhaus CANCOM stark vergrößert. Um weiterhin einen sicheren Zugriff auf die Systeme gewährleisten zu können, benötigte das Unternehmen eine übergreifende Authentifizierungsplattform. Diese Fallstudie beleuchtet den neuen Remote-Access-Ansatz.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
CANCOM entschied sich 2010, die bisherige Strategie für den Fernzugriff neu aufzustellen. Durch zahlreiche Übernahmen waren innerhalb der Unternehmensgruppe unterschiedliche Remote-Access-Lösungen für verschiedene Einsatzbereiche und Mitarbeiter in Betrieb. Dadurch entstanden unnötige Mehrkosten und ein administrativer Overhead.
Aufgrund dessen begann CANCOM damit, die Systeme auf einer einheitlichen Plattform zu konsolidieren. Dazu implementierte das Systemhaus die CANCOM Application Hosting Plattform (AHP) Private Cloud und ein SSL-VPN (Virtual Private Network) für den Fernzugriff. Damit wurde eine einheitliche Lösung für alle Mitarbeiter geschaffen, die von außen auf das Unternehmensnetz zugreifen müssen.
Die CANCOM AHP Private Cloud wurde verschiedenen Zertifizierungsprozessen nach ISO 9001-2008 unterzogen. Dazu mussten alle Fernzugriffe auf das System mit einer starken Authentisierung abgesichert sein. Zusätzlich unterliegt das Unternehmen als Aktiengesellschaft zahlreichen gesetzlichen Vorgaben, die zwingend eine abgesicherte IT erfordern.
Beim Design und bei der Spezifikation des neuen Systems mussten einige besondere Anforderungen von CANCOM berücksichtigt werden:
Flexibilität: Eine umfassende und flexible Back-End-Lösung zur Authentisierung, die sowohl eine breite Palette an Authentisierungsmethoden und Sicherheitsanwendungen unterstützt als auch mit dem Sicherheitsbedarf des Unternehmens mitwachsen kann.
Benutzerfreundlichkeit: Die Mitarbeiter sollen je nach ihrer Rolle im Unternehmen und ihren Arbeitsgewohnheiten über unterschiedliche Authentisierungsmethoden verfügen können.
Mobile Authentication: Starke Authentisierung soll auch auf Smartphones verfügbar sein, mit besonderer Unterstützung für Blackberry, iPhone und Android.
TCO: Eine möglichst schlanke Authentisierung durch Einbindung der Benutzerdaten des bei CANCOM vorhandenen Active Directories.
Sicherheit: Zum einen sollte sich die Authentisierungslösung nahtlos auf die Sicherheitsprodukte von Drittanbietern wie Citrix, OWA oder Fortinet erweitern lassen. Außerdem war gewünscht, dass sich robuste Mechanismen wie die zertifikatsbasierte Authentisierung für privilegierte Benutzer in das Authentisierungs-Back-End integrieren lassen.
CANCOM legte besonders Wert auf die Kompatibilität zu den eingesetzten Drittanbieterlösungen, die Integration in die MS-Struktur sowie die Unterstützung von iPhones und iPads. Außerdem sollte eine Zwei-Faktor-Authentisierung für die Cloud eingerichtet werden, die CANCOM AHP Private Cloud, um sich vor unbefugten Zugriffen zu schützen.
Auswahl und Integration der Lösung
Um die geschäftlichen Anforderungen ebenso wie die Sicherheitsziele bei der Implementierung einer einheitlichen Plattform für den sicheren Zugriff zu erfüllen, entschied sich CANCOM für den Authentication Manager sowie eine Reihe von Authentisierungsgeräten von SafeNet.
Beim SafeNet Authentication Manager handelt es sich um eine Lösung, die verschiedene Sicherheitslösungen sowie unterschiedliche Authentikatoren und Authentisierungsmethoden unterstützt. Dazu zählen unter anderem die mobile Authentisierung, zertifikatsbasierte Authentisierung oder Einmalpasswörter (OTP, One-Time Passwords).
Die technische Integration
Die AD-Verbindung wurde per Installation im ADAM-Mode integriert, um das produktive Schema nicht erweitern zu müssen. Die Anbindung an Microsoft CA (Certificate Authority) und die OTP-Authentisierung erfolgen über Radius. Dafür ist ein durchgängiges Authentisierungskonzept erforderlich, das anhand von Gruppenzugehörigkeiten über Benutzer und Berechtigungen entscheidet.
