:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Open-Source Zwei-Faktor-Authentifizierung mit privacyIDEA
Obwohl Zwei-Faktor-Authentifizierung oft aus der Cloud kommt, besteht die Gefahr, sich an einen Anbieter oder eine Technologie zu binden. Mit privacyIDEA, das in diesem Beitrag näher vorgestellt wird, behalten Unternehmen ihre Flexibilität.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Der IT-Security-Markt ist seit jeher in Bewegung. Die Hersteller versuchen, alle Aspekte der IT-Sicherheit abzubilden, um alles aus einer Hand anbieten zu können. Unternehmen werden gekauft und verschmolzen. Die neuen Produktportfolios müssen konsolidiert werden.
Bisweilen erfolgreiche Produkte fallen dem zum Opfer. So wird bspw. der Verkauf der Zwei-Faktor-Lösung Safeword 2008 im Herbst eingestellt. Die McAfee-OTP-Lösung, die von Nordic-Edge übernommen wurde, ist bereits End-of-Life. Zusätzlich bieten viele Hersteller Authentifizierungslösungen nur noch in der Cloud an.
Das NIST (National Institute of Standards and Technologies) schreibt in der überarbeiteten Digital Authentication Guideline, dass SMS nicht mehr für Zwei-Faktor-Authentifizierung herangezogen werden sollte. Es ist Bewegung im Markt für Zwei-Faktor-Authentifizierung. Daher sollte die IT-Abteilung bei der Wahl eines entsprechenden Systems auf Folgendes achten.
Ein Produkt sollte sich nicht alleine auf eine einzelne Authentifizierungstechnologie (wie in diesem Fall SMS) verlassen. Treten Probleme (technischer oder politischer Natur) mit dieser Technologie auf, so kann eine aufwändige Migration hin zu einem anderen Produkt eines anderen Herstellers notwendig werden.
Cloud-basierte Authentifizierungssysteme sind auf den ersten Blick attraktiv. Doch auch diese bauen oft nur auf eine Technologie – meist eine App – was sie für die gerade dargestellte Problematik anfällig macht. Migrationen von ausgerollten Authentisierungsgeräten oder Apps eines Anbieters zu einem anderen sind nicht möglich.
Ein erfolgreiches Produkt ist nicht nur für die Kunden attraktiv. Auch größere Mitbewerber interessieren sich für eine solche Software. Meist nur aus dem Grund, sich den Kundenstamm zu sichern, wird das entsprechende Unternehmen gekauft, um die Kunden zu übernehmen und das Produkt zunächst ins Portfolio zu integrieren.
Doch besteht wie eingangs dargestellt die Gefahr, dass das ursprüngliche Produkt schließlich der Konsolidierung des Produktportfolios zum Opfer fällt. Ideal ist also ein Produkt, das verschiedene Authentifizierungstechnologien unterstützt, mitwächst und nicht Gefahr läuft, durch einen Merger vom Markt zu verschwinden.
Mit privacyIDEA ist eine Open-Source Lösung am Markt erhältlich, die von all den oben genannten Problemen nicht betroffen ist. Das System unterstützt viele verschiedene Authentifizierungstechnologien und verhindert dadurch auch den Vendor-Lock-In im Bereich der Authentisierungsgeräte. Die Open-Source-Lizenz stellt sicher, dass die Software nicht willkürlich vom Markt verschwinden kann.
Die Idee hinter privacyIDEA
Als Open-Source-Projekt zur Mehr-Faktor-Authentifizierung soll privacyIDEA das Problem der Abhängigkeit von einem einzelnen Hersteller lösen. Beim Einsatz von privacyIDEA steht dem Unternehmen prinzipiell die Wahl frei, von wem sie Support für ihre Installation beziehen. Somit kann die Software nicht aus dem Markt gekauft werden.
Die große Bewegung auch im Bereich der Authentifizierungslösungen geht hin zu Cloud-Diensten. Dies ist nicht immer eine glückliche Wahl für einen Authentifizierungsdienst. Deswegen ist privacyIDEA dazu gedacht, on premise betrieben zu werden. Trotzdem eignet es sich aufgrund seines Designs auch gut für Provider. Somit kann die Lösung wahlweise auch gehostet betrieben werden.
Da die Lösung außerdem nicht mit einem Token-Hersteller verbunden ist, muss man sich bei privacyIDEA auch nicht auf die Nutzung eines Token-Typs oder einer einzelnen Technologie beschränken. Vielmehr lässt das System dem Anwender bei der Wahl des Support-Dienstleisters, der Installationsart und der Token freie Hand.
