:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Methoden der 2-Faktor-Authentifizierung Token, Zertifikat, Fingerabdruck oder SMS als wirksamer Zugangsschutz
Sicherer Zugangsschutz zum Firmennetzwerk und zu Business-Anwendungen ist in Zeiten von Remote-Access und zunehmenden Hacker-Angriffen immer wichtiger. Die Sicherheits- und Datenschutzanforderungen steigen stetig, die Budgets leider nicht. IT-Verantwortliche müssen effiziente und sichere Authentifizierungsmethoden nutzen um alle Anforderungen erfüllen zu können. Wir stellen die wichtigsten Methoden zur 2-Faktor-Authentifizierung vor.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Fast jede Woche liest man von gehackten Firmennetzwerken und veröffentlichten Listen mit Benutzernamen und Passworten. Trotzdem verlangen immer mehr Mitarbeiter einfachen Remote Access auf das Netzwerk des eigenen Unternehmens von Unterwegs oder aus dem Homeoffice. Die Sicherung des Zugangs zum Netz und zu den Businessapplikationen ist also von immer größerer Bedeutung für den IT-Verantwortlichen.
Die 2-Faktor-Authentifizierung ist mittlerweile der anerkannte Lösungsansatz für mehr Sicherheit bei Remote-Access-Anmeldungen. Für diesen Ansatz gibt es unterschiedliche Methoden. Diese bestehen, wie der Name schon sagt, immer aus zwei verschiedenen Faktoren. Die Bereiche können sich so aus „Sein“, „Haben“ oder „Wissen“ zusammensetzen. Der erste Faktor ist eigentlich immer das Passwort („Wissen“). Um sich erfolgreich zu authentifizieren fehlt also nur noch das „Haben“ oder „Sein“. Das „Haben“ könnte beispielsweise ein One Time-Password (OTP) sein, das „Sein“ eine biometrische Eigenschaft.
Methode 1: Der OTP-Token
Zuerst kann man bei Token zwischen Hardware- und Software-Token unterscheiden. Hardware-Token werden mit einem zusätzlichen OTP am Token des Anwenders generiert und vom Authentifizierungs-Server validiert. Stimmen das Anwender-Password („Haben“) und das OTP („Wissen“) überein, wird der Remote-Zugriff erlaubt.
Das OTP kann entweder, wie bei den sog. Push-Button-Token (vergleichbar mit einer TAN-Liste) nacheinander auf Knopfdruck, oder wie bei RSA-Token für eine bestimmte Gültigkeitszeit auf dem Gerätedisplay angezeigt werden. Der zweite Weg ist hier zu empfehlen, da die zeitliche Synchronisierung der RSA-Token komplexer und dadurch gegen Angriffe besser geschützt ist.
Hervorzuheben ist in dem Zusammenhang, dass der zweite Faktor in beiden Varianten bereits vor dem Login vorhanden ist (pre-issued Code). Das kann zu zusätzlichen Sicherheitsrisiken führen. Weiterhin ist zu beachten, dass die Verwaltung und die Verteilung der Token aufwändig und teuer ist.
Bei Software-Token ist das Verfahren ähnlich wie bei Hardware-Token. Allerdings sind sie variabler, da die Software zur Errechnung des Codes auf verschiedenen Devices wie Smartphones installiert werden kann. Dies ist zugleich aber auch ein großer Nachteil, da auf den vorhandenen Devices eine Software installiert und unterstützt werden muss. Die Software-Lösungen werden allerdings (im Gegensatz zu Hardware-Ansätzen) als unsicherer angesehen, da sie auch durch Malware angreifbar sind.
