Heutige Arbeitsumgebungen sind geprägt durch mobile Endgeräte und Cloud-Lösungen, die der Anwender per Smartphone, Tablet oder Notebook nutzt. Das hat Auswirkungen auf die Art der Authentifizierungslösung: Diese muss Sicherheit und Benutzerfreundlichkeit bieten, und das am besten in Sekundenschnelle.

Klassische Bürogebäude sind als Arbeitsumgebungen heute vielerorts „out“. Entsprechende Geschäftsprozesse verlagern sich immer mehr in die „mobile Allgegenwart“ und die Cloud. Damit löst sich aber der traditionelle Sicherheitsrahmen mit genau definiertem digitalem Grenzregime (Firewall, DMZ) auf. In diesem Grenzregime für traditionelle Windows-Desktops und Laptops konzentrierte sich die IT auf die Kontrolle des Datenflusses durch Abschottung des Netzwerks und Einsatz eines Arsenals von Sicherheitstechniken. Darüber hinaus mussten alle Geräte in einer Domain einer durch Richtlinien (GPOs) definierten Gruppe zugehören, anhand derer das IT-Team die jeweiligen Benutzerrechte auf dem System kontrolliert. Entsprechende Richtlinien bestimmten beispielsweise die Passwort-Zusammensetzung oder Zugriffsrechte auf bestimmte Ordner. Ein solches Modell funktioniert freilich nur, wenn alle Geräte permanent mit dem LAN verbunden sind. In einem Umfeld, bei dem die Endgeräte nur hin und wieder eine Verbindung mit dem Netzwerk haben, ist es nicht flexibel genug.

Sicherheit neu definieren

Die Umstellung auf das Betriebssystemmodell, das Mobilgeräte-Betriebssystemen wie iOS und Android zugrunde liegt, bietet hinsichtlich der Flexibilität völlig neue Möglichkeiten. Betriebssysteme wie Windows 10 und macOS gehen im Zusammenspiel mit EMM-Systemen (Enterprise-Mobility-Management) inzwischen den gleichen Weg. Tatsächlich bringt der Übergang zu einem EMM-orientierten Betriebssystemmodell zunächst einmal aber nur deutlich mehr Flexibilität, die Sicherheit muss noch dazukommen. Im Vergleich zum traditionellen Modell muss man diese heute anders definieren und garantieren: direkt am Endgerät, direkt an den verwendeten Apps, direkt am Nutzer.

Bei modernen Authentifizierungslösungen genügt ein einfacher Klick: Die Sicherheitsmechanismen laufen verdeckt ab. Bild: MobileIron

Bei lediglich traditioneller Absicherung mit Benutzername und Passwort können sensible Unternehmensdaten relativ leicht in unbefugte Hände geraten. Das Szenario ist hier ebenso verbreitet und trivial wie gefährlich: Ein Unternehmensmitarbeiter nutzt am Wochenende das nicht per EMM-System gemanagte Smartphone oder Tablet der Lebenspartnerin oder eines Freundes (Benutzername und Passwort werden ihm dafür mitgeteilt), um sensible Salesforce-Daten herunterzuladen, die er am Montag für eine Besprechung benötigt. Denn sein eigenes, verwaltetes Mobilgerät hat er gerade nicht zur Hand. Die Salesforce-Daten lädt er nun in einen Public-Cloud-Speicher hoch, wo sie relativ offen für unbefugte Einblicke sind. Der Erfolg eines solchen Vorgehens lässt sich nur vereiteln, wenn für den Zugriff auf die Salesforce-Daten mehr notwendig ist als die Eingabe traditioneller Authentifizierungsdaten.

Benutzername und Passwort reichen in Kontexten der eben beschriebenen Art als Authentifizierungselemente nicht aus. Die traditionellen Credentials bieten in der Mobile/Cloud-Welt weder Schutz vor manipulierten („gehackten“ oder „gerooteten“) Geräten noch vor vorgetäuschten Identitäten oder unsicheren Netzwerken. Die Authentifizierungsmechanismen müssen für moderne, mobile Arbeitswelten deshalb komplett überarbeitet und deutlich verschärft werden. Dabei sollte die Benutzerfreundlichkeit aber nicht auf der Strecke bleiben. Die Prioritäten bei der Vorgehensweise sind dabei klar: Zunächst sind ausreichende Sicherheitsfeatures zu implementieren, die man dann benutzerfreundlich ausgestaltet.

Im Prinzip sind für das sichere Zusammenspiel von mobilen Endgeräten und Cloud-Services ausgeklügelte Access-Systeme auf dem Markt, mit denen eine IT-Organisation kontextabhängig sehr detailliert einstellbare Entscheidungen hinsichtlich des Zugangs treffen kann. Dazu gehören zum Beispiel die sogenannten CASBs (gesprochen wie englisch „Casby“, kurz für Cloud Access Security Broker). Diese überprüfen den Datenverkehr, der in die Cloud geht, auf Anomalien, ähnlich den Netzwerkkontrollsystemen (Network Access Control, NAC) am Netzwerkzugang. Insgesamt sind CASBs aber immer noch stark auf das traditionelle Desktop-Computing-Modell zugeschnitten. Auch überprüfen sie primär Browser-basierten Traffic, weshalb sie im Mobilbereich eher schlecht skalierbar sind. Überdies verfügen sie kaum über ausgereifte Möglichkeiten für die Beurteilung mobiler Geräte nach dem Grad ihrer Richtlinienkonformität (sind sie unter Kontrolle der IT oder nicht?) oder nach ihrem Sicherheitszustand (ist das mobile Betriebssystem manipuliert?). CASBs überwachen insofern nicht den gesamten Zustand und das Verhalten eines mobilen Endgeräts, das sicherheitstechnisch ganz anders zu beurteilen und zu behandeln ist als ein traditioneller Desktop-PC.

