Authentifizierung und Consumerization
Guck mal, wer da spricht
Immer mehr Unternehmen und Organisationen erlauben ihren Mitarbeitern, eigene mobile Geräte im Unternehmen einzusetzen. Die Anwender nutzen Smartphones, Tablet-PCs etc. meist bereits privat und haben sich an die intuitive Bedienung gewöhnt. Der Trend der Consumerization, also der Vermischung von privater und beruflicher IT-Nutzung, bringt jedoch nicht nur Vorteile, sondern auch Sicherheitsprobleme mit sich, so zum Beispiel beim beruflichen Einsatz privater Endgeräte (Bring Your Own Device, BYOD).
Für BYOD müssen IT-Administratoren private Endgeräte in die IT-Infrastruktur einbinden, damit die Anwender damit auf das Firmennetzwerk und die dort hinterlegten Programme und Daten zugreifen können. Doch die wenigsten dieser neuen Devices sind angemessen geschützt und bilden dadurch Einfallstore für Hackerangriffe und Industriespionage. Eine logische Konsequenz, um ungewünschte Zugriffe und den Diebstahl sensibler Daten zu vermeiden, wäre es, den Einsatz dieser Geräte im Unternehmen grundsätzlich zu verbieten. Doch damit würden auch die Vorteile auf der Strecke bleiben. Denn viele Benutzer sehen in der Verwendung privater Geräte Vorteile wie mehr Flexibilität und Produktivität. Für das Unternehmen wiederum entfällt zum Beispiel die Beschaffung von Mobiltelefonen, wenn Mitarbeiter eigene Smartphones nutzen. Doch um Daten und Zugänge zu schützen, müssen Unternehmen beim Thema Remote Access hohe Maßstäbe an die Sicherheit bei Anmeldungen anlegen. Zudem müssen sie Compliance-Richtlinien wie das Bundesdatenschutzgesetz und Regularien wie Basel II (und künftig Basel III), PCI, ISO etc. befolgen. Daneben spielen auch die Themen Datenschutz und die Mitarbeiterkontrolle wie etwa der Nachweis geleisteter Arbeitszeit eine wichtige Rolle, wenn Unternehmen BYOD zulassen. Denn die Nutzung privater Geräte im Unternehmen kann Mitarbeiter dazu verleiten, auch private Angelegenheiten während der Arbeitszeit zu erledigen.
Authentifizierung
Die Authentifizierung des Benutzers spielt vor dem Hintergrund von Consumerization und zunehmender Mobilität der Anwender eine wichtige Rolle. Die Ein-Faktor-Authentifizierung kann im Unternehmens-Netzwerk durchaus ausreichen: Bei LAN-Anmeldungen im Büro identifiziert der Kollege zusätzlich den Anmelder. Doch bei Remote Access ist die Authentifizierung mit dem Benutzernamen und einem statischen Passwort in jedem Fall ungenügend und suggeriert trügerische Sicherheit: Social Engineering, Keylogger, Phishing und Man-in-the-Middle-Angriffe können Anmeldedaten ausspionieren und ohne Wissen des Anwenders weitergeben. Deshalb müssen Unternehmen einen weiteren Schlüssel verlangen, bevor der mobile Datenzugriff erlaubt wird. Eine Mehr-Faktor-Authentifizierung ist hier ein probates Mittel. Viele gängige Mehr-Faktor-Authentifizierungen bestehen aus zwei Faktoren. Die Schlüssel müssen aus den Bereichen „Haben“, „Wissen“ oder „Sein“ kombiniert werden. So wissen Anwender beispielsweise ihr Passwort und haben ein Zertifikat. Der zusätzliche Faktor kann ein Zertifikat auf einer Smartcard, ein biometrisches Merkmal oder ein One-Time-Passcode (OTP) sein, der auf ein Handy geschickt wird. Die Lösung muss nicht nur sicher sein, sondern sich auch in die Anwendung oder Plattform integrieren und einfach nutzen lassen. Wenn Mitarbeiter zum Beispiel mit dem Smartphone auf Firmen-E-Mails zugreifen, bietet es sich an, den OTP für den Zugriff auf den E-Mail-Server als SMS auf das Smartphone des Anwenders zu senden. Token-Hardware bietet zwar ähnliche Sicherheit, ist aber ein zusätzliches Device, auf das der Benutzer achten und das die IT verwalten muss.
