Blog: Bessere Authentifizierung stärkt Sicherheitslösungen

16.03.2015

Unternehmen sollten über einfachen Passwortschutz hinausblicken wenn es um die Sicherheit ihrer Daten geht.

Sehr häufig fallen Unternehmen Datenschutzverletzungen zum Opfer wenn Kriminelle mit gestohlenen Zugangsdaten auf Informationen zugreifen.

Kennt ein Hacker Nutzername und Passwort eines Mitarbeiters und gibt es keine weiteren Schutzmechanismen, kann der Arbeitgeber wenig tun, um zu verhindern, dass die Informationen in die falschen Hände gelangen. Deswegen sollten Unternehmen ihre Mitarbeiter regelmässig daran erinnern, wie wichtig es ist, eine Mitverantwortung für die Sicherheit zu übernehmen.

Das bedeutet, keine einfach zu erratenden Passwörter zu verwenden, Login-Daten persönlicher Konten nicht für Unternehmensanwendungen zu nutzen und ausserdem, Passwörter regelmässig zu ändern. Obwohl diese Warnungen wieder und wieder angebracht werden, scheinen sie immer noch kein Gehör gefunden zu haben.

Schlechte Gewohnheiten bleiben bestehen

Dies verdeutlichte kürzlich wieder die jährliche Veröffentlichung der Liste der „schlechtesten Passwörter“durch SplashData. Diese Liste enhält die weltweit am häufigsten gewählten Passwörter. Für alle in der IT-Sicherheit Beschäftigten sind die Resultate mittlerweile bedrückend vorhersehbar.

2014 kamen die bekannten Einträge ‚123456’ und ‚password’ wieder auf Platz eins und zwei in der Tabelle, während der Rest der Top 25 weiterhin aus einfachen Nummernkombinationen und leicht zu erratenden Begriffen wie ‚football’, ‚qwerty’ (deutsche Entsprechung: ‚qwertz’) und ‚letmein’ (‚lassmichrein’) bestand.

Da viele Leute offensichtlich weiter schwache Passwörter nutzen, egal wie oft sie vor den Risiken gewarnt werden, müssen bessere Lösungen zur Authentifizierung von Nutzeridentitäten her.

Allerdings müssen Unternehmen mehr tun, als nur ihre Mitarbeiter an die richtigen Verhaltensregeln zu erinnern. Ihnen obliegt es, sicherzustellen, dass die genutzten Verbindungen sicher sind. Denn erfolgt die Kommunikation über unsichere Verbindungen oder mittels unsicherer Kommunikationsprotokolle, kommen Hacker leicht an die benutzten Passwörter – und in diesem Fall schützen auch starke Passwörter nicht.

Die kürzlich entdeckte Schwachstelle Freak zeigt, dass dies ein komplexes Unterfangen ist und permanente Anstrengungen erfordert. Daher sind Unternehmen gut beraten, wenn sie die Benutzung sicherer Verbindungen und Kommunikationsprotokolle zur Priorität machen.

Mehr Sicherheit durch verbesserte Authentifizierung

Multi-Faktor-Authentifizierung kann gegen schwache Passwörter helfen. Dabei gibt der Nutzer zusätzlich zu seinem Passwort weitere Informationen an, um Zugriff zu einem System zu erhalten. So beweist er dem System, dass er wirklich derjenige ist, der er behauptet zu sein.

Dafür gibt es verschiedene Möglichkeiten, zum Beispiel den Versand eines Einmalpassworts an das Mobilgerät des Nutzers über eine App oder mittels einer SMS (mTAN). Möglich sind auch Hardware-Lösungen, die der Nutzer bei sich trägt, um seine Identität nachzuweisen.

Bei den Hardware-Lösungen gelten die sogenannten Smartcards als etabliert. Sie basieren auf allgemeinen Standards und erreichen damit eine gewisse Verbreitung. Allerdings sind sie in der Nutzung umständlich, da neben den Smartcards selbst zusätzliche Hardware zum Lesen der Karten erforderlich ist.

Diesem Problem kann man aus dem Weg gehen, wenn man Hardware benutzt, die bereits stark verbreitet ist. Ein Grossunternehmen, das sich in dieser Richtung engagiert, ist Google. So brachte der Konzern Ende letzten Jahres einen Hardware-Security-Token für die Zwei-Faktor-Authentisierung heraus, es handelt sich um einen USB-Stick.

Jeder, der sich einen kompatiblen USB-Schlüssel zulegt und Googles Security-Key-Funktionalität hinzufügt, ist damit in der Lage sich beim Einloggen in Googles Seiten – darunter Gmail und Google Drive – zu authentisieren. Neben der zusätzlichen Authentisierung des Nutzers, überprüft der Key auch, dass es sich bei der Webseite wirklich um eine Google-Seite handelt und nicht um eine von Hackern initiierte Fälschung.

Lösungen einfach und sicher machen

Ein Aspekt, der bisher die Verbreitung solcher Tools zur Multi-Faktor-Authentisierung behindert haben könnte, ist die Benutzerfreundlichkeit, denn bei Lösungen wie dem Google Security USB-Key ist es erforderlich, dass die Nutzer immer die zusätzliche Hardware mit sich herumtragen. Unternehmen müssen entscheiden, ob die Vorteile der höheren Sicherheit die potentiellen Unannehmlichkeiten von vergessenen oder verlegten Tokens überwiegen.

Ausserdem ist zu bedenken, dass man damit stark an Google gebunden wird, da der USB-Schlüssel nur mit dem Google Browser Chrome funktioniert und die Authentifizierung derzeit nur für Google-Dienste bietet. Wenn weitere Anbieter ähnliche Initiativen ergreifen, müssen sich Firmen eventuell entscheiden, ob sie mit einem Anbieter arbeiten oder die Mitarbeiter mehrere Hardware-Schlüssel mit sich herumtragen müssen. Jedenfalls solange es sich bei den Tokens um proprietäre Lösungen handelt und diese nicht auf offenen Standards basieren.

Lösungen, die mit Mobilgeräten arbeiten, sind wahrscheinlich besser geeignet, da es für die überwiegende Mehrheit der User eine Selbstverständlichkeit ist, ihr Mobiltelefon immer dabei zu haben. Eine weitere Möglichkeit stellen biometrische Lösungen wie Fingerabdruck- oder Retina-Scanner dar, allerdings wurden letztlich Bedenken laut in Bezug auf deren Genauigkeit und die Möglichkeit, diese auszutricksen.

In jedem Fall führt der Einsatz von Multi-Faktor-Authentifizierung zu höherer Sicherheit und verhindert, dass gestohlene Passwörter ein Unternehmen für Datenschutzverletzungen anfällig machen.

Bei Investitionsentscheidungen sollten Unternehmen daher IT-Lösungen bevorzugen, die verschiedene standard-basierte Methoden der Authentifizierung unterstützen. Damit können sie ihren Mitarbeitern mehr Wahlmöglichkeiten geben und letztlich die Akzeptanz der Lösung steigern.


von Marcel Mock, CTO, totemo ag