:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zweiter Faktor zum Schutz digitaler Identitäten Token für die Multi-Faktor-Authentifizierung (MFA)
Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Ein Großteil von Datenschutzverletzungen entsteht, wenn für das Login neben dem Benutzernamen nur ein Passwort verwendet wird. Schwache oder gestohlene Passwörter sind laut einer Verizon-Studie in 81 Prozent aller Fälle verantwortlich für einen Hack – im Vorjahr der Studie lag dieser Wert erst bei 63 Prozent. Es ist also eine deutliche Zunahme bei den Risiken durch Passwörter erkennbar. Die meisten Nutzer setzen erstaunlich einfallslose Passwörter ein: „123456“, „passwort“ oder „qwer“ wirken auf jeden Eindringling wie eine Einladung. Doch auch komplexere und längere Passwörter helfen nicht weiter: Weil Nutzer sie sich nicht mehr merken können, werden sie am Rechner notiert oder einfach erratbare Schemata bei der Zahlen- und Zeichenfolge verwendet. Viele User nutzen ihr Passwort sogar mehrfach in verschiedenen Portalen. Dies macht Kriminellen den Missbrauch noch einfacher.
Zweiter Faktor zum Schutz digitaler Identitäten
Doch wie lassen sich unsere digitalen Identitäten und Daten wirkungsvoller absichern? Die Antwort lautet: Zwei-Faktor-Authentifizierung (2FA) beziehungsweise Multi-Faktor-Authentifizierung (MFA). MFA basiert auf der Idee, dass ein Nutzer zusätzlich zum Passwort einen zweiten Faktor zur Authentifizierung nachweisen oder eingeben muss, den ein Angreifer nicht wissen oder besitzen kann. In der Regel ist dies ein „Einmal“-Token – beispielsweise ein Code, den ein Nutzer per SMS erhält, oder eine Push-Nachricht mit der Aufforderung „Bestätigen“ oder „Ablehnen“, die auf sein Smartphone geschickt wird. Für jeden Authentifizierungsvorgang wird somit eine Art einmaliges Passwort generiert, auf das ich in diesem Fall nur über einen Gegenstand in meinem Besitz (z. B. Smartphone) zugreifen kann. Der Verlust des Passworts stellt somit nicht mehr zwingend den Verlust der eigenen digitalen Identität dar.
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387851/original.jpg "Bei einem SMS-Token erhalten Nutzer zur Authentifizierung einfach einen Code per SMS auf ihr Handy.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387852/original.jpg "Hardware-Token sind kleine Chip-basierte Geräte, die auf Knopfdruck einen Code generieren und auf einem Display anzeigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387853/original.jpg "Biometrische Authentifizierung ermöglicht die Identifizierung eines berechtigten Anwenders über Fingerabdruck oder Gesichtserkennung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1387800/1387854/original.jpg "Software-Token bilden die Funktionalität von Hardware-Token auf einem Smartphone in Software ab.")
Die folgende Übersicht gibt eine erste Orientierung zu aktuell verfügbaren Token-Typen und deren Einsatzszenarien. Moderne MFA-Systeme erlauben eine Kombination unterschiedlicher Token, sodass für jeden Anwendungszweck und Schutzbedarf eine einzige Lösung verwendet werden kann:
SMS-Token gehören heute zu den am weitesten verbreiteten Token-Typen. Nutzer erhalten zur Authentifizierung einfach einen Code per SMS auf ihr Handy. Sie müssen weder eine Software installieren noch über ein Smartphone verfügen. Insbesondere als „Redundanz“ im Fehlerfall, oder bei Massen-Rollouts mit „heterogenen“ Endnutzern, kommt diese Methode zum Einsatz. Allerdings ist die Zahl der Angriffspunkte über das Mobilfunknetz oder Smartphone-Plattformen vergleichsweise hoch. Sie sollten daher für unkritische Logins bzw. Szenarien mit geringem Schutzbedarf genutzt werden.
