3. Juni 2024 Stuart Sharp*

6 Fehler bei der Einführung erweiterter Authentifizierung 

Erweiterte Authentifizierungsmaßnahmen übernehmen eine Schlüsselfunktion, wenn es gilt, das schwächste Glied innerhalb der Cybersicherheit zu berücksichtigen: den Anwender. 2-Faktor-Authentifizierung ist definitiv ein guter Anfang. Dennoch sind viele Unternehmen noch nicht so weit, oder es fehlt ihnen der erforderliche Grad an Authentifizierung, um Firmendaten angemessen zu schützen. [...]

Stuart Sharp, VP of Product Strategy, One Identity (c) One Identity
Stuart Sharp, VP of Product Strategy, One Identity (c) One Identity

Unter erweiterter Authentifizierung versteht man üblicherweise eine Kombination aus starker und adaptiver Authentifizierung (MFA und eine situationsbezogene Abfrage von Anmeldeinformationen), welche die Risikofaktoren in Echtzeit überprüft. Wenn Unternehmen sich entscheiden, erweiterte Authentifizierung zu implementieren, lauern allerdings einige Fallstricke. Wir haben uns sechs davon genauer angesehen. 

1. Risikobewertung, Fehlanzeige

Eine möglichst umfassende Bewertung der bestehenden Risiken ist ein wichtiger erster Schritt – unabhängig davon, welche Form der Authentifizierung man zu implementieren plant. Verzichten Unternehmen darauf, aktuelle Bedrohungen, Schwachstellen, Systeme und Prozesse oder das notwendige Schutzniveau für verschiedene Anwendungen und Daten zu evaluieren, setzen sie sich einem erhöhten Risiko aus. Aber nicht jede Anwendung erfordert das gleiche Maß an Sicherheitsvorkehrungen. Eine Anwendung, die sensible Kunden- oder Finanzdaten verarbeitet braucht beispielsweise stärkere Authentifizierungsmaßnahmen als weniger kritische Systeme. Erst im Rahmen einer umfassenden Risikobewertung lassen sich jedoch Anwendungen, die ein höheres Sicherheits-Level benötigen, identifizieren, effektiv kategorisieren und entsprechende Prioritäten setzen. Ziel ist es dann, den Grad der betrieblichen Sicherheit durch eine erweiterte Authentifizierung zu erhöhen.

Hinzu kommt, dass nicht alle Benutzer auf sämtliche Anwendungen und Daten zugreifen müssen. 

Wer im Marketing arbeitet, braucht keinen Zugriff auf sensible Personaldaten. Deshalb sollte man auch die jeweiligen Rollen einer Risikobewertung unterziehen. Auf dieser Basis haben Firmen anschließend die Möglichkeit, rollenbasierte Zugriffskontrollen (RBAC) einzuziehen. Sie gewährleisten, dass Benutzer in einer bestimmten Position, nur auf genau die Daten und Anwendungen zugreifen können, die sie brauchen, um ihre täglichen Arbeitsaufgaben zu erledigen.

2. Mangelnde Sorgfalt bei der Integration von Authentifizierungsmaßnahmen in bestehende Systeme 

Um einen kohärenten Authentifizierungsrahmen für die komplette Infrastruktur zu gewährleisten, ist es wichtig, die Kompatibilität zu bestehenden Systemen herzustellen. Das gilt in verschärftem Maß für traditionelle und eventuell veraltete Systeme. Hier sollte man ein besonderes Augenmerk auf 

branchenübliche Authentifizierungsmethoden legen. Dazu kann es nötig sein, das jeweilige Frontend einer Anwendung neu zu kodieren, um etwa OIDC (OpenID Connect) oder SAML (Security Assertion Markup Language) Flows zu übernehmen. Viele Anbieter stellen Toolkits bereit, die diesen Prozess vereinfachen und eine nahtlose Integration erlauben. Es muss sorgfältig geprüft werden, ob und inwieweit sich die Systeme mit den eingesetzten Authentifizierungssystemen integrieren lassen. Mit diesem Schritt reduziert man die Komplexität bei der Implementierung und erhöht gleichzeitig den allgemeinen Sicherheitslevel.

3. Nur ein einziger Authentifizierungsfaktor

In der aktuellen Sicherheitslandschaft ist die 2- oder Multi-Faktor-Authentifizierung inzwischen ein Muss. Zusätzlich empfehlenswerte Faktoren sind beispielsweise: 

  • Physische Token: Geräte wie Yubikey oder Google Titan Token erzeugen digitale Signaturen, die eine weitere Sicherheitsebene für Identitäten bieten.
  • Biometrische Authentifizierung: Faktoren wie Fingerabdrücke, Gesichtserkennung und weitere mehr.
  • Vertrauenswürdige Geräte (Trusted Devices): Die Geräteregistrierung oder ein verifiziertes Zertifikat stellen sicher, dass die uns bekannten Nutzer vertrauenswürdige Geräte verwenden und auf die von ihnen benötigten Systeme zugreifen können. 
  • Hochgradig vertrauenswürdige Faktoren sind die BankID oder die e-ID der Regierung

Wenn Sie sich für einen bestimmten Authentifizierungsfaktor entscheiden, berücksichtigen Sie dabei auch die Art der Daten, die sie schützen wollen. Bei hochsensiblen Daten bietet eine Kombination aus mehreren Faktoren ein höheres Maß an Sicherheit. Der Zugriff auf weniger kritische Daten lässt sich auch über ein Passwort und einen zeitbasierten TOTP-Authentifizierungs-App-Code oder eine PUSH-Benachrichtigung gewähren. Bei seinen Überlegungen sollte man auch die passwortlose Authentifizierung einbeziehen. Anstelle eines Passworts werden bei dieser Option andere Authentifizierungsfaktoren wie biometrische Daten, vertrauenswürdige Geräte oder physische Token verwendet. 

