:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zugangskontrolle und Benutzermanagement Single Sign-on (SSO) statt Passwörter!
Anwender müssen in ihrer täglichen Arbeit immer mehr Accounts zu unterschiedlichen Systemen, Anwendungen und Webapps jonglieren und für jeden Zugang soll sich der Benutzer dann auch noch ein sicheres, komplexes Passwort merken und am besten noch regelmäßig erneuern. Single Sign-on (SSO) hat seit langem das Potenzial viele Probleme zu lösen, aber viel zu wenige Unternehmen nutzen es.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Jeder IT-Nutzer kennt das Problem: Der Zugriff auf Programme, Apps und Accounts wird leider häufig durch Zugangsdaten – sprich Benutzername und Passwort – gesichert und reglementiert. Oft muss man sich den Account erst noch selber erstellen, also einen Benutzernamen wählen und sich ein Passwort dazu ausdenken. Oder man bekommt den Account von der IT gestellt und den Benutzernamen zusammen mit einem ein One-Time-Passwort (OTP) zugeschickt – mit der Aufforderung, sich ein neues, eigenes Passwort auszudenken. Schnell kommen so etliche Zugangsdaten zusammen: Laut einer Centrify Studie von 2014 (pdf) legte fast die Hälfte der Befragten pro Jahr mehr als 50 Accounts für Cloud-Services an.
Da stellt sich die Frage, wie man die Passwörter am besten verwaltet. Mehrere einfache Passwörter kann man sich ja vielleicht noch merken. Aber je nach Unternehmen gibt es Richtlinien für die Passwörter und Policies, die Passwörter regelmäßig zu ändern. Starke Passwörter sollen mindestens 8 oder mehr Zeichen, Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Mitarbeiter sollen zudem für jeden Account ein anderes, derart starkes Passwort nutzen, ihre Passwörter nicht notieren und dann auch noch regelmäßig ändern. Das überfordert viele Anwender und so verstoßen sie gegen das Verbot, Passwörter aufzuschreiben: Der Klassiker ist der Post-It unter der Tastatur, aber auch Excel-Dateien, die dann unverschlüsselt abgelegt werden, sind leider sehr beliebt. Wenn dann Hacker in die IT einbrechen und diese Excel-Dateien findet, ist der Schaden immens. Besser sind da schon Passwort-Safes, in denen Zugangsdaten verschlüsselt abgelegt werden. Anwender müssen sich nur noch das Master-Passwort merken, um Zugriff auf den Safe und damit auf ihre dort abgelegten Benutzerdaten zu erhalten. Erbeutet ein Hacker jedoch das Master-Passwort, sind sogleich alle Accounts gefährdet.
:quality(80)/images.vogel.de/vogelonline/bdb/1240500/1240579/original.jpg "Das eBook „Identity Protection: Schutz für digitale Identitäten“ zeigt Identity-Trends und die Folgen für die Sicherheit und neue Ansätze zum Schutz für digitale Identitäten. (VIT)")
Neues eBook „Identity Protection“
Sichere digitale Identitäten sind Grundlage der Digitalisierung
Immer mehr Accounts, immer größerer Support-Aufwand
Die Realität zeigt, dass die Zahl der Accounts ständig weiter steigt und Anwender häufig Passwörter vergessen. Für Anwender ist das ärgerlich und kostet Zeit: Muss man doch bei der IT die Rücksetzung des Passworts beantragen. Oder man lässt sich vom Dienst selbst ein neues Passwort zuschicken, was dann wiederum meist ein OTP ist. Also wieder ein neues Passwort ausdenken und merken. Oder doch das neue Passwort in die Excel-Liste eintragen, oder aufschreiben, oder ein Ticket eröffnen und bei der IT einen Passwort-Safe beantragen. Bedeutet eine Passwortrücksetzung für den Anwender nur Ärger und Zeitverlust, sieht die unternehmensweite Bilanz schon ganz anders aus. In kleinen Unternehmen mit 500 Mitarbeitern belaufen sich die jährlichen Kosten bereits auf ungefähr 170.000 Euro, weil Passwörter zurückgesetzt werden müssen oder sich Anwender nur mühsam an ihre Passwörter erinnern.
