Business Continuity und sicherer Fernzugriff
Remote Work nicht nur in Krisenzeiten
Die Corona-Krise hat den geografisch flexiblen Arbeitsplatz schlagartig in bisher nicht gekannten Dimensionen ins Spiel gebracht. Auch nach den Lockerungen der Krisenregeln signalisieren viele Unternehmen, dieses Arbeitsmodell künftig verstärkt anzubieten. Da sich jedoch auch Cyberkriminelle inzwischen auf die neue Situation eingeschossen haben, ist es unabdingbar, dass dieses Modell mit umfassender Security einhergeht. Um aber auch in der Praxis erfolgreich zu sein, dürfen Betreiber die Benutzererfahrung nicht durch umständliche Security-Mechanismen torpedieren. Security plus positives Nutzererlebnis muss für einen Erfolg daher die Zauberformel lauten.
Das Arbeiten von zu Hause oder anderen Orten war bisher eine freiwillige Übung, mit der Unternehmen Teilen ihrer Belegschaft ein Plus an Flexibilität geboten haben. Die entsprechenden Projekte waren meist zeitlich entspannt und in ihrer Größe überschau- oder zumindest klar kalkulierbar.
In der Krise besteht die große Herausforderung nun darin, unter hohem Zeitdruck einen Rollout von sicherem Remote Working in großem Stil umzusetzen. Tatsächlich gewinnt der Sicherheitsaspekt derzeit noch einmal geradezu tragisch an Bedeutung – denn Cyberkriminelle haben den Heimarbeitsplatz und unzureichend gesicherte Verbindungen ins Firmennetzwerk als schwächste Glieder entdeckt und Angriffe vermehrt und ganz gezielt darauf gerichtet.
Wenn es darum geht, schnell einen sicheren und komfortabel nutzbaren Remote-Arbeitsplatz zu realisieren, können Anbieter wie RSA mit seiner SecurID-Access-Lösung bereits auf lange Erfahrung bauen. Für den erfolgreichen Spagat zwischen angemessener Sicherheit und angenehmem Benutzererlebnis ist an erster Stelle die Authentifizierung von entscheidender Bedeutung.
Sicherheit und Komfort
Eine der wichtigsten Aufgaben einer Lösung für Home- oder Remote-Arbeitsplätze ist die Sicherstellung, dass die Nutzer, die mit den Applikationen des Unternehmens arbeiten wollen, tatsächlich die sind, für die sie sich ausgeben. Dies gilt sowohl für Anwendungen, die im eigenen Rechenzentrum gehosted sind, als auch für diejenigen, die als SaaS-Dienst aus der Cloud bereitstehen. Einfache Lösungen werkeln noch ausschließlich mit Passworten. Diese sind jedoch für Endbenutzer frustrierend, das Unternehmen kosten sie viel Geld im Support – etwa durch Zurücksetzen vergessener Passwörter. Natürlich können auch moderne Lösungen nicht völlig auf Kennwörter verzichten, dann sind sie jedoch eines von mehreren Verfahren – und so sparsam wie möglich eingesetzt. Solche Zwei-, beziehungsweise Mehr-Faktor-Authentifizierungsverfahren (2FA/MFA) bringen einen hohen Sicherheitsgewinn. Er entsteht zum einen durch die Tatsache, dass eben mindestens zwei Faktoren (Besitz und Wissen) für die Sicherheit zum Einsatz kommen, zum anderen auch durch besonders sichere Verfahren.
RSA SecurID Access beispielsweise ändert wahlweise alle 30 oder 60 Sekunden den Passcode. Wollte ein Hacker dort einbrechen, müsste er das also nahezu in Echtzeit erledigen. Dies jedoch gilt selbst unter Einsatz modernster Angriffs-Tools als unmöglich. Damit lassen sich durch den Einsatz einer zentral gesteuerten 2FA/MFA auch Angriffe durch Trojaner oder Keylogger komplett ausschließen. Nicht ohne Grund sind 2FA/MFA als besonders sichere Authentifizierungsmechanismen inzwischen oft gesetzlich vorgeschrieben, beispielsweise in Form der PSD2 (Payment Services Directive 2) im Bankensektor.
Wie komfortabel sie einsetzbar sind, hängt von mehreren Faktoren ab. Der erste ist die die Integration in wichtige Anwendungen und Cloud-Plattformen. Die tägliche Arbeit beruht auf Anwendungen. Daher ist es wichtig, dass die Authentifizierungslösung in ein breites Spektrum von Anwendungen integriert ist. RSA SecurID Access ist für die meist genutzten Anwendungen wie die von Citrix, CyberArk, Cisco, Palo Alto, Salesforce, ServiceNow, VMware und vielen weiteren zertifiziert, außerdem auch für alle relevanten Cloud-Plattformen wie AWS (Amazon Web Services) oder Microsoft. Dies bedeutet, dass die MFA-Lösung damit durchgängig sowohl in Anwendungen, die im eigenen Rechenzentrum gehostet werden, funktioniert wie auch zusammen mit solchen, die bei Public-Cloud-Anbietern laufen.
