Erweiterte Authentifizierungsmaßnahmen übernehmen eine Schlüsselfunktion, wenn es gilt, das schwächste Glied innerhalb der Cybersicherheit zu berücksichtigen: den Anwender. 2-Faktor-Authentifizierung ist definitiv ein guter Anfang. Dennoch sind viele Unternehmen noch nicht so weit, oder es fehlt ihnen der erforderliche Grad an Authentifizierung, um Firmendaten angemessen zu schützen. [...]
Unter erweiterter Authentifizierung versteht man üblicherweise eine Kombination aus starker und adaptiver Authentifizierung (MFA und eine situationsbezogene Abfrage von Anmeldeinformationen), welche die Risikofaktoren in Echtzeit überprüft. Wenn Unternehmen sich entscheiden, erweiterte Authentifizierung zu implementieren, lauern allerdings einige Fallstricke. Wir haben uns sechs davon genauer angesehen.
1. Risikobewertung, Fehlanzeige
Eine möglichst umfassende Bewertung der bestehenden Risiken ist ein wichtiger erster Schritt – unabhängig davon, welche Form der Authentifizierung man zu implementieren plant. Verzichten Unternehmen darauf, aktuelle Bedrohungen, Schwachstellen, Systeme und Prozesse oder das notwendige Schutzniveau für verschiedene Anwendungen und Daten zu evaluieren, setzen sie sich einem erhöhten Risiko aus. Aber nicht jede Anwendung erfordert das gleiche Maß an Sicherheitsvorkehrungen. Eine Anwendung, die sensible Kunden- oder Finanzdaten verarbeitet braucht beispielsweise stärkere Authentifizierungsmaßnahmen als weniger kritische Systeme. Erst im Rahmen einer umfassenden Risikobewertung lassen sich jedoch Anwendungen, die ein höheres Sicherheits-Level benötigen, identifizieren, effektiv kategorisieren und entsprechende Prioritäten setzen. Ziel ist es dann, den Grad der betrieblichen Sicherheit durch eine erweiterte Authentifizierung zu erhöhen.
Hinzu kommt, dass nicht alle Benutzer auf sämtliche Anwendungen und Daten zugreifen müssen.
Wer im Marketing arbeitet, braucht keinen Zugriff auf sensible Personaldaten. Deshalb sollte man auch die jeweiligen Rollen einer Risikobewertung unterziehen. Auf dieser Basis haben Firmen anschließend die Möglichkeit, rollenbasierte Zugriffskontrollen (RBAC) einzuziehen. Sie gewährleisten, dass Benutzer in einer bestimmten Position, nur auf genau die Daten und Anwendungen zugreifen können, die sie brauchen, um ihre täglichen Arbeitsaufgaben zu erledigen.
2. Mangelnde Sorgfalt bei der Integration von Authentifizierungsmaßnahmen in bestehende Systeme
Um einen kohärenten Authentifizierungsrahmen für die komplette Infrastruktur zu gewährleisten, ist es wichtig, die Kompatibilität zu bestehenden Systemen herzustellen. Das gilt in verschärftem Maß für traditionelle und eventuell veraltete Systeme. Hier sollte man ein besonderes Augenmerk auf
branchenübliche Authentifizierungsmethoden legen. Dazu kann es nötig sein, das jeweilige Frontend einer Anwendung neu zu kodieren, um etwa OIDC (OpenID Connect) oder SAML (Security Assertion Markup Language) Flows zu übernehmen. Viele Anbieter stellen Toolkits bereit, die diesen Prozess vereinfachen und eine nahtlose Integration erlauben. Es muss sorgfältig geprüft werden, ob und inwieweit sich die Systeme mit den eingesetzten Authentifizierungssystemen integrieren lassen. Mit diesem Schritt reduziert man die Komplexität bei der Implementierung und erhöht gleichzeitig den allgemeinen Sicherheitslevel.
3. Nur ein einziger Authentifizierungsfaktor
In der aktuellen Sicherheitslandschaft ist die 2- oder Multi-Faktor-Authentifizierung inzwischen ein Muss. Zusätzlich empfehlenswerte Faktoren sind beispielsweise:
- Physische Token: Geräte wie Yubikey oder Google Titan Token erzeugen digitale Signaturen, die eine weitere Sicherheitsebene für Identitäten bieten.
- Biometrische Authentifizierung: Faktoren wie Fingerabdrücke, Gesichtserkennung und weitere mehr.
- Vertrauenswürdige Geräte (Trusted Devices): Die Geräteregistrierung oder ein verifiziertes Zertifikat stellen sicher, dass die uns bekannten Nutzer vertrauenswürdige Geräte verwenden und auf die von ihnen benötigten Systeme zugreifen können.