Keinesfalls sollte man sich nur auf einen einzigen Faktor verlassen. 

4. Und dann ist da noch die User Experience…

Gestaltet sich der Authentifizierungsprozess umständlich und schwerfällig, ist das für die Anwender oft frustrierend. Für mehr Benutzerfreundlichkeit sorgt ein Gleichgewicht zwischen Sicherheit und Zugänglichkeit einer Anwendung. Wenn man erweiterte Authentifizierungsfaktoren in Betracht zieht, sollte man solchen Lösungen den Vorrang geben, die mit möglichst wenigen Schritten auskommen und die Reibungsverluste senken. Klare Anweisungen, benutzerfreundliche Schnittstellen und Self-Service-Optionen verbessern die User Experience.

5. Authentifizierungsaktivitäten und Authentifizierungsmuster außer Acht lassen

Will man Risiken effektiv einschätzen und senken, kommt man nicht umhin, sich das Benutzerverhalten genauer anzusehen und regelmäßig zu überprüfen. Dies schließt das Überprüfen und Analysieren von Authentifizierungsaktivitäten ein. 

Die meisten Identity und Access Management-Plattformen (IAM) stellen Logging-Daten und Dashboards zur Verfügung. SIEM-Integrationen warnen zusätzlich vor einem verdächtigen Verhalten oder vor einem, das von den üblichen Normalwerten abweicht. Da dies in Echtzeit passiert, lassen sich Bedrohungen schnell erkennen und entsprechende Maßnahmen einleiten. 

Warnmeldungen informieren Administratoren und Sicherheitsteams über nicht autorisierte Zugriffsversuche beim Auftreten ungewöhnlicher Anmeldemuster.

Einige Firmen entscheiden sich für eine risikobasierte Authentifizierung. Dabei wird mithilfe von maschinellem Lernen ein Profil des bisherigen Anmeldeverhaltens erstellt und die Sicherheitsmaßnahmen angepasst, um die Benutzeridentität in Echtzeit zu überprüfen.

Tritt bei einem Anmeldeversuch ein erhöhter Risikowert auf, verlangt das System zusätzliche Authentifizierungsfaktoren oder verweigert den Zugriff vollständig. Bei Anmeldeversuchen mit einem niedrigeren Risikowert, können weniger Anforderungen gestellt oder die Authentifizierung umgangen werden.

6. Benutzer werden nicht ausreichend geschult  

Anwender im Sinne der allgemeinen Sicherheit zu schulen ist wichtiger denn je. Riskante Verhaltensweisen Einzelner machen ganze Unternehmen angreifbar. Zu einer nachhaltigen Schulung gehört eine klare, benutzerfreundliche Dokumentation wie man erweiterte Authentifizierungsmethoden einrichtet und verwendet. Am besten mit

Schritt-für-Schritt-Anleitungen, Screenshots und Tipps zur Fehlerbehebung, die das Verständnis erleichtern. Praktische Beispiele und Fallstudien anhand tatsächlicher Datenschutzverletzungen schärfen die Aufmerksamkeit – nicht zuletzt im Hinblick auf die möglichen Konsequenzen. 

Diese Maßnahmen in eine gelebte Cybersicherheitskultur einzubetten, motiviert die Anwender und unterstützt sie, eigenverantwortlich zu handeln. 

Fazit

Unternehmen können also einiges tun, um die genannten Fehlerquellen zu vermeiden und so den Sicherheits-Level insgesamt zu verbessern, das Risiko unbefugter Zugriffe und von Datenschutzverletzungen zu senken sowie wertvolle Unternehmensressourcen insgesamt besser zu schützen.

*Der Autor Stuart Sharp ist VP of Product Strategy bei One Identity.


Mehr Artikel

News

TechnoVision: Die 5 wichtigsten Technologietrends im Jahr 2025

3. Dezember 2024

Mit den „TechnoVision Top 5 Tech Trends to Watch in 2025“ stellt Capgemini fünf Schlüsseltechnologien vor, die im kommenden Jahr einen neuen Reifegrad erreichen werden. Der Fokus auf KI und generative KI wird dabei sowohl von Führungskräften auf der ganzen Welt als auch von Risikokapitalgebern geteilt, wie Vorabergebnisse einer Umfrage zeigen, die auf der CES im Januar 2025 veröffentlicht werden soll. […]

News

Supply Chain 2025: Die wichtigsten Trends im Überblick

3. Dezember 2024

Eine resiliente Lieferkette steht für die meisten Unternehmen an oberster Stelle. Risikominimierung, Verbesserung nachhaltiger Praktiken, schlanker Betrieb, schnelle Reaktion auf Kundenbedürfnisse und Verbesserung der Termintreue bei überschaubaren Kosten sind dabei Faktoren, die immer mehr an Bedeutung gewinnen. […]

News

Die Top 5 HR-Trends im kommenden Jahr

2. Dezember 2024

KI und Automatisierung verändern die Arbeitswelt. Die Zukunft des Personalwesens sichern heißt, mehr als die reine Digitalisierung voranzutreiben und auch menschliches Potenzial zu maximieren, Mitarbeitererfahrung zu verbessern und Unternehmenserfolg zu steigern. Ein hybrider KI-Ansatz verliert den Menschen nicht aus dem Auge: Er kombiniert technologische Effizienz mit menschlicher Anpassungsfähigkeit, Kreativität und kritischem Denken. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*