Zum Ärger mit der Verwaltung der Zugangsdaten kommt noch die Sicherheitsproblematik hinzu. Niemand will auf Phishing-Mails hereinfallen. Und niemand verwendet absichtlich ein sehr einfaches Passwort, damit Hacker per Wörterbuch- oder Brute-Force-Attacke besonders leichtes Spiel haben. Auch verwendet man nicht absichtlich dasselbe Passwort für mehrere Accounts, um es Hackern einfach zu machen. Aber gute Absichten allein sind kein wirksamer Schutz. Bei einer Centrify Umfrage auf der it-sa 2016 gaben 17 Prozent der Befragten an, dass sie nur zwischen ein bis fünf Passwörter nutzen. Fast 8 Prozent der Befragten gaben erschreckenderweise sogar zu, lediglich ein Passwort für all ihre Systeme und Online Accounts zu nutzen. Kommen dann noch fehlende Policies hinzu, sind die Sicherheitslücken enorm: zu viele gleiche, zu viele einfache und zu viele gleiche einfache Passwörter „schützen“ die Systeme nicht ausreichend.
Da verwundert es nicht, dass Zugangsdaten die einfachste und am weitesten verbreitete Angriffsmöglichkeit sind. Laut dem Verizon Data Breach Investigation Report 2017 lassen sich 81 Prozent der durch Hacks verursachten Datenschutzverletzungen auf gestohlene bzw. schwache Passwörter zurückführen.
Single Sign-on macht vieles einfacher
Zugangsdaten, die in den Händen der Endanwender liegen, sind also nicht nur unproduktiv und teuer, sondern sie bieten auch keinen guten Schutz. Die Lösung dafür heißt Single Sign-on (SSO), kombiniert mit Multi-Faktor-Authentifizierung (MFA). So müssen Anwender beispielsweise beim Single Sign-on des Centrify Identity Service (CIS) im einfachsten Fall – also innerhalb der Domäne und je nach Policy – nur ihr Gerät entsperren. Außerhalb der Domäne muss man sich, abhängig von den Policies, eventuell noch beim Start des Centrify Portals mit Benutzername und Passwort anmelden. Einmal im Portal eingeloggt, übernimmt ein Service alle weiteren Anmeldeprozesse bei Cloud-, Mobil- und On-Premise-Applikationen. Somit entfällt nicht nur das händische Einloggen bei jedem einzelnen Account, als Anwender wird man komplett von der Passwort-Verwaltung befreit. Und da man als Endanwender die einzelnen Passwörter nun gar nicht mehr kennt, kann man sie weder aufschreiben, verlieren, vergessen, noch bei Phishing-Mails eingeben.
Das SSO-Prinzip erleichtert es der IT auch, neuen Anwendern neue Accounts bei Applikationen zuzuweisen. Startet man als neuer Mitarbeiter in einem Unternehmen, kann man Cloud-, Mobil- und On-Premise-Applikationen sofort nutzen, ohne selbst erst Accounts erstellen zu müssen. Auch wenn Anwender aus einem Unternehmen ausscheiden, macht SSO es der IT-Abteilung leichter: Die Accounts eines ausgeschiedenen Mitarbeiters lassen sich zentral mit wenigen Klicks stilllegen.
Für den Zugriff auf manche Applikationen gelten besonders hohe Sicherheitsregeln, weshalb sie von der IT-Abteilung per MFA gesichert werden. Dann werden ein oder mehrere zusätzliche Faktoren neben dem Passwort für ein Login benötigt. Als Anwender kann man sich bei herkömmlichen MFA-Lösungen oft nur dann anmelden, wenn man sein normales Passwort weiß und Smartcards oder Tokens dabeihat oder komplizierte Einmalpasswörter eingibt. Prinzipiell ist MFA eine gute Sache, verhindert sie doch, dass Hacker nur mit Benutzername und Passwort Zugriff auf Systeme bekommen.
Aber für Anwender ist MFA erst dann keine Produktivitätseinschränkung mehr, wenn MFA vom Anwender her gedacht wird. Herkömmliche MFA-Lösungen versagen hier leider oft: Smartcards oder Tokens kann man vergessen, das Eingeben komplizierter Einmalpasswörter kostet Zeit. Zeitgemäße MFA-Lösungen und die dazugehörigen gut integrierten Apps funktionieren eingebundene mobile Endgeräte zu Authentifizierungsinstrumenten um. Ein Tap auf einen Button auf Smartwatch- oder Smartphone-Display genügt zum Einloggen bzw. bestätigen – Smartwatch oder Smartphone fungieren hier als zweiter Faktor. Innovative MFA-Lösungen realisiert so eine gute Balance zwischen Sicherheit und Komfort.