- Hochgradig vertrauenswürdige Faktoren sind die BankID oder die e-ID der Regierung
Wenn Sie sich für einen bestimmten Authentifizierungsfaktor entscheiden, berücksichtigen Sie dabei auch die Art der Daten, die sie schützen wollen. Bei hochsensiblen Daten bietet eine Kombination aus mehreren Faktoren ein höheres Maß an Sicherheit. Der Zugriff auf weniger kritische Daten lässt sich auch über ein Passwort und einen zeitbasierten TOTP-Authentifizierungs-App-Code oder eine PUSH-Benachrichtigung gewähren. Bei seinen Überlegungen sollte man auch die passwortlose Authentifizierung einbeziehen. Anstelle eines Passworts werden bei dieser Option andere Authentifizierungsfaktoren wie biometrische Daten, vertrauenswürdige Geräte oder physische Token verwendet.
Keinesfalls sollte man sich nur auf einen einzigen Faktor verlassen.
4. Und dann ist da noch die User Experience…
Gestaltet sich der Authentifizierungsprozess umständlich und schwerfällig, ist das für die Anwender oft frustrierend. Für mehr Benutzerfreundlichkeit sorgt ein Gleichgewicht zwischen Sicherheit und Zugänglichkeit einer Anwendung. Wenn man erweiterte Authentifizierungsfaktoren in Betracht zieht, sollte man solchen Lösungen den Vorrang geben, die mit möglichst wenigen Schritten auskommen und die Reibungsverluste senken. Klare Anweisungen, benutzerfreundliche Schnittstellen und Self-Service-Optionen verbessern die User Experience.
5. Authentifizierungsaktivitäten und Authentifizierungsmuster außer Acht lassen
Will man Risiken effektiv einschätzen und senken, kommt man nicht umhin, sich das Benutzerverhalten genauer anzusehen und regelmäßig zu überprüfen. Dies schließt das Überprüfen und Analysieren von Authentifizierungsaktivitäten ein.
Die meisten Identity und Access Management-Plattformen (IAM) stellen Logging-Daten und Dashboards zur Verfügung. SIEM-Integrationen warnen zusätzlich vor einem verdächtigen Verhalten oder vor einem, das von den üblichen Normalwerten abweicht. Da dies in Echtzeit passiert, lassen sich Bedrohungen schnell erkennen und entsprechende Maßnahmen einleiten.
Warnmeldungen informieren Administratoren und Sicherheitsteams über nicht autorisierte Zugriffsversuche beim Auftreten ungewöhnlicher Anmeldemuster.
Einige Firmen entscheiden sich für eine risikobasierte Authentifizierung. Dabei wird mithilfe von maschinellem Lernen ein Profil des bisherigen Anmeldeverhaltens erstellt und die Sicherheitsmaßnahmen angepasst, um die Benutzeridentität in Echtzeit zu überprüfen.
Tritt bei einem Anmeldeversuch ein erhöhter Risikowert auf, verlangt das System zusätzliche Authentifizierungsfaktoren oder verweigert den Zugriff vollständig. Bei Anmeldeversuchen mit einem niedrigeren Risikowert, können weniger Anforderungen gestellt oder die Authentifizierung umgangen werden.
6. Benutzer werden nicht ausreichend geschult
Anwender im Sinne der allgemeinen Sicherheit zu schulen ist wichtiger denn je. Riskante Verhaltensweisen Einzelner machen ganze Unternehmen angreifbar. Zu einer nachhaltigen Schulung gehört eine klare, benutzerfreundliche Dokumentation wie man erweiterte Authentifizierungsmethoden einrichtet und verwendet. Am besten mit
Schritt-für-Schritt-Anleitungen, Screenshots und Tipps zur Fehlerbehebung, die das Verständnis erleichtern. Praktische Beispiele und Fallstudien anhand tatsächlicher Datenschutzverletzungen schärfen die Aufmerksamkeit – nicht zuletzt im Hinblick auf die möglichen Konsequenzen.
Diese Maßnahmen in eine gelebte Cybersicherheitskultur einzubetten, motiviert die Anwender und unterstützt sie, eigenverantwortlich zu handeln.
Fazit
Unternehmen können also einiges tun, um die genannten Fehlerquellen zu vermeiden und so den Sicherheits-Level insgesamt zu verbessern, das Risiko unbefugter Zugriffe und von Datenschutzverletzungen zu senken sowie wertvolle Unternehmensressourcen insgesamt besser zu schützen.
*Der Autor Stuart Sharp ist VP of Product Strategy bei One Identity.
Be the first to comment