Inhalt:
- Seite 1: OTP-Token
- Seite 2: Biometrie und Zertifikate
- Seite 3: Token per SMS
Methode 2: Biometrie
Biometrische Eigenschaften, wie zum Beispiel der persönliche Fingerabdruck, die Netzhaut und Iris, das Venenmuster in der Handfläche, die Stimme oder auch das Tippverhalten sind eindeutig einer Person zuordenbare Faktoren. In diesem Fall spricht man vom Faktor „Sein“. Anfangs gab es viele Falschakzeptanzen (False Positive), doch mittlerweile wurde die Qualität der Scanner-Harware wesentlich verbessert. Ein negativer Punkt ist hingegen, dass die Erkennung von Faksimile, also von Kopien persönlicher Merkmale, schwierig ist und nur in hochwertigen Lösungen umgesetzt wird.
Da es sich bei biometrischen Eigenschaften um eindeutige, persönliche Merkmale handelt, ist die Biometrie als 2-Faktor-Authentifizierung umstritten. Schließlich lassen sich biometrische Charakteristika nicht wie Passwörter einfach austauschen. Problematisch ist allerdings, dass gestohlene und dann veröffentlichte biometrische Daten für die Betroffenen zum Problem werden können. Deshalb sollten Unternehmen bei der biometrische 2-Faktor-Authentifizierungen immer hinterfragen, welche Daten wie gescannt und gespeichert werden, ob der Datentransfer verschlüsselt und die Speicherung der biometrischen Daten besonders geschützt ist und ob sich persönliche Merkmale aus der Datenspeicherung rekonstruieren und missbräuchlich verwenden lassen.
Mitunter sind erhebliche Kriterien zu erfüllen, bis Betriebsräte überzeugt und gesetzliche Bestimmungen zur Speicherung persönlicher Merkmale erfüllt werden. Oft eignen sich auch die erforderlichen Datenmengen zur Übertragung des zweiten Faktors kaum für den mobilen Zugriff auf Unternehmensseiten. Es kann also festgehalten werden, dass obwohl biometrische Daten einen eindeutigen zweiten Faktor darstellen, die Integration nur unter Einhaltung hoher Datenschutzanforderungen legitim ist.
Methode 3: SmartCards und digitale Zertifikate
In zertifikatsbasierten Systemen erhält jeder Benutzer ein digitales Zertifikat. Dieses enthält Angaben zu seiner Identität und dem öffentlichen Schlüssel. Zertifikate bestehen immer aus einem Schlüsselpaar. Der erste Schlüssel ist privat und geheim, der zweite öffentlich. Jedes Zertifikat wird zudem von einer ausgebenden Stelle beglaubigt. Die Sicherheit bei dieser Methode ist auf ein kryptografisches Verfahren aufgebaut und wird durch unabhängige Institutionen kontrolliert. Software-Zertifikate dagegen sind kopierbar und damit nicht sicherer als statische Passwörter.
Bei Remote-Zugriffen überprüft der Server zusätzlich zu den Login-Daten, ob er dem Zertifikat trauen kann. Dafür wird das empfangene Zertifikat mit einer Liste der bekannten Zertifikate verglichen. Wird es verifiziert, wird die Anmeldung erlaubt.
Die Speicherung von Zertifikaten ist auf unterschiedlichen Devices wie SmartCards oder USB-Sticks möglich. Ein großer Nachteil ist vor allem, dass die Anschaffung und der Betrieb von Zertifikaten in großen Umgebungen mit hohen Kosten verbunden sind und die Umsetzung der Public-Key-Infrastruktur (PKI) sehr komplex ist.
Inhalt:
- Seite 1: OTP-Token
- Seite 2: Biometrie und Zertifikate
- Seite 3: Token per SMS
Methode 4: SMS-Verfahren
Im Gegensatz zu der bereits beschriebenen Token-Methode werden SMS-Lösungen, die Mobiltelefone als reinen Empfänger nutzen, immer interessanter, da sie bequem, einfach zu implementieren und günstig sind. Das OTP wird bei dieser Methode als SMS-Nachricht auf das Mobiltelefon des Nutzers geschickt. Der Vorteil ist, dass der Versand des OTP über das Mobilfunknetz und damit einen separierten Kanal erfolgt. Zudem sind Mobiltelefone in der Regel bei den Mitarbeitern bereits vorhanden. Auch der Umgang mit Mobiltelefonen ist oftmals sorgfältiger als bei Hardware, die nur der Authentifizierung dient. Zudem muss die IT-Abteilung die Geräte nicht verwalten, da das Telefon ja nur für das Empfangen von SMS genutzt wird.