Mit Derived Credentials können Anwender auch auf per Smartcard geschützte Applikationen zugreifen. Anwender müssen dazu erst beispielsweise per Self Service in einem Portal die Daten ihrer Smartcard verschlüsselt auf ihre mobilen Endgeräte spielen und speichern. Will man nun auf eine IT-Ressource zugreifen, für die eine Authentifizierung per Smartcard erforderlich ist, muss man jetzt nicht mehr die physische Smartcard in ein Lesegerät einführen. Stattdessen fragt der Service die so genannten Derived Credentials vom mobilen Endgerät ab, liefert sie bei der IT-Ressource ab und vermittelt dann den Zugriff. Somit sind zusätzliche Smartcard-Lesegeräte überflüssig.
Das Problem mit der Multi-Faktor-Authentifizierung
Auch wenn MFA ähnlich anwenderfreundlich wie oben skizziert funktioniert, ist sie für Anwender immer noch relativ störend, wenn sie nicht adaptiv ist. Adaptiv bedeutet, dass MFA nur dann erforderlich ist, wenn ein Sicherheitsrisiko besteht. Leider ist bei vielen Lösungen MFA entweder immer an oder immer aus. Denn bisher wurde bei der Erstellung von Sicherheitsrichtlinien für Mitarbeiter, Auftragsnehmer, Partner und privilegierte Anwender typischerweise die Sicherheit über die Benutzererfahrung gestellt. Policies für Endgeräte, Apps, Seiten, Services und Ressourcen mussten zudem händisch erstellt werden und waren dann vergleichsweise starr.
Um das zu lösen, bietet es sich an, dass eine MFA-Lösung maschinelles Lernen zur Risikoeinschätzung nutzt. Die Risikoeinschätzung basiert auf dem (sich ständig verändernden) Anwenderverhalten. Anhand dieser Risikoeinschätzungen wird die passende Reaktion auf eine Anwenderaktivität durchgeführt. Dabei entscheidet die Lösung in Echtzeit, ob der Zugriff gewährt wird, ob zu einer besseren Authentifizierung per MFA aufgefordert werden soll oder ob der Zugriff komplett geblockt wird.
Informationen zu Ort, Uhrzeit und Gerät und mehr bilden die Basis für die Risikoeinschätzung. Für Anwender bedeutet das, dass sie eine reibungslose Benutzererfahrung per SSO ohne MFA genießen können, wenn sie ein geringes Risiko darstellen. Wenn man also als Anwender im Firmenstandort zur gewohnten Zeit mit seinem üblichen Gerät arbeitet und seine üblichen Applikationen nutzt, ist keine MFA mehr nötig. Vertriebsmitarbeiter, die häufig in Deutschland unterwegs sind, würden dagegen nur dann zur MFA aufgefordert werden, wenn sie sich beispielsweise aus Frankreich anmelden. Oder von einem anderen Gerät aus. Adaptive MFA bedeutet für Anwender unkomplizierten Zugriff und gesteigerte Produktivität bei gleichzeitig hoher Sicherheit.
Die Arbeit verändert sich durch SSO und adaptive MFA aber nicht nur für den einzelnen Anwender. Auch die IT-Abteilung wird durch SSO und ein auf maschinellem Lernen basierenden System unterstützt. Policies für Endgeräte, Apps, Seiten, Services und Ressourcen müssen nicht mehr händisch erstellt werden. Was machen die Kollegen aus der IT-Abteilung dann eigentlich, wenn sie nicht mehr ständig Passwörter zurücksetzen oder händisch Policies erstellen müssen? Den Führungskräften fällt da sicher was ein: Bestimmt können dann endlich Projekte verstärkt vorangetrieben werden, von denen die Organisation als Ganzes profitiert und die neue Einnahmen generieren.
Über den Autor: Michael Neumayr ist Regional Sales Manager Zentraleuropa bei Centrify.
Artikelfiles und Artikellinks
(ID:44815213)
:quality(80)/p7i.vogel.de/wcms/e1/78/e178d402462a7d88d95167ef187bed61/0111049656.jpeg "Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")