Hardware-Token sind kleine Chip-basierte Geräte in Form eines Schlüsselanhängers oder einer Smartcard, die auf Knopfdruck Passwörter neu generieren und auf dem Display anzeigen – die so genannten Einmal-Passwörter oder auch One-Time-Passwörter (OTP). Ein spezieller Hardware-Token-Typ ist FIDO U2F. Er basiert auf dem Universal Second Factor Standard (U2F), durch den Nutzer einen bereits vorhandenen Token wiederverwenden können. Hardware-Token weisen eine hohe Sicherheit auf, da Angriffe nur schwer möglich sind. Bedingt durch den geringen Komfort eignen sie sich insbesondere für Fälle, in denen ein hoher Schutzbedarf vorliegt.
Biometrische Authentifizierungsverfahren basieren auf der Authentisierung der persönlichen, biologischen Eigenschaften von Menschen, wie zum Beispiel die Identifizierung über Fingerabdrücke oder die Gesichtserkennung. Allerdings können sich diese Charakteristika nicht nur alters- oder krankheitsbedingt verändern. Ein immenses Problem ist die Fehleranfälligkeit in Hinblick auf Falsch-Akzeptanz und -Ablehnung sowie die Trivialität, mit der biometrische Merkmale gefälscht werden können. Auch birgt die Verwendung von Biometrie diverse Herausforderungen im Bereich des Datenschutzes.
Software-Token bilden im Grunde die Funktionalität von Hardware-Token auf Software ab. Es kommen identische Algorithmen und Verfahren zum Einsatz wie bei der Hardware. Durch die Verwendung des Software-Tokens auf einem Smartphone muss der Anwender kein „Extra“-Gerät mit sich mitführen. Da der Software-Token in der Regel auf einer nicht kontrollierbaren Plattform (Smartphone) ausgeführt wird, hängt die Sicherheit des Tokens von der Sicherheit des Smartphones ab. Weist dieses Schwachstellen auf oder birgt es Schadsoftware, hat der Angreifer gegebenenfalls unbemerkten Zugriff auf den Token. Software-Token sollten dementsprechend ausschließlich in Szenarien mit einem normalen Schutzbedarf eingesetzt werden.
Push-Token lösen eine automatische Benachrichtigung aus, wenn ein Nutzer sich einloggen oder eine Transaktion durchführen möchte. Die Push-Nachricht wird beispielsweise auf das Smartphone des berechtigten Users geschickt und muss dort nur noch per Klick etwa auf „OK“ verifiziert werden. Die kryptografische Bestätigung wird dann direkt an den definierten Endpunkt gesendet. Die Eingabe eines Codes ist nicht mehr erforderlich. Durch diesen Vorgang lässt sich auch ein Mehraugenprinzip in hochsicheren Umgebungen wie beispielsweise bei Banken oder Energieversorgern sicherstellen, bei denen eine berechtigte zweite Person bestimmte Vorgänge freigeben muss. Ein weiterer Vorteil moderner Push-Token ist die Transaktionssicherheit, bei der auch die Inhalte einer Transaktion gegen Manipulation abgesichert sowie eine Nicht-Abstreitbarkeit realisiert werden kann.
QR-Token realisieren zwei Hauptzwecke: Zum einen kann mit ihnen eine sichere Offline-Authentifizierung ermöglicht werden – sofern der Anbieter alles richtig macht. Dies ist insbesondere relevant, wenn zum Beispiel Firmenlaptops mittels eines zweiten Faktors abgesichert werden sollen. Ohne eine Offline-Authentifizierung, ist der Zugriff bei einem Flug nicht möglich. Ein weiterer Zweck von QR-Token besteht in der Möglichkeit eine Gerätetrennung zu erzwingen, wie es in manchen Regulierungen gefordert wird. Dabei wird mittels eines öffentlichen Schlüssels eine Challenge generiert, welche abgescannt und mit dem privaten Schlüssel auf dem Handy entschlüsselt wird. Anschließend muss nur noch der angezeigte Wert eingegeben oder je nach Situation auch direkt automatisch durch das Abscannen (im Nicht-Offline-Fall) übertragen werden.