Mittlerweile gibt es indes auf EMM-Lösungen aufsetzende Access-Systeme, die deutlich weiter reichen als die üblichen CASBs und die ganz auf das Zusammenspiel von mobilen Endpoints und Cloud-Services ausgerichtet sind. Ein solches Access-System leitet Zugriffsversuche eines Endgeräts auf Unternehmensdaten dabei über den ohnehin schon vorhandenen Proxy der EMM-Lösung. Erst wenn dieser Türwächter sein OK gibt, gestattet es den Zugriff. Hierbei kommen Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel SAML (Security Assertion Markup Language) zum Einsatz. Sie sorgen auch dafür, dass dabei für ein nahtloses Single Sign-On (SSO) keine Anpassungen der Cloud-Apps erforderlich sind.

Mehr-Faktor-Authentifizierung kann bei Bedarf als sichere Alternative für nahtloses SSO in Cloud-Access-Lösungen dienen. Bild: MobileIron

Mitunter lässt sich eine derart rigide Cloud-Zugangslösung nicht ohne Weiteres installieren, etwa aufgrund nicht geeigneter Endgeräte oder nicht vertrauenswürdiger Umgebungen. Dann muss man die Authentifizierung auf eine andere Art härten. Das Stichwort heißt hier Mehr-Faktor-Authentifizierung (MFA): eine zusätzliche Möglichkeit, die Identität eines Benutzers zu bestätigen. Die Grundidee von MFA ist längst bekannt, und auch entsprechende Produkte gibt es schon lange: Man ergänzt dabei die Komponente Wissen (Passwort) durch die Komponente Besitz (Hardware- oder Software-Token, Smartcard etc). Als weitere Faktoren lassen sich aktive und passive biometrische Merkmale (Verhaltens- oder Körpermerkmale) nutzen.

Hardware-Tokens gehen freilich leicht verloren, Software-Tokens erfordern in der Regel eine umständliche Aktivierung über QR-Codes. Keine dieser Lösungen ermöglicht eine ideal einfache Bedienung. Dazu kommt im Fall von Software-Tokens, dass der Nutzer letztendlich wieder ein Passwort eintippen muss, welches das Token erzeugt.

Eine einfache und dennoch sichere Authentifizierung sieht jedenfalls anders aus.

Hier kommt der oben aufgeführte Parameter „Benutzerfreundlichkeit“ ins Spiel: Eine benutzerfreundliche Authentisierung sollte für den Anwender möglichst unsichtbar in den Sicherheits-Workflow integriert sein. Das Vorgehen ist dabei das oben beschriebene: Ein Access-System prüft den Gesamtzustand und das Verhalten des Geräts und gewährt (oder verwehrt) dann dem Nutzer über SSO-Mechanismen den Zugang, ohne dass er zusätzlich aktiv werden muss.

One-Touch-Authentifizierung

Wenn Endgerät und Umgebung ein nahtloses SSO nicht zulassen, geht der Sicherheits-Workflow idealerweise auf eine MFA-Lösung über, die den Nutzer fragt, ob er tatsächlich Zugang zu einem bestimmten Cloud-Dienst will. Für den Anwender ist dies dann eine simple Ja/Nein-Entscheidung, die ein einmaliges Klicken erfordert.

Nach einem Ja wird der SSO-Prozess ausgelöst. Der zweite Faktor ist dabei ein Smartphone, bei dem entsprechende Zertifikate für die Authentifizierung aufgespielt sind.

Authentifizierung im Wandel
Authentifizierung ist ein weites Feld. Deshalb speisen sich die Angebote auf dem Markt aus ganz unterschiedlichen Quellen. Das Spektrum reicht von traditionellen Betriebssystem- und Standalone-Authentifizierungs-Anbietern über Access-Management-Spezialisten und CASB-Lieferanten bis zu Lösungsanbietern im Bereich VPN und Online Fraud Detection (Erkennung von Betrug bei Online-Transaktionen). Aufgrund der technischen Entwicklung können einstmalige Nischenanbieter schnell zu Mainstream-Protagonisten werden. So können auch Authentifizierungslösungen aus dem Bereich Mobile IT und (Mobile) Cloud künftig mehr Gewicht erhalten. Auch dürften Lösungen, die Kontextfaktoren und analytische Prinzipien nutzen, gegenüber orthodoxen Methoden (Wissen, Besitz, Eigenschaften und Verhalten des Nutzers) stärker an Bedeutung gewinnen.

Neuerdings gibt es marktreife Produkte, die solche One-Touch-Authentifizierungen in einen sicheren Workflow in Richtung Cloud-Nutzung integrieren. Diese prüfen nicht nur, ob der Nutzer der ist, der er zu sein vorgibt, sondern auch, ob das benutzte Endgerät frei von manipulativen Eingriffen ist und die benutzten Apps vertrauenswürdig sind. Ist der Nutzer online, erfolgt die Authentifizierung per Push-Nachricht, ist er offline, kommt ein Einmal-Passwort zum Einsatz.

Dieser Prozess läuft in wenigen Sekunden ab. Durch die automatische, einmalige Aktivierung bleiben die Nutzer unbehelligt von den technischen Details der Mehr-Faktor-Authentifizierung. Es ist absehbar, dass immer mehr Endanwender mit dieser Art von Authentifizierung arbeiten wollen. Denn dadurch können sie sich ganz auf ihre eigentlichen Aufgaben konzentrieren, und das bei höchster Sicherheit.

Peter Machat ist Vice President Central EMEA bei MobileIron, www.mobileiron.com.