Integration von privacyIDEA
Zunächst einmal wird privacyIDEA zentral als Authentifizierungsserver im Netzwerk installiert. Es sammelt Benutzer aus bestehenden Benutzerquellen wie LDAP, Active Directory, SQL, einfachen Dateien oder SCIM. Optional kann der Administrator die Benutzer auch direkt in der Lösung verwalten.
Den Benutzern werden nun unterschiedliche Authentifizierungsgeräte zugeordnet. Alle Aufgaben innerhalb der Open-Source-Lösung lassen sich über eine REST API automatisieren. Dies hilft auch bei größeren Rollout-Szenarien. Individuelle Workflows können so leicht umgesetzt werden.
Über REST API, PAM, RADIUS, SAML oder individuelle Plug-ins ist es möglich, beliebig viele Applikationen wie Desktop Login, SSH Login, VPN und Firewalls oder Webapplikationen für die Authentifizierung mit einem zweiten Faktor anzubinden.
Struktur von privacyIDEA
Diese Flexibilität wird durch einen konsequent modularen Aufbau erreicht: Benutzerquellen, Logging und Audit, Token und Event-Handler sind als Module realisiert. Kommt ein neuer Authentifizierungsmechanismus auf den Markt, so lässt sich dieser durch die Implementierung eines neuen Token-Moduls leicht integrieren.
Bereits heute werden eine Vielzahl an Token-Typen unterstützt. Dazu zählen unter anderem HOTP und TOTP als Hardware-Token oder Smartphone App (bpsw. Google Authenticator oder FreeOTP), Yubikey in allen Modi, SMS, Email, SSH Keys, X.509-Zertifikate, TiQR, Sicherheitsfragen und Vier-Augen-Token.
Seit Kurzem verfügt privacyIDEA über ein Event-Handler-Framework. Neue Aktionen wie das Versenden von Benachrichtigungsmails können an beliebige Ereignisse gebunden werden. Die möglichen Aktionen lassen sich wiederum über neue Module erweitern. Auch neue Audit-Module lassen sich einbinden, auch wenn privacyIDEA von Haus aus ohnehin ein kryptographisch gesichertes Audit-Log schreibt.
privacyIDEA speichert alle Informationen in eine SQL-Datenbank. Die sensiblen Informationen sind verschlüsselt. Das Datenbankschema ist dokumentiert, so dass auch auf Datenbankebene ein Vendor-Lock-In vermieden ist.
Migration hin zu privacyIDEA
Die Migration eines bestehenden Zwei-Faktor-Systems hin zu privacyIDEA ist sanft und einfach möglich. Dazu definiert der Administrator in der neuen Lösung eine Richtlinie, die alle Authentifizierungsanfragen für Benutzer, die bisher keinen Token in privacyIDEA besitzen, an das alte Authentifizierungssystem weiterleitet.
privacyIDEA schreibt auch diese weitergeleiteten Anfragen ins Audit-Log, so dass schon hier zentral alle Authentifizierungen protokolliert werden. Nach und nach können so die Token ausgerollt bzw. bestehende Token migriert werden. Das kann der Administrator oder die Benutzer selbst machen. Wenn alle Benutzer im neuen System einen Token haben, kann der Administrator das alte System abschalten.
Fazit
Mit privacyIDEA ist ein bewährtes, offenes System verfügbar, das sich leicht auf verschiedenen Linux-Distributionen installieren lässt. Eine Migration kann schnell und sanft durchgeführt werden. Unter http://privacyidea.readthedocs.io findet sich eine ausführliche Dokumentation.
* Cornelius Kölbel war in den Bereichen Verschlüsselung und starke Authentisierung viele Jahre als Berater tätig und implementierte Lösungen auf Basis marktüblicher Produkte. Bereits seit 1994 beschäftigt er sich mit Open-Source-Projekten, nach 2010 war er Produktmanager eines quelloffenen Zwei-Faktor-Produkts. 2014 rief er das Open-Source Projekt „privacyIDEA“ ins Leben und gründete die NetKnights GmbH.
(ID:44268145)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951865/original.jpg "Mit privacyIDEA 3.7 kann sich ein Benutzer an seinem Notebook mit einem zweiten Faktor anmelden, auch wenn das Gerät offline ist und den privacyIDEA-Server nicht erreichen kann. (tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/13/09135b8dd3f4aa9949d327f97ceb8baa/0112879583.jpeg "Multi-Faktor-Authentifizierung (MFA) ist ein entscheidender Baustein bei der Umsetzung einer Zero-Trust-Strategie. Allerdings kann sich eine schlecht implementierte MFA auch negativ auswirken. (Bild: Anya - stock.adobe.com)")