Methoden der Authentifizierung
Mitarbeiter bringen in der Regel ein Notebook, einen Tablet-PC oder ein Smartphone ins Unternehmen ein. Im letzteren Fall bieten sich Lösungen an, die das Smartphone auch zur Authentifizierung nutzen. Eine solche Lösung sendet das OTP wie beim Online-Banking als SMS auf das Mobiltelefon. Dabei wird der Zugangscode oder auch Passcode erst generiert, nachdem sich der Mitarbeiter bereits über Anmeldenamen und Passwort gegenüber dem Anmelde-Server identifiziert hat. Da der Passcode die Session-ID überprüft, wehrt dies auch Phishing- und Man-in-the-Middle-Angriffe ab, denn wenn der Hacker eine neue Session eröffnet, ist der OTP nicht mehr gültig. Bei der Auswahl einer solchen Lösung sollte man darauf achten, dass das Smartphone nur als OTP-Empfänger genutzt wird und den Code nicht über eine installierte App generiert. Denn in diesem Fall wäre ein Verlust eines Smartphones gleichzeitig eine neue Sicherheitslücke. Durchaus beliebt, aber bislang wenig genutzt ist das biometrische Verfahren der Stimmerkennung. Der Tablet-PC hat gegenüber dem Smartphone keine entscheidenden Vorteile, außer dass bei einigen Tablet-PCs zusätzliche Hardwareanschlüsse möglich sind, zum Beispiel für Biometrie-Scanner oder ähnliche Geräte. OTP-Lösungen funktionieren hier ebenso wie auf Notebooks. Diese bieten die meisten Optionen für Authentifizierungsverfahren: Ist ein Fingerabdruckscanner installiert, kann das „Sein“ als weiterer Faktor Verwendung finden. Hier ist darauf zu achten, wie exakt die genutzte Hard- und Software den Fingerabdruck scannt und ob die Daten verschlüsselt übertragen und sicher gespeichert werden. Denn auch hier gilt: Ein zusätzlicher Schlüssel, der bekannt ist, ist sehr gefährlich, da er unbemerkt genutzt werden kann. Weitere biometrische Authentifizierungsverfahren arbeiten mit der Augeniris oder dem Tippverhalten des Anwenders auf der Tastatur. Die Überprüfung des Fingerabdrucks ist am einfachsten zu realisieren, inzwischen ausreichend erprobt und erzeugt nur geringe Fehlerraten oder False-Positive-Werte. Digitale Zertifikate sicheren die rechnergestützte Kommunikation zwischen Mitarbeiter und Unternehmen ab. Daten werden hierbei digital signiert und verschlüsselt übertragen. Eine PKI (Public Key Infrastructure) gilt als eine der sichersten Lösungen. Ein Soft-Zertifikat (installiertes Zertifikat) ist jedoch angreifbar: Die Berechnungen und der installierte Private Key können attackiert werden, sobald das Notebook verloren oder gestohlen wird. Soft-Zertifikate sind mit geringem Aufwand auf anderen Geräten einsetzbar. Digitale Zertifikate über Smart Cards bieten erweiterte Sicherheit und Komfort. Der Private Key ist auch bei Verlust der Karte nicht auslesbar, und die Karten können überall zum Einsatz kommen, wo ein Kartenleser verfügbar ist. Es gibt allerdings immer weniger Notebook-Hersteller, die in ihren Business-Modellen Kartenleser einbauen oder optional anbieten. Eine nette Idee ist die Nutzung einer kombinierten Lösung aus USB-Stick und Smart Card. Kartenleser werden hier nicht benötigt. Die ID-Karte verfügt über zusätzliche NFC-Funktionen für kontaktlose Aktionen, beispielsweise das bargeldlose Bezahlen in der Kantine. Gegenüber Hardware-Tokens haben Anwender den Zusatznutzen eines hardwareverschlüsselten mobilen Datenspeichers. Per Softwareerweiterung lassen sich die USB-Sticks mit einem zentral gehosteten Datenspeicher synchronisieren, und der Anwender kann komplette Desktops virtualisiert auf dem USB-Stick mitführen und bei Verbindung sofort starten. Geht dieser Datenträger verloren, kann man ihn remote löschen. In der eingesetzten Middleware wird dann das verlorene Zertifikat deaktiviert und ist damit ebenfalls nicht mehr nutzbar. Interessant ist die Frage, wem die Geräte gehören: Wer verfügt über die Nutzungs- und Zugriffsrechte, wenn ein Mitarbeiter krank ist oder das Unternehmen verlässt? Eine Lösung für dieses Problem ist es, die Nutzung des privaten Geräts an den Arbeitgeber zu vermieten, zum Beispiel für fünf Euro pro Monat. Dann unterliegen die Geräte dem Mietrecht, der Eigentümer ist Vermieter und verfügt über weniger Rechte. Bei Kündigung des Mitarbeiters wird der Mietvertrag aufgelöst und der Mieter hat das Recht, die Daten zu löschen. Auch hier bietet sich die Authentifizierung per SMS-Versand an, weil diese auf dem Smartphone keine Informationen hinterlässt.
Fazit
Bei der Verwendung privater Endgeräte im Unternehmen sollte man für die Authentifizierung eine zusätzliche Hürde einbauen, weil die soziale Sicherheit bei Remote-Anmeldungen entfällt. Neben der Mehr-Faktor-Authentifizierung gilt es, die Daten effektiv zu verschlüsseln. Jedoch soll auch der Nutzen für den Anwender erkennbar sein. Zusätzlicher Aufwand wie zum Beispiel Zusatzhardware akzeptiert der Endanwender nur, wenn ein Vorteil erkennbar ist, zum Beispiel durch Single-Sign-on. Besonders wichtig bei der Mehr-Faktor-Authentifizierung ist, dass die Unternehmen auf die Kooperation des Mitarbeiters angewiesen sind, um Sicherheit zu gewährleisten. Diese stimmen der Einführung einer Mehr-Faktor-Authentifizierung leichter zu, wenn ihnen das Verfahren bereits aus dem Alltag vertraut ist.
Lesen Sie mehr zum Thema