Für die Anmeldung von extern wird ein Einmalpasswort wie der eToken Pass und der Mobile PASS als iOS App eingesetzt. Für die zertifikatsbasierte Authentisierung in der Pre-Boot-Phase bei Laptop-Benutzern mit verschlüsselten Festplatten werden USB-Token eingesetzt.
Die Sicherheitslösungen von Drittanbietern wie Citrix und OWA unterstützen die Authentisierung über das Standard-Radius-Protokoll, so dass eine reibungslose Anbindung gewährleistet wird. Die zusätzlichen Authentisierungsmethoden wie die zertifikatsbasierte Authentisierung für privilegierte Nutzer wurden durch den Einsatz von Hybridtoken wie eToken NG-OTP realisiert, die sowohl Zertifikate als auch OTP unterstützen.
Mögliche Fallstricke
Bei der Migration muss gewährleistet sein, dass die geheimen PINs vertraulich übermittelt werden. Die SafeNet-Landschaft sollte auf jeden Fall redundant aufgebaut werden, da bei einem Ausfall keine neue Authentisierung mehr möglich ist.
Die umfangreichen Funktionen und Möglichkeiten des Authentication Manager bergen auch die Gefahr, bei der Konfiguration den Überblick zu verlieren. Hilfreich ist es daher, die Konfiguration gerade zu Beginn der Nutzung flach zu halten, um sie im Bedarfsfall zu erweitern.
Flexibilität
Dank der Unterstützung zahlreicher Formfaktoren, verschiedener Authentisierungsmethoden, nativer Active-Directory-Integration und ausgereifter Möglichkeiten zum Authentication Lifecycle Management ermöglichte es der SafeNet Authentication Manager, alle Operationen für den sicheren Zugriff auf einen einzigen Authentisierungs-Server zu konsolidieren.
Die Integration mit dem zentralen Microsoft Active Directory von CANCOM sowie der Einsatz standardisierter Komponenten wie Microsoft Radius-Server (Network Policy Server NPS) machten zusätzliche Verzeichnisdienste oder andere proprietäre Systeme überflüssig. Mit dem SafeNet Authentication Manager kann das Unternehmen alle Token-Funktionen sowie Client-Lösungen über eine einzige Management-Konsole ausrollen und verwalten.
CANCOM hat verschiedene Authentisierungsmethoden für unterschiedliche Benutzergruppen eingeführ. Zudem verfügt CANCOM mit dem SafeNet Authentication Manager über die Möglichkeit, ohne Änderungen am Back-End-Server bei Bedarf weitere Formfaktoren oder Technologien wie etwa die zertifikatsbasierte Authentisierung zu implementieren.
Benutzerfreundlichkeit
Basierend auf der Rolle eines Mitarbeiters im Unternehmen und seiner Arbeitsgewohnheiten kann CANCOM nun verschiedene Authentisierungsmethoden anbieten. Dazu gehören auch mobile Authentikatoren, die einfach auf dem Smartphone des Mitarbeiters installiert werden.
Mobile Authentication
Einer der ausschlaggebenden Gründe für die Einführung der SafeNet-Lösung war die Unterstützung einer Strategie, bei der die unterschiedlichen Komponenten beliebig kombinierbar sind. So ist CANCOM in der Lage, die MobilePASS Software-Authentisierung auf iPhones, Android, Blackberry und anderen Smartphones parallel zu den Hardware-Token auszurollen.
Besonders MobilePASS für iPhone und Android fand innerhalb des heterogenen Benutzerumfelds von CANCOM großen Anklang, denn es ist keine zusätzliche Hardware nötig und gewährleistet den sicheren Zugriff auf die CANCOM AHP Private Cloud Services. Der Anwender kann sein Einmalpasswort bequem per App auf dem Smartphone abfragen.
Für die Anwender ist der Migrationsprozess besonders zu beachten. Ohne den Token und Einmalpasswort kann sich der Nutzer nicht mehr authentisieren und somit auch nicht mehr an der Cloud-Lösung anmelden.
Die Anwender müssen auf den neuen Login-Prozess vorbereitet werden. Um sich abzusichern, wenn der Token gestohlen wird oder verloren geht, müssen sie sich im Selfservice-Portal registrieren und Sicherheitsfragen eingeben, um den Token entsprechend sperren und freischalten zu können.
Über den Autor
(ID:36332550)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1903000/1903082/original.jpg "Auf Watchguards einheitlicher Cloud-Plattform sollen sich sämtliche Security-Tasks einfach überblicken lassen. (Hien Phung - stock.adobe.com)")