Der zweite Punkt sind moderne MFA-Methoden: Sicherheitsverfahren werden in der täglichen Praxis nur dann wirklich genutzt, wenn der gewohnte Arbeitsfluss dadurch nicht spürbar gebremst ist. Dies gelingt am besten durch das Angebot einer breiten Palette von Identifikationsverfahren, aus denen der Nutzer die für seine aktuelle Situation am besten geeigneten wählen kann. RSA SecurID Access bietet mehrere 2FA/MFA-Verfahren, darunter Push-Nachrichten, Biometrie, Wearables, mobile Einmal-Passworte (OTPs) und auch Hardware- und Software-Tokens. Aus diesem Set lassen sich sehr schnelle und einfache Kombinationen umsetzen, die von Anwendern gerne genutzt werden.
Als dritter Punkt gilt die risikobasierende Authentifizierung, denn bei einer modernen Authentifizierungslösung dürfen heute Verfahren nicht fehlen, die auch situations- und verhaltensbezogene Aspekte mit in die Bewertung einfließen lassen.
Einfachstes Beispiel: Arbeitet ein Nutzer typischerweise zu den üblichen Geschäftszeiten, meldet sich nun aber um Mitternacht an, wird die Authentifizierungslösung einen weiteren Identitätsbeweis aus den MFA-Methoden anfordern, beispielsweise einen Fingerabdruck. Gleiches gilt auch, wenn die Anmeldung üblicherweise aus dem Büro erfolgt, der Nutzer sich nun aus dem Home-Office anmeldet. Die RSA-Lösung bezieht noch weitere Parameter ins Kalkül ein, darunter die aktuelle Rolle des Benutzers, das verwendete Gerät, den Ort, die Menge transferierter Daten sowie nicht zuletzt die Applikation, an der ein Benutzer sich anmelden will. Sobald die Algorithmen eine Abweichung vom typischen Muster feststellen, fordert das System diesen zusätzlichen Sicherheitscheck.
Mit FIDO auch Hardware-Token einfach zu handhaben
Auch wenn im Sinn einer positiven Nutzererfahrung moderne, meist Smartphone-basierende Software-MFA-Lösungen grundsätzlich die erste Wahl darstellen, gibt es dennoch nach wie vor Anwendungsfälle, in denen Hardware-Token gefordert sind. Bei vielen Anwendern stießen solche Lösungen bisher oft auf wenig Gegenliebe. Durch eine kürzlich geschlossene Kooperation mit Yubico, einem Unternehmen im Bereich hardwarebasierender FIDO-Authentifikatoren, konnte RSA den Einsatz von Hardware-Tokens vereinfachen. YubiKey für RSA SecurID Access kombiniert ein FIDO2-fähiges Hardwaregerät von Yubico mit den Vorteilen der Sicherheit auf Unternehmensebene, der risikobasierende Authentifizierung und dem vereinfachten Credential-Lifecycle-Management von RSA SecurID Access.
Der Grundgedanke bei der FIDO Alliance (Fast Identity Online Alliance) war die Entwicklung einer einheitlichen Authentifizierungsinfrastruktur (Universal Authentication Framework, UAF), die einfach zu handhaben ist, die Abhängigkeit von Benutzernamen und Passwörtern minimiert und gleichzeitig an verschiedene Sicherheitsanforderungen anpassbar ist.
Die FIDO-Allianz hat aktuell drei Spezifikationen für eine einfachere und stärkere Authentifizierung veröffentlicht. Sie alle sind offen und frei für die weltweite Nutzung. RSA hat bereits den ursprünglichen U2F-Standard unterstützt und war einer der ersten Security-Anbieter, der als FIDO2-kompatibler Authentifizierungs-Server zertifiziert ist. Die Partnerschaft mit Yubico ist ein weiterer logischer Schritt in RSAs FIDO-Engagement. FIDO-Unterstützung gibt es jetzt eben auch durch die Verwaltungsplattform RSA SecurID Access. Eine robuste und unternehmensweite Identitätssicherung lässt sich so für eine sichere und bequeme Authentifizierung mit den passenden Hardwaregeräten kombinieren.
Security braucht starke Führung
TechData versteht sich als aktives Bindeglied im Technologie-Ökosystem und als Trusted Advisor für seine Partner, um sie dabei zu unterstützen, Technik, Normen und gesetzliche Vorgaben zu auf die Bedürfnisse der Anwender zugeschnittene Lösungen zu kreieren. Insbesondere will man umfangreiche Normenwerke wie beispielsweise die ISO Recommendations zu 27001 und die entsprechenden Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) so aufbereiten, das die Partner RSA-Lösungen problemlos ISO/BSI-konform implementieren können. Die Partner können so ISO/BSI-Konformität als Baustein für das Gesamtpaket anbieten – oft ein wichtiges Auswahlkriterium beim Anwender.
Auf seinen Web-Seiten veröffentlicht TechData für seine Partner zudem ständig aktualisierte Richtlinien für die Installation seiner Produkte im Hinblick auf Normen- und Gesetzeskonformität. Im Laufe der Jahre haben sich diese Seiten zu einem regelrechten Tool entwickelt. Ein weiteres Ziel ist es, beim Anwender eine höhere Resilienz zu schaffen sowie Verwundbarkeiten und Schwachstellen kontinuierlich zu beseitigen.
Wolfgang Rieger ist Senior Business Developer DACH bei TechData, www.techdata.com.
Lesen Sie mehr zum Thema