Token-Vergabe nach Sicherheitslevel und Nutzeranforderung
Aufgrund der höheren Sicherheit setzen mittlerweile auch große Tech-Konzerne wie Google oder Facebook auf die Multi-Faktor-Authentifizierung als Teil ihres Identity- und Access-Managements. Zudem nimmt die Notwendigkeit mit der steigenden Nutzung von Cloud-Umgebungen, Remote-Zugängen und Web-Anwendungen noch weiter zu. Deshalb empfiehlt auch der Bundesverband IT-Sicherheit e.V. (TeleTrusT) die MFA-Technologie in seiner Handreichung zum IT-Sicherheitsgesetz für die Realisierung des Stands der Technik. Unternehmen werden also künftig nicht mehr darum herumkommen, sich mit dem Thema auseinanderzusetzen und zu entscheiden, welche Lösung am besten zu ihrem Einsatzszenario passt. Dabei sollten sie vor allem die Anforderungen und Sicherheitslevel ihrer Nutzer im Blick haben: Wird der Token häufig benutzt? Hat mein Mitarbeiter Zugriff auf hochsensible Bereiche? Oder handelt es sich bei dem Nutzer um einen externen Dienstleister oder einen Praktikanten, der nur für eine begrenzte Zeitspanne auf die Unternehmenssysteme zugreifen darf? Moderne Lösungen ermöglichen es, Token nach Einsatzhäufigkeit oder Zeiträumen befristet zu vergeben, sodass ein Anwender beispielsweise nach fünfmaligem Gebrauch oder nach einem Monat keinen Zugang mehr zu einer Datenbank hat oder ein Login durchführen kann. All diese Kriterien tragen dazu bei, einen etwaigen Missbrauch der Token bereits bei der Token-Vergabe auszuschließen.
Das sind neben der Kostenfrage auch die Kriterien, die bei der Wahl eines Tokens für jedes einzelne Unternehmen entscheidend sein sollten. Jede Firma muss sich fragen, welches Ausmaß an Security und Usability im eigenen Geschäftsumfeld benötigt wird. Denn ohne Multi-Faktor-Authentifizierung im Kontext mit dem Schutz von IT-Infrastruktur und Daten geht es heute nicht mehr.
Über den Autor: Dr. Amir Alsbih ist CEO von KeyIdentity.
:quality(80)/images.vogel.de/vogelonline/bdb/1317400/1317409/original.jpg "Wie man mit Multi-Faktor-Authentifizierung (MFA) die Anmeldesicherheit in Office 365 verbessert, zeigen wir in diesem Video-Tipp. (kran77 - stock.adobe.com)")
Video-Tipp: Anmeldesicherheit in Office 365
Multi-Faktor-Authentifizierung in Office 365
:quality(80)/images.vogel.de/vogelonline/bdb/1017700/1017737/original.jpg "Ein starker Zugriffsschutz lässt sich per Biometrie oder einem anderen Authentifizierungsfaktor realisieren. (Bild: kengmerry - Fotolia.com)")
eBook „Multi-Faktor-Authentifizierung“
Das Internet of Things braucht starken Zugriffsschutz
(ID:45267543)
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/45/534585498a8288adb130f8a358648bd5/0114514708.jpeg "Multi-Faktor-Authentifizierung soll authentifizierungsbasierte Angriffe wirksam abwehren. Doch sie hat ihre Schwächen, denn sie erfordert immer noch eine menschliche Interaktion, sodass die Gefahr besteht, dass sich Angreifer in den Authentifizierungsprozess einschalten. (Bild: ipopba - stock.adobe.com)")