„NameGeburtsjahr“ war gestern

Sicherheit ist häufig eine banale Angelegenheit. Plattformen, Datenbanken und Kommunikationssysteme, die dem neuesten Stand der Technik entsprechen, können wie die Tür einer Gartenlaube aufgehebelt werden, wenn sie eine Authentifizierungsmethode verwenden, die allein auf Passwörtern basiert. Noch ist sie Anwenders Liebling – denn Tokens, dynamische Passcodes und andere Verfahren erfordern zusätzlichen Aufwand. Angesichts der rapide steigenden Zahl gestohlener oder kompromittierter Passwörter, gibt es zur Multi-Factor-Authentication in Zukunft jedoch keine Alternative mehr.

Multi-Factor Authentication, kurz MFA, bedeutet, dass neben der Eingabe eines Passworts ein zweiter, vielleicht sogar dritter Schritt zur Authentifizierung notwendig ist. Ein dreistufiges Verfahren dürfte allerdings auch in den kommenden Jahren eine Ausnahme für besonders kritische Anwendungen und Datenbanken bleiben. Bei einer klassischen Zweifaktor-Authentifizierung ist der zweite Faktor, beziehungsweise Authentifizierungsschritt ein Code, der per SMS oder E-Mail versendet wird. In naher Zukunft ist aber auch eine Koppelung mit einzigartigen Biometrie-Merkmalen realistisch, insbesondere weil immer mehr mobile Endgeräte über entsprechende technologische Möglichkeiten verfügen.

Der Zusatz an manuellem Aufwand ist angesichts der Kritikalität persönlicher und geschäftlicher Daten ein akzeptabler Preis. Bereits heute sind zweistufige Verfahren sowohl im Online-Banking, als auch bei Authentifizierungsdiensten von Microsoft, Google, Facebook oder PayPal Standard. Sie alle setzen bereits auf MFA, oder bieten diese als Option an.

Zudem gibt es immer mehr vielversprechende Versuche, Smartphones als zweiten Faktor der Authentifizierung einzusetzen, beispielsweise durch eine App, auch wenn sich hier bislang noch kein Produkt oder Service sich wirklich durchsetzen konnte. Doch dies ist nur eine Frage der Zeit: Bereits heute  sind einige Apps produktiv im Einsatz, wie etwa die MFA-App von PhoneFactor, die von Azure verwendet wird. Ein anderes Beispiel ist die App von RSA SecureID, die eine funktionierende Alternative zum klassischen Token bietet.

Authentifizierungsansätze für Endanwender und Unternehmen

Gerade diese Entwicklung spiegelt einen grundsätzlichen Wandel in den Authentifizierungstechnologien wider: Ansätze, die zusätzliche Hardware wie Tokens, SmartCards oder ähnliches erfordern, werden weitgehend vom Markt verschwinden– selbst im Finanzsektor, wo die ersten Einsatzgebiete der MFA lagen. Noch ein Stück zusätzlicher Hardware ist heute kein gangbarer Weg. Unmittelbar damit verbunden ist auch die Frage inwiefern sich künftig Authentifizierungssysteme für auf Endanwender ausgerichtete offene Netze, etwa beim Online-Shopping, von Systemen im professionellen Bereich unterscheiden und welche Strategien zum Einsatz kommen werden.

Aktuell lässt sich beobachten, dass die Nutzung externer Technologien und Services für Authentifizierung, wie beispielsweise Azure ACS (Access Control Service) oder sogar die Verlagerung von ganzen Identity Infrastrukturen zu externen Diensten wie AAD (Azure Active Directory) zu ernstzunehmenden Ansätzen für Unternehmen geworden sind. Die spezialisierten Services haben mehrere Vorteile im Hinblick auf Sicherheit, Zuverlässigkeit und Hochverfügbarkeit. So lagern etwa immer mehr Online Shops ihr gesamtes Identitätsmanagement und die Authentifizierung an PayPal aus, selbst wenn die Kunden nicht mit PayPal zahlen. Im Umkehrschluss bedeutet das, dass die Händler  selbst gar keine Authentifizierung mehr verlangen und die Kundenidentität nicht kennen. Die zur Abwicklung des Handels notwendigen Informationen wie Rechnungs- und Lieferadresse bekommen sie mit Kundenzustimmung von PayPal. Bei Unternehmensanwendungen wiederum übernimmt Azure ACS die Rolle, die PayPal in diesem Szenario für Online Shops spielt.

Im Endeffekt unterscheiden sich also die Basis-Technologien für den privaten und den geschäftlichen Sektor künftig kaum. Lediglich die Stringenz der Richtlinien wird bei Unternehmen eine andere sein: Unternehmen werden – nicht zuletzt aus rechtlichen Gründen – bereits in den nächsten Monaten und Jahren durchgängig hohe Sicherheitsstandards bei der Authentifizierung implementieren und dessen Einhaltung auch von ihren Mitarbeitern zwingend verlangen. Die Privatnutzer haben heute noch die „Freiheit“, um den Preis der Bequemlichkeit höhere Risiken einzugehen. Doch auch das wird sich mittelfristig ändern – je mehr Identitäten gehackt werden, desto sensibler dürften auch Privatnutzer in Punkto Sicherheit werden und desto höher wird die Bereitschaft sein, sich auf etwas komplexere und weniger bequeme Sicherheitsverfahren einzulassen.

Die interessanten Unterschiede werden darin liegen, was die neuen Verfahren zusätzlich ermöglichen. Während Privatnutzer weiterhin für verschiedene Dienste ihre jeweiligen User-Kennungen und Passwörter direkt eingeben, werden Unternehmen immer mehr Single Sign-On Dienste zur Verfügung stellen. Ein Beispiel dafür sind Azure RemoteApps, die es aktuell als Preview gibt. Diese stellen Apps zur Verfügung, die bereits die notwendigen Anmeldeinformationen enthalten. So lässt sich etwa der Firmen-Twitter-Account über eine solche App öffnen und der Mitarbeiter wird automatisch angemeldet, ohne das Passwort kennen zu müssen. Neben dem Komfort ergibt sich hieraus auch ein wichtiges Sicherheitsfeature für Unternehmen: mit Sperren des Firmen-Accounts kann der (Ex-)Mitarbeiter auch nicht mehr auf diesen Account zugreifen. Aktuell muss man bei jeder personellen Änderung die Passwörter der betroffenen Accounts ändern.

Reine Passwortauthentifizierung wird in wenigen Jahren aussterben

In Summe ist die Prognose, dass der heute gängigste Ansatz der reinen Passwortauthentifizierung, die Form-Based Authentication (FBA), schon in wenigen Jahren ausgestorben sein wird, sehr realistisch. Die FBA ist anfällig für eine ganze Reihe von Sicherheitslücken wie unsicheres Storage, Password Encryption, Transport Encryption oder das Auslesen der Passwörter durch Administratoren. Sie wird deshalb sukzessive von Verfahren abgelöst, die nach einmaliger, doppelter Authentifizierung in der Lage sein werden, Geräte als vertrauenswürdig zu definieren und diese dann generell, also ohne weitere Anmeldung, zuzulassen. Wird die Authentifizierung stärker auf das konkrete Gerät verlagert, muss natürlich auch die Zugriffskontrolle auf die entsprechenden Geräte eine wesentlich größere Rolle spielen. Dabei werden Aspekte wie der abgesicherte Handy-Zugriff per Passwort oder etwa per Fingerabdruck wichtig sein oder die Möglichkeit, die Geräte auch aus großen Distanzen schnell zu lokalisieren und bei Bedarf zu löschen. Ein wichtiger Treiber dieser Entwicklung werden die Dienste für Finanztransaktionen sein, sowie kritische Identitätsmanagementdienste wie Microsoft Password, Google Account oder Facebook. Sie werden schrittweise dazu übergehen, MFA nicht als Option sondern als Standard anzubieten und damit einen Referenzrahmen schaffen.

Handlungsoptionen für Unternehmen

Was sind nun mit Blick auf die Einführung von MFA die Handlungsoptionen für Unternehmen? Prinzipiell stehen ihnen zwei Möglichkeiten zur Verfügung. Sie können in eigene MFA Verfahren investieren, was in den meisten Fällen mit einem hohen Aufwand verbunden sein wird und sich nur ab einer sehr hohen Zahl an Transaktionen amortisieren kann. Alternativ können sie aber auch auf das Outsourcing des Authentifizierungsmanagements setzen und Dienstleister Microsoft (Azure ACS, AAD) oder PayPal beauftragen. Das Outsourcing der Authentifizierungsprozesse reduziert aus der Unternehmensperspektive Kosten und Komplexität: Es sind weniger Investitionen in die eigene Identitätsinfrastruktur notwendig, der Aufwand für Maintenance und Support sinkt ebenfalls. Je nach Anwendungsbereich kann der Aufbau einer eigenen Lösung auch zu folgenreichen technologischen Problemen führen – eine Insel-Lösung mag sicherer, aber bei vielen Geschäftsprozessen hinderlich und wenig performant sein.

Allerdings erfordert die Auslagerung des Identity-Managements ein sehr hohes Maß an Vertrauen in die technologischen Fähigkeiten, die Stabilität, vor allem aber auch in die Integrität des Dienstleisters voraus: Ein Maß, das gerade im Lichte der öffentlichen Diskussionen der letzten Monate bei weitem nicht immer gegeben ist – natürlich auch nicht bei Kunden, Mandanten oder Patienten. Vor diesem Hintergrund wird es gerade in hochgradig kritischen Bereichen auch weiterhin Eigenentwicklungen geben, selbst wenn sie aus technischer und betriebswirtschaftlicher Perspektive nicht optimal sind.

Autor: Gianluca DeLorenzis ist CEO der FGND Group . Er berät mittelständische Unternehmen und Konzerne bei der Lösung komplexer technologischer Herausforderungen und bei der Entