Anwender-Akzeptanz für IT-Sicherheit

So ist IT-Sicherheit plötzlich cool

| Autor / Redakteur: Christoph Stoica und Malte Kahrs * / Peter Schmitz

Sicherheitstechnologien von gestern sind undifferenziert und kaum benutzerorientiert; etwa wie ein Scheibenwischer, der nur zwei Zustände kennt: es regnet nicht, oder es schüttet aus Eimern.
Sicherheitstechnologien von gestern sind undifferenziert und kaum benutzerorientiert; etwa wie ein Scheibenwischer, der nur zwei Zustände kennt: es regnet nicht, oder es schüttet aus Eimern. (Bild: Pixabay / CC0)

Man kennt den Stoßseufzer: „Schon wieder das Passwort ändern?!“ Lange waren IT-Sicherheitsrichtlinien bei den Anwendern nicht gerade beliebt. In vielen Unternehmen ist das bis heute so. Kein Wunder. Die Sicherheitstechnologien von gestern sind furchtbar undifferenziert und in keiner Weise benutzerorientiert – ein bisschen wie ein manueller Scheibenwischer, der nur zwei Zustände kennt: es regnet nicht, oder es schüttet aus Eimern.

Am Beispiel der Zugriffskontrolle über eine Kombination aus Benutzername und Passwort, die nach wie vor in der Mehrzahl der Unternehmen Standard ist, lässt sich das sehr gut nachvollziehen. Es gibt hier oft nur ein Passwort und nur eine Passwortstärke, die das Unternehmen vorgibt. Dabei muss sich die IT-Abteilung entscheiden: wird es in unserem Unternehmen niemals regnen, oder wird es immer aus Eimern schütten?

Wenig überraschend empfinden die meisten Anwender diese mangelnde Flexibilität als realitätsfremd. Warum gelten für den Zugriff auf das Mitarbeitermagazin die gleichen Sicherheitsanforderungen wie beim Zugriff auf die eigene Gehaltsabrechnung? Warum muss ich an meinem Arbeitsplatz die exakt gleiche Sicherheitsprozedur durchlaufen wie in irgendeinem öffentlichen WLAN? Das erschreckend niedrige Sicherheitsniveau in vielen Unternehmen – wie in einer kürzlich von Ponemon in Zusammenarbeit mit Micro Focus erstellten Studie erneut belegt – darf keinesfalls überraschen: Unternehmen tendieren dazu, der Benutzerzufriedenheit Vorrang zu geben, und gehen dafür viele Kompromisse bei der IT-Sicherheit ein. Zu viele, wie die täglichen Nachrichten über Sicherheitsvorfälle in der Unternehmens-IT zeigen.

Das ändert sich gerade. Wie so oft in der IT kommt das Momentum aus dem Konsumentensegment. Unternehmen wie Apple, Google, Facebook und Amazon bedienen sich mittlerweile Methoden, die aus der Finanzbranche bekannt sind. Sie bieten Privatanwendern höhere Sicherheit durch die Umstellung auf moderne Authentifizierungsmethoden und Multi-Faktor-Authentifizierung. Damit kommt die IT-Sicherheit aus ihrem dunklen Eck und besteigt die Bühne der coolen „Gadgets“, wird ein fester Bestandteil unseres alltäglichen Umgangs mit Informationstechnologie.

Der Druck auf Unternehmen steigt, hier gleichzuziehen. Wer gibt noch gerne jeden Morgen ein achtstelliges Passwort ein, wenn zu Hause ein kurzes Auflegen des Fingers reicht, um Zugriff auf alle relevanten Informationen zu erhalten? Unternehmen sollten diesen Umstand jedoch nicht nur als Herausforderung, sondern vor allem als Chance begreifen. Denn noch nie waren die Akzeptanz und die Sensibilität für IT-Sicherheit bei Anwendern so hoch wie jetzt.

Die Verbreitung und Akzeptanz moderner Authentifizierungsmethoden ist dabei nur ein Baustein – um das Sicherheitsniveau in Unternehmen effektiv anzuheben, muss eine differenziertere Anwendung von Sicherheitstechnologien erreicht werden, damit der Anwender den zusätzlichen Aufwand auch als angemessen erachtet. Die Frage, ob der Aufwand angemessen ist, ist keine pauschale Frage, sondern stellt sich in jedem Einzelfall. Jeder Anwender hat Verständnis dafür beziehungsweise erwartet sogar, dass die Sicherheitsprozedur aufwendiger ist, wenn er Einsicht in seine Gehaltsabrechnung nehmen will – schließlich hat er ein großes Eigeninteresse an der Vertraulichkeit dieser Informationen. Es ist auch sehr verständlich, warum der Zugriff auf Kernanwendungen des Unternehmens komplexer abgesichert ist, oder warum der Zugriff von einem privaten Gerät gegebenenfalls etwas mehr Sicherheitsprüfungen erfordert als von einem von der Firma bereitgestellten Gerät. Sicherheitsarchitekturen müssen diese Aspekte berücksichtigen und darauf reagieren – sie müssen im Kontext wirken.

