Für die Umsetzung einer modernen IT-Sicherheit ist der Einsatz einer Multi-Faktor-Authentifizierung ein erster wichtiger Schritt. Sich auf starke Passwörter allein zu verlassen, ist keine gute Idee, wie nicht zuletzt in dem von Thales erstellten Bericht "2020 Access Management Index (AMI)" klar wird. Oliver Ott, Regional Sales Director DACH bei Thales, gibt Tipps für die Auswahl einer Lösung für Multi-Faktor-Authentifizierung.
In dem Bericht von Thales hatten fast ein Drittel (29 Prozent) der Organisationen in Europa und dem Nahen Osten Benutzernamen und Passwörter immer noch als eines der wirksamsten Mittel zum Schutz des Zugangs zu ihrer IT-Infrastruktur angegeben.
Der diesjährige „Data Breach Investigations Report“ von Verizon sagt jedoch, dass 45 Prozent aller Datendiebstähle auf gestohlene Log-In-Daten zurückzuführen sind. Deshalb sollten mehr und mehr Organisationen in Multi-Faktor-Authentifizierung investieren, doch hier gibt es viele Unterschiede und Stolpersteine, die Unternehmen beachten sollten.
Im Folgenden sind einige grundlegende Anhaltspunkte für die Bewertung von Authentifizierungs- und Access-Management-Lösungen aufgelistet:
- Unternehmen sollten ihre Sicherheitslösung von den zu schützenden Anwendungen trennen: Die Aufgabentrennung ist ein Grundprinzip der Sicherheit. Dasselbe gilt für Sicherheitslösungen. Im Idealfall wird eine dedizierte Authentifizierungs- und Zugriffsmanagementlösung eingesetzt, die unabhängig von anderen Anwendungen und Diensten verwaltet und abgesichert werden kann.
- Sie sollten Multi-Faktor-Authentifizierung konsequent für alle Applikationen und Dienste einsetzen: Eine Lösung sollte möglichst alle Fälle abdecken. Die Multi-Faktor-Authentifizierung gilt als eine der effektivsten Sicherheitsmaßnahmen um zu verhindern, dass Fremde das eigene Konto kompromittieren.
Daher ist es sinnvoll, dafür zu sorgen, dass eine Zugriffsmanagementlösung zentral Authentifizierung und regelbasierte Zugriffskontrolle für alle Ihre Anwendungen, einschließlich der älteren vor Ort, verwenden kann. - Sie sollten dafür sorgen, dass ihre Multi-Faktor-Lösung sicher ist: Eine der heute am weitesten verbreiteten Authentifizierungsmethoden ist PUSH OTP, aber nicht alle Lösungen sind gleich, wenn es um die Sicherheit geht. Ein vertrauenswürdiger Sicherheitsanbieter ist dringend zu empfehlen.
- Die OTP-Anwendung sollte nicht auf ein externes Laufwerk gesichert oder auf ein anderes Gerät kopiert werden können. Anwendungen, die dies erlauben, verfügen nicht über die eingebaute Sicherheit, um sicherzustellen, dass die Anwendungen nur auf einem bestimmten und vorgesehenen Gerät verwendet werden können. Die OTP-Anwendung muss verschlüsselt, geschützt und kryptografisch an ein bestimmtes mobiles Gerät gebunden sein.
- Die OTP-Anwendung sollte die sichere Registrierung und Aktivierung der Anwendung unterstützen. Damit der Sicherheitscode geschützt ist, wenn ein Benutzer die Anwendung installiert, muss der Installationsprozess der Anwendung verschlüsselt werden. Andernfalls könnte das kryptografische Modul, das die Sicherheitscodes generiert, gefährdet sein.
Einige Anbieter führen eine Betriebssystemkontrolle durch, bevor sie die Installation der Anwendung auf dem vorgesehenen mobilen Gerät zulassen. Wenn die Anwendung jedoch auf ein kompromittiertes Gerät installiert und die Sicherheit auf OS-Ebene nicht mehr gewährleistet werden kann, ist es schwierig die Integrität der Anwendung sicher zu stellen und die Möglichkeit eines unberechtigten Klonens zu verhindern. - Die OTP-Anwendung sollte darüber hinaus auf jedem Betriebssystem unterstützt werden können. Mitarbeiter müssen die Anwendungen wahrscheinlich auf einer Vielzahl von Geräten installieren, einschließlich Smartphones, Tablets und Desktops. Eine breite Kompatibilität von Betriebssystem und Endgerät gewährleistet eine konsistente und sichere Authentifizierung für alle Anwendungen und Benutzer.
- Die OTP-Anwendung sollte nicht auf ein externes Laufwerk gesichert oder auf ein anderes Gerät kopiert werden können. Anwendungen, die dies erlauben, verfügen nicht über die eingebaute Sicherheit, um sicherzustellen, dass die Anwendungen nur auf einem bestimmten und vorgesehenen Gerät verwendet werden können. Die OTP-Anwendung muss verschlüsselt, geschützt und kryptografisch an ein bestimmtes mobiles Gerät gebunden sein.
Fazit
Passwörter alleine reichen nicht aus, um ein System zu schützen. Vielmehr sollte eine Kombination von Sicherheitsmechanismen eingesetzt werden. Dazu gehört unter anderem Multi-Faktor-Authentifizierung. Sie ist ein einfacher Weg, um das Sicherheitsniveau deutlich zu erhöhen. Der Grund ist offensichtlich: Sie brauchen im Normalfall Zugriff auf mehr als nur ein einfaches Passwort. Darum empfiehlt es sich mehrgleisig zu fahren.