Ein Beispiel für solch ein SMS-Verfahren ist das Tool SMS PASSCODE. Hier wird das OTP erst nach erfolgreicher Validierung durch Benutzername und Passwort gegenüber dem Anwenderverzeichnis in Echtzeit nach FIPS-Standard generiert und an die in der Datenbank hinterlegte Mobiltelefonnummer per Flash-SMS versandt. Dies steigert die Sicherheit. Da das OTP nur für die initialisierende Sitzung mit seiner eindeutigen ID gültig ist, ist Phishing zwecklos und das OTP beim nächsten Mal nicht mehr zu gebrauchen.
Ein weiterer Vorteil ist, dass der Code weder vorab vorhanden (pre-issued) ist, noch dass in die OTP-Generierung eingegriffen werden kann, denn dieser Vorgang läuft innerhalb des Unternehmensnetzwerks ab. Die Sorge, dass eine OTP-SMS nicht ankommt, ist unbegründet, denn die meisten SMS-Verfahren sind standardisiert. International tätige Unternehmen stehen lediglich in Teilen Asiens oder in Nordamerika vor der Herausforderung, dort auf andere Möglichkeiten als auf den SMS-Versand zu setzen, da manche Länder andere Standards haben.
Fazit
Eine 2-Faktor-Authentifizierung ist beim Zugriff auf sensible Daten über das Internet oder andere, nicht gesicherte Netze unverzichtbar. Es sollte bei den Unternehmen eine Entscheidung über die richtige Methode getroffen werden.
Da Login-Daten auf dem Faktor „Wissen“ basieren, können sie unbemerkt auch von anderen missbräuchlich genutzt werden. Der zweite Faktor vervielfacht daher die Zugangssicherheit durch die Abfrage eines zusätzlichen „Haben“ oder „Sein“.
Während ein Verlust des Faktors „Haben“ (z.B. PKI, Mobiltelefon) schnell erkannt und gemeldet wird, kann ein Verlust des Faktors „Sein“ schwerwiegende Folgen für den Betroffenen haben, schließlich lassen sich biometrische Daten nicht austauschen. Daher bietet sich vor allem eine Lösung mit dem Zweitfaktor „Haben“ an. Aufgrund des Sicherheitsproblems bei einem Token-Hersteller sollte hier aber zumindest über Alternativen nachgedacht werden.
Fest steht am Ende, dass die Auswahl der richtigen Methode immer auf die Unternehmensstruktur und den jeweiligen Anwendungsfall abgestimmt sein muss. Je verteilter zusätzlich der Empfang und die Eingabe der beiden Faktoren sind desto besser, da so Angriffe erschwert werden.
Inhalt:
- Seite 1: OTP-Token
- Seite 2: Biometrie und Zertifikate
- Seite 3: Token per SMS
(ID:2052583)
:quality(80)/p7i.vogel.de/wcms/69/4a/694a356edcf1db25e71e1adc7057dfac/0113378979.jpeg "Vor der Einführung einer Multi-Faktor-Authentifizierung sollten Unternehmen die verfügbaren MFA-Methoden evaluieren, um diejenige auszuwählen, die am besten zu den Sicherheitsanforderungen und dem Budget des Unternehmens passt. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/8b/aa8bcec6fd7f7d4b4c3bfe3765262be6/0114622849.jpeg "Fingerabruck-Sensoren im Smartphone sind aktueller Stand der Technik – und deshalb als zweiter Faktor zur Authentifizierung gut geeignet. (Bild: <a href=https://unsplash.com/de/@luferlex>Lukenn Sabellano</a>)")