Die Technologie hierfür ist verfügbar – es gibt den vollautomatischen Scheibenwischer, der sensor-gesteuert und stufenlos die für die aktuelle Situation richtige Intensität einstellt. Und es gibt auch die Sicherheitstechnologien, die dynamisch und adaptiv das jeweils richtige Maß an Sicherheit bereitstellen. Sie firmieren unter der Sammelbezeichnung Adaptive Authentication. Was genau ist darunter zu verstehen? Gemeint ist zunächst einmal das Prinzip, die mit einem Login-Prozess verbundenen Risiken vor der Anmeldung des Nutzers automatisiert zu evaluieren und entsprechende Authentifizierungsmethoden zu ergreifen. Versucht der Nutzer, Zugang zu geschäftskritischen Informationen zu erlangen, werden mehrere Faktoren abgefragt. Um sich in das bürointerne Bundesliga-Tippspiel einzuloggen, reicht hingegen die Eingabe eines einfachen Passworts.

Bislang wurde auch danach unterschieden, von wo Zugriffe kommen: Kommen sie von innen – beispielsweise vom Desktop-PC eines Schreibtischarbeiters? Oder erfolgen sie über eine Remote-Verbindung, etwa über VPN oder eine Virtual-Desktop-Infrastructure-Lösung (VDI)? Viele Unternehmen setzen bei Remote-Zugriffen auf die klassische OTP-basierte Multi-Faktor-Authentifizierung. Sie fragen nicht nur ein Passwort ab, sondern zusätzlich einen einmal gültigen Sicherheitsschlüssel, den sie zum Beispiel per SMS an den Nutzer verschicken. Auf diese Weise kombinieren sie mehrere Authentifizierungsmethoden und sichern sich zusätzlich gegen unbefugte Zugriffe von außen ab. Sitzt der Nutzer im Unternehmen, bringen sie ihm hingegen ein höheres Grundvertrauen entgegen – die Eingabe eines einfachen Passworts reicht dann aus. Nicht selten sind für beide Anwendungsfälle unterschiedliche Systeme von unterschiedlichen Herstellern im Einsatz. Die Hersteller selbst sind häufig auf eines der beiden Szenarien spezialisiert und bieten für das jeweils andere Szenario gar keine Lösung an.

Die Unterscheidung zwischen „innen“ und „außen“ war lange sinnvoll, in modernen IT-Landschaften aber verliert sie zunehmend an Bedeutung. Beide Welten verschwimmen zunehmend, eine strikte Trennung ist nicht mehr möglich. Mitarbeiter rufen Terminal-Server-Sitzungen heute vom Tablet aus auf oder nutzen vom heimischen PC aus die gleichen VDI-Sitzungen wie im Büro. Die Authentifizierung von Nutzern wird dadurch zusätzlich erschwert: Viele Methoden, die bei Remote-Zugriffen üblich sind, sind im Büro schlicht nicht praktikabel – zum Beispiel das Token-Verfahren. In-House-Methoden, wie etwa die Erfassung biometrischer Merkmale wiederum, erfordern oft spezielle Hardware, die niemand mitschleppen möchte oder kann, der von außerhalb auf das Unternehmensnetz zugreift.

Wer der wachsenden Komplexität Herr werden will, setzt heute auf Lösungen, die alle Anwendungsfälle gleichermaßen abdecken. Solche Systeme unterstützen eine Vielzahl unterschiedlicher Authentifizierungsmethoden und wählen automatisch immer die jeweils passende aus. Je nach Zugriffszenario können auch mehrere Faktoren überprüft werden. Erfolgt etwa der Zugriff auf eine Terminal-Server-Sitzung von Remote, fragt die Lösung ein Token und ein Passwort ab. Erfolgt er hingegen vom Arbeitsplatzrechner, wird ein biometrisches Merkmal oder eine PIN zur Authentifizierung herangezogen. Und nicht nur der Zugriffsort spielt eine Rolle: Welche Authentifizierungsmethode herangezogen wird, kann zum Beispiel auch aus den Rollen und Rechten abgeleitet werden, die im Identitätsmanagement-System hinterlegt sind. Und auch Single-Sign-On-Verfahren sind mit der Lösung kompatibel. Der Nutzerkomfort wird auf diese Weise stark erhöht.

Das Beispiel zeigt: Moderne IT-Sicherheit ist flexibel genug, um der Nutzerfreundlichkeit und Arbeitseffizienz nicht im Weg zu stehen. Anwender bringen den Schutzmaßnahmen mittlerweile eine hohe Akzeptanz entgegen – sofern sie ihnen keinen unangemessenen Aufwand abverlangen. Auch wertvolle Arbeitszeit wird gespart, wenn komplexe Authentifizierungsmethoden nur dort eingesetzt werden, wo die Sachlage dies tatsächlich erfordert. Entscheidend ist jedoch, dass Unternehmen die technische Weiterentwicklung auf diesem Feld nicht verschlafen. Wer Security wirklich liebt, der setzt jetzt auf zukunftstaugliche Lösungen.

* Christoph Stoica ist Regional General Manager bei Micro Focus und Malte Kahrs ist Geschäftsführender Gesellschafter bei MTRIX.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44509709 / Single Sign-on)