Suchen

Zwei-Faktor-Authentifizierung mit dem Smartphone Zugriffsschutz im BYOD-Netzwerk

Autor / Redakteur: Julia Manderbach / Stephan Augsten

Während die Mitarbeiter dem Trend zu Bring your own device folgen müssen IT-Verantwortliche sicherstellen, dass ausschließlich autorisierte Personen Zugang zum Firmennetz erhalten. Die herkömmliche Absicherung mittels Passwort bietet hier eher unzulänglichen Schutz.

Starke Passwörter können ein Fehlverhalten der Mitarbeiter provozieren.
Starke Passwörter können ein Fehlverhalten der Mitarbeiter provozieren.

„Habe ich alles – Portemonnaie, Schlüssel? Handy?“ Für die meisten Menschen ist es heute fast undenkbar, ohne ihr Smartphone als multifunktionalen Alleskönner aus dem Haus zu gehen. Denn die Geräte fungieren längst nicht mehr nur als mobiles Telefon.

Als Multifunktionstool dienen Smartphones als Internetzugang, E-Mail-Versender, Navigator, Diktiergerät, Fotoapparat und vieles mehr zugleich. Sie lotsen per GPS-Ortung durch unbekannte Gegenden, filmen HD-Videos, bieten Apps für alle denkbaren Einsatzgebiete, ermöglichen mobiles Online-Banking und organisieren das „Büro to go“.

Genau diese Faktoren sind der Grund für die Angst vieler Menschen, ihr Handy zu verlieren. Neudeutsch sprechen Experten schon von „Nomophobie“ – der No Mobile Phone-Phobie. Wie das Sicherheitsunternehmen SecurEnvoy in einer eigens in Auftrag gegebenen Studie ermittelte, fürchten 66 Prozent der 1000 befragten Personen den Verlust ihres Smartphones, Frauen dabei noch eher als Männer (70 Prozent gegenüber 61 Prozent).

Grenze zwischen Beruf und Privatleben schmilzt

Hingegen sind es zum Großteil Männer, die zwei oder mehr Handys besitzen – auch aus Business-Gründen. Die Vermischung von Beruf- und Privatleben ist durch die Verbreitung der smarten Minicomputer schnell vorangeschritten. Im Zuge dessen rückt das Thema Bring your own Device (BYOD) verstärkt in den Brennpunkt.

Eine Studie des Security-Experten Fortinet zeigte kürzlich, dass die Arbeitnehmer der Generation zwischen 20 und 29 Jahren die Nutzung privater Geräte im Unternehmen als selbstverständlich ansehen. 3.800 Teilnehmer aus 15 Ländern befragte Fortinet zu ihrer Perspektive in Bezug auf BYOD, dessen Einfluss auf ihr Arbeitsumfeld sowie ihr Verhalten im Hinblick auf die persönliche IT-Sicherheit und die des Unternehmens.

In Deutschland setzen bereits 78 Prozent BYOD-Lösungen ein. 59 Prozent der deutschen Arbeitnehmer halten dabei die Nutzung ihrer Privatgeräte im Rahmen der Arbeit eher für ein Recht als für ein Privileg. Ein Großteil bewertet die Nutzung der Geräte als Möglichkeit für effektiveres Arbeiten.

Passwort mein, Glück allein?

Geschäftsführer wie auch IT-Verantwortliche sehen die Verwendung privater Devices wie Smartphones, Tablets und Laptops im Unternehmensumfeld mit kritischem Blick. Wenn es um die Einrichtung eines BYOD-Umfelds geht, tauchen meist zuerst Sicherheitsbedenken auf: Datenverluste und Diebstahl, unsichere Logins, unzureichende Kontrollmöglichkeiten durch das IT-Personal etc.

In diese Überlegungen inbegriffen sind auch konventionelle Remote-Zugriffe, beispielsweise von Mitarbeitern im Home Office oder reisendem Vertriebspersonal. Dass sich nur autorisierte Personen einloggen und sensible Unternehmensinformationen einsehen sowie damit arbeiten können, gewährleistet eine einwandfreie, sichere Authentifizierung.

