Interview Phil Dunkelberger, CEO Nok Nok Labs
Inhärent anfällige IT
"Knock! Knock!" - "Who is it?" ("Klopf! Klopf!" - "Wer ist da?"): Mit diesem immer gleichen Frage-Antwort-Spiel beginnen die in den USA beliebten Knock-Knock-Witze. Dem hier behandelten Problem der Authentifizierung (Wer ist da?) widmet sich das nach diesen Scherzen benannte Startup-Unternehmen Nok Nok Labs. Phil Dunkelberger - bis zur Übernahme der PGP Corporation durch Symantec PGP-Chef und nun CEO des Security-Startups - bemängelte in einem Exklusivinterview mit LANline den unbefriedigenden Status quo der Authentifizierung.LANline: Herr Dunkelberger, warum braucht die IT-Branche einen weiteren Authentifizierungsanbieter? Dunkelberger: In der IT-Security-Industrie verfügen wir über zahlreiche Heuristiken, die sich auf das Gerät beziehen, aber nur über sehr wenige für die Benutzerebene. Die Branche ist die Authentifizierung grundlegend falsch angegangen. Sie befasst sich heute mit Fragen der Identity Federation (domänenübergreifende Nutzung von Authentifizierung, d.Red.), etwa durch Oauth. Man kann aber keine Föderierung nutzen, ohne vorher eine starke Authentifizierung etabliert zu haben. Dies führt zu einer inhärent anfälligen Natur des Ökosystems. LANline: Was ist die Wurzel des Übels? Dunkelberger: Die meisten Online-Dienste nutzen heute statt starker Authentifizierung lediglich die Standardkombination Benutzername und Passwort - das reicht allerdings bei Weitem nicht aus. Dies ist auch die größte Herausforderung im Cloud Computing: nicht Verschlüsselung, sondern Authentifizierung! Denn wenn ein System erst einmal kompromittiert ist, dann hilft selbst die beste Verschlüsselung nichts. LANline: Sehen das die Benutzer denn auch so? Oder ist für sie die Authentifizierung nur eine lästige Hürde auf dem Weg zu dem IT- oder Cloud-Service, den sie eigentlich nutzen wollen? Dunkelberger: Wir haben kürzlich eine Studie in Auftrag gegeben, um die Einstellung von Endanwendern zur starken Authentifizierung zu ermitteln. Diese Online-Umfrage - wir wollten intensive Web-Nutzer erreichen, nicht die Gelegenheitssurfer - mit 1.900 Teilnehmern ergab: Heutzutage befürwortet ein Großteil der befragten Konsumenten den Einsatz biometrischer Authentifizierungsmethoden - seien es Fingerabdruck-Scanner, die im Notebook oder Tablet eingebaute Kamera, Iris-Scans etc. - als Mittel, um sich stark authentifizieren zu können. Das Hauptmotiv in den USA und in UK war dabei übrigens mehr Bequemlichkeit gegenüber manueller Passworteingabe - in Deutschland hingegen war der Hauptgrund höhere Sicherheit. Deutsche Anwender haben den Sprung über den Abgrund schon geschafft, Sicherheit ist ihnen wichtig. Sie sagen: Wenn dein System nicht sicher ist, dann mache ich mit dir keine Geschäfte. LANline: Ein Mantra der Security-Branche lautet: "Hundertprozentige Sicherheit gibt es nicht." Was muss ein Unternehmen tun, um nach einer Kompromittierung seines Systemzugangs schnell wieder handlungsfähig zu werden? Dunkelberger: Nach einem Sicherheitsvorfall müssen die Backend-Systeme agil genug sein für die schnelle Neuregistrierung der Anwender. Das heißt zum Beispiel: Wenn ein Token oder Passwort kompromittiert wurde, muss man schnell umschalten können auf Sprache, Kamera oder auch Fingerabdruck. Im Zentrum steht hier die Idee der Substitution, des Austauschs: Zwischen Geräten zu wechseln ist einfach, warum kann ich nicht ebenso einfach zwischen Authenfizierungsmethoden wechseln? Nur Substitution erlaubt es der Sicherheitsinfrastruktur, schnell zu skalieren. LANline: Nok Nok Labs zielt mit dem neuen Online Secure Transaction Protocol (OSTP) auf diese methoden- und anbieterübergreifende Authentifizierung. Dazu brauchen Sie ein Partner-Ökosystem. Was ist hier der Stand der Dinge? Dunkelberger: Starke Authentifizierung kann herstellerübergreifend über ein einheitliches Protokoll funktionieren, an dem wir mit der FIDO Alliance arbeiten. Die Alliance hatte im Februar sechs Mitglieder, im April waren es nun schon 15. OSTP kommuniziert über Server und Agents auf den Endgeräten, idealerweise ist es aber bereits per Chip im Endgerät verbaut. Dazu wollen wir die Hardwarehersteller an Bord holen. Die IT-Branche muss dieses Problem gemeinsam lösen, nicht nur ein einzelner Anbieter. Erste kommerzielle Produkte sind in sechs Monaten zu erwarten. LANline: Vielen Dank für das Gespräch.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
