RFID, Biometrie, Multifaktor: Authentifizierungssysteme im Überblick

Die Einführung eines modernen Identity- und Access-Managements (IAM) bringt schnell die entscheidende Frage für die tägliche Praxis mit: Wie stellen Unternehmen sicher, dass nur befugte Mitarbeiter, Kunden und Partner Zugriff auf bestimmten Daten und Informationen erhalten? [...]

Die Einführung eines modernen Identity- und Access-Managements (IAM) bringt schnell die entscheidende Frage für die tägliche Praxis mit: Wie stellen Unternehmen sicher, dass nur befugte Mitarbeiter, Kunden und Partner Zugriff auf bestimmten Daten und Informationen erhalten?
Es gibt vier Methoden, die sich untereinander ergänzen können:

  • Verschlüsselte Datenspeicher;
  • Zugriffskontrolle über RFID;
  • Biometrische Erkennungsverfahren;
  • Mehrfaktor-Authentifizierung.

Verschlüsselte Datenspeicher – aber bitte berechnungssicher
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sehr konkrete Anforderungen an Speichermedien definiert. Dazu gehört unter anderem die Wahrung der Vertraulichkeit von Daten bei logischen wie physischen Angriffen. Realisiert werden kann dies beispielsweise durch eine mehrstufige Nutzerauthentifizierung für den Zugriff auf den geschützten Speicherbereich im Zusammenhang mit einer (hardwarebasierten) Verschlüsselung der Daten. Für letzteres wird beispielsweise die AES-Verschlüsselung mit einer Schlüssellänge von 256-Bit im CBC-Modus empfohlen. AES steht für „Advanced Encryption Standard“, ein symmetrisches Kryptosystem, welches weltweit als berechnungssicher gilt und so beispielsweise in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. Die AES-Betriebsart Cypher Block Chaining (CBC) bezeichnet ein kompliziertes Verfahren, bei dem die einzelnen Klartextblöcke zunächst mit dem im jeweils letzten Schritt erzeugten Geheimtextblock verknüpft und erst anschließend mit dem AES-Schlüssel verschlüsselt werden. Darüber hinaus muss der Anwender eines als hochsicher geltenden Speichermediums in der Lage sein, den kryptografischen Schlüssel selbst zu generieren und im Notfall zu zerstören.
Verschlüsselung ist nicht alles
Anwender sitzen im Zusammenhang mit der Verschlüsselung jedoch immer wieder einem populärem Irrtum auf: Sie meinen, eine Verschlüsselung ihrer Daten würde ausreichende Sicherheit vor unbefugtem Zugriff und Datenklau bieten. Doch selbst die besten Verschlüsselungsverfahren sind für Datendiebe kein echtes Hindernis, sofern keine entsprechend effektive Zugriffskontrolle existiert. Denn die Vertraulichkeit von Daten auf mobilen Speichermedien, wie beispielsweise mobilen Sicherheitsfestplatten, kann nur durch eine Kombination von Zugriffskontrolle und Verschlüsselung garantiert werden. Während nämlich die Verschlüsselung die Vertraulichkeit der Daten speziell bei physischen Angriffen auf den Speicher sicherstellt, werden mittels einer Zugriffskontrolle nicht authentisierte Zugriffsversuche auf den Speicher auf Hardware-Ebene geblockt.
Entweder Tür oder Schloss
So bietet selbst die empfohlene AES Full-Disk-Verschlüsselung nicht die erwartet höchste Sicherheit, solange der Daten-Zugriff nicht über einen mehrstufigen, komplexen Authentifizierungsmechanismus erfolgt und der kryptographische Schlüssel nicht extern, außerhalb der Festplatte, gespeichert ist. Ansonsten tritt der Fall ein, dass sensible Daten – bildlich gesprochen – zwar hinter einer massiven Stahltür liegen, diese Stahltür jedoch lediglich mit einem Vorhängeschloss gesichert ist, das sich im Handumdrehen entfernen lässt. „Die Sicherheitsleistung kann insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden“, stellt das BSI dazu ausdrücklich fest.
Inhalte dieses Artikels:

  • Moderne Authentifizierungssysteme im Überblick
  • Radio Frequency Identification (RFID)
  • Biometrische Authentifizierung
  • Mehrfaktorprinzip „Besitzen und Wissen“
  • Zukunfts-Technologien
  • Fazit: Budgets richtig einsetzen

Mehr Artikel

News

So werden Unternehmen autonom und resilient

Ein Unternehmen, in dem viele Prozesse automatisiert ablaufen, ohne menschliche Aufsicht, und das sich dabei kontinuierlich selbst optimiert? Fortgeschrittene KI und Automatisierungswerkzeuge liefern die dafür notwendige technische Grundlage, doch die Umsetzung ist in der Regel mit einigen Herausforderungen verbunden. […]

News

Grundlegende Metriken der Datenwiederherstellung: RPO und RTO verständlich gemacht

Wenn es um die Geschäftskontinuität geht, stechen zwei Schlüsselmetriken hervor: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Oft werden diese verwechselt oder die Diskussion dreht sich um RPO versus RTO. Beide Metriken sind jedoch für die Entwicklung effektiver Datenschutzstrategien und die Minimierung von Unterbrechungen und Datenverlusten unerlässlich. […]

Drohnen, die autonom und ohne GPS navigieren können, wären in der Lage kritische Infrastruktur wie Brücken oder Strommasten selbstständig zu inspizieren. (c) Fikri Rasyid / unsplash
News

Wie Drohnen autonom fliegen lernen 

Von wirklich selbstständigen Robotern, die durch eine komplexe und sich verändernde Umwelt navigieren können, sind wir noch weit entfernt. Neue Ansätze mit KI bieten eine Chance, diese Vorstellung ein Stück weit Realität werden zu lassen. Jan Steinbrener experimentiert an der Universität Klagenfurt mit Drohnen, die genau das versuchen. […]

Christina Decker, Director Strategic Channels Europe bei Trend Micro (c) Trend Micro
Kommentar

Wie der Channel die tickende Zeitbombe „Compliance-Risiko“ entschärfen kann

Cybersicherheitsregulatoren hatten ein geschäftiges Jahr 2024. Zuerst kam die NIS2-Richtlinie, deren Umsetzungsfrist Mitte Oktober ablief. Nur wenige Monate später trat in der gesamten EU der lang erwartete Digital Operational Resilience Act (DORA) in Kraft. Beide Regelwerke wurden dringend benötigt, haben aber auch enormen Druck auf Unternehmen in der Region ausgeübt. Besonders KMU spüren diesen Druck. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*