Am meisten verbreitet ist in diesem Zusammenhang die Nutzung von Passwörtern. In Verbindung mit dem entsprechenden Benutzernamen ermöglicht das Passwort den Zugang zu den gewünschten Diensten, Datenbanken, Dokumenten etc.

Wer sich diese Codes gut merken kann, hat kein Problem. Manchmal ist dies allerdings schwierig, da solide Passwörter aus komplexen Buchstabenfolgen in willkürlicher Groß- und Kleinschreibung, Zahlen und Sonderzeichen bestehen sollten. Wer kann sich schließlich „Zhfü0ed76%&$*BxP?116“ oder ähnliche Kombinationen dauerhaft merken?

Auf Messers Schneide zwischen einfach und sicher

Oftmals wird daher auf Hilfsmittel ausgewichen, und die Zugangsdaten werden notiert: Geläufig sind dabei das Post-it am Monitor, der Zettel unter der Schreibtischunterlage, die ungesicherte Datei mit dem Namen „Passwörter“, der im Browser abgespeicherte Login etc.

Diese unsicheren Helfer gefährden den Schutz der Passwort-geschützten Daten, weshalb sich prinzipiell jeder Zugriff verschaffen kann. Davon abgesehen erleichtern sich Internet-kriminelle das Knacken der Login-Daten mittels spezieller Programme, die die Zusammensetzung der Passwörter errechnen.

Konten, die mittels simpler Passwörter wie „1234“ oder auch schlicht „Passwort“ geschützt sind, lassen sich damit in kürzester Zeit knacken. Auch beliebt: Keylogging-Software, die die Tastatureingaben aufzeichnet und die entsprechende Datei an den Absender zurückschickt – quasi ein „Sesam öffne dich“ für den Hacker.

Doch nicht nur der einzelne Mitarbeiter hat seine Schwierigkeiten mit den Passwörtern; die gesamte IT-Abteilung ist stark gefordert. Um Login-Vorgängen mehr Sicherheit zu verleihen, empfehlen sich regelmäßige Passwort-Änderungen nach z.B. 30, 60 oder 90 Tagen. Dies ist wiederum arbeits- und zeitintensiv: einerseits für die IT-Administratoren, die alle bisherigen Zugangsdaten archivieren und neue Logins einrichten müssen; andererseits für das Personal, das sich ein neues Passwort merken muss.

Doppelte Absicherung hält besser

Um das Einloggen per Passwort stärker abzusichern, sind in den vergangenen Jahren Lösungen entwickelt worden, die auf die Kombination verschiedener Mechanismen setzen. Sie lassen sich unter dem Oberbegriff Zwei-Faktor-Authentifizierung zusammenfassen. Bei dieser Methode sind mindestens zwei von drei möglichen Absicherungen in Verbindung notwendig:

  • etwas, das nur dem Nutzer selbst bekannt ist, wie z.B. Passwort oder PIN,
  • etwas Materielles, das ausschließlich der Nutzer besitzt, wie z.B. Schlüssel, Bankkarte oder Mobiltelefon, und/oder
  • etwas, das untrennbar zu einem Nutzer gehört, wie z.B. der Fingerabdruck oder die Iris des Auges (biometrisches Login-Verfahren).

Derartige Zugriffsprozesse sind bereits aus dem Alltag bekannt, beispielsweise das Geldabheben am Bankautomaten. Hier benötigt der Kunde als 1. Faktor seine persönliche Bankkarte sowie als 2. Faktor eine PIN-Nummer. Nur die Kombination aus beiden ermöglicht die Transaktion.

Mobile Devices lösen Token ab

Im Hinblick auf Zwei-Faktor-Authentifizierungsverfahren für Login-Vorgänge sind neben digitalen Zertifikaten Smartcards und Tokens in USB- oder Software-Form entwickelt worden. Sie erlauben einen ortsunabhängigen, zeitlich flexiblen Zugriff auf die benötigten Informationen.

Ein Nachteil der Token ist allerdings, dass sie stets mit sich geführt werden müssen und damit zusätzliches „Gepäck“ darstellen. Ein vergessenes oder verloren gegangenes Token bedeutet somit eine Zugriffsverweigerung. Findige Köpfe aus der IT-Branche haben sich im Zuge der Verbreitung von BYOD eine einfachere Methode einfallen lassen, bei der alle mobilen Geräte wie Smartphones, Tablets und Laptops als Token-Alternative dienen können.

Um die Bereitstellung von Login-Daten zu beschleunigen sowie das Login-Verfahren im Allgemeinen sicherer zu machen, hat Hersteller SecurEnvoy beispielsweise die Lösung SecurBOYT entwickelt. Die Abkürzung BYOT steht für „Bring your own Token“. Das System versendet precached einen einmalig gültigen Nummern-Passcode oder wahlweise eine zuvor festgelegte Anzahl an Passcodes per SMS.

Auf diese Weise weichen Unternehmen einer Soft- oder Hardware-Installation auf den privaten Endgeräten aus, was die Nutzer andernfalls zu Recht als Eingriff in ihre Privatsphäre bzw. als aufoktroyiert empfinden könnten. Schließlich wären sie in diesem Fall dazu gezwungen, eine gesonderte Anwendung auf ihr Privat-Device zu laden, die ihnen womöglich in puncto Datenschutz oder aus anderen Gründen nicht zusagt.

Bereitsstellung von Einmal-Passcodes

SecurBYOT kombiniert zwei Faktoren, nämlich persönliche Login-Daten und einmalige Passcodes. Dieser Code steht dem Anwender wahlweise per SMS, E-Mail oder entsprechender App bereit.

Mit Eintippen eines Passcodes verfällt dieser automatisch und wird umgehend durch einen neu zugesendeten Code ersetzt. Hinsichtlich möglicher Falscheingaben kann das Unternehmen selbst festlegen, wie viele fehlerhafte Logins für diesen Anwender oder die Gruppe vorkommen dürfen, bevor der Zugang dauerhaft gesperrt wird.

Ein Passcode ist maximal sieben Tage gültig. Nutzt der Anwender den Code innerhalb dieser Frist nicht, verfällt der Code und wird durch einen neuen ersetzt. Dadurch steht jederzeit ein gültiger Passcode zur Verfügung. Akute Übertragungsprobleme im Mobilfunknetz stellen so kein Problem dar.

Bis 100.000 Nutzer in einer Stunde registrieren

Über die persönliche Nutzerkennung kann der User in Eigenregie mehrere Geräte für den Netzwerkzugriff autorisieren. Im Falle eines Gerätewechsels überträgt SecurBYOT das Benutzerkonto automatisch. Dies bedeutet eine Entlastung der IT-Abteilung, zumal die Mitarbeiter ihre Prozesse auf diese Weise eigenständig kontrollieren und verwalten. Mittels Automation lassen sich so bis zu 100.000 Benutzer in weniger als 60 Minuten im System anmelden.

Darüber hinaus ist es möglich, einen sogenannten „Gruppeneinsatz“ einzuführen. Dabei definiert der Administrator einzelne Gruppen in IT-Infrastrukturen, beispielsweise in Active Directory, Novell E-Directory, Sun Directory Server oder OpenLDAP. Dadurch kann jeder in der jeweiligen Gruppe automatisch und nahtlos eingebunden werden kann. Bei Löschung eines Users aus einer Gruppe ist seine Lizenz frei und kann neu zugeordnet werden.

Fazit

Die Zwei-Faktor-Authentifizierung sorgt für mehrfachen Schutz bei der Nutzung des Unternehmensnetzwerkes. Smartcards, USB-Sticks und ähnliche Lösungen können sehr teuer in der Anschaffung sein, außerdem kosten die Einrichtung und Ausgabe sowie der Support seitens der IT-Abteilung wertvolle Arbeitszeit.

Smartphones, Tablets und Laptops sind hingegen bereits vorhanden – es wäre sträflich, diese Möglichkeit nicht zu nutzen. Durch die Kombination aus selbst gewähltem Benutzernamen und Passwort sowie dem dynamisch generierten Passcode plus Nutzerlizenz sind die Login-Vorgänge bei diesem Ansatz außerdem besonders sicher.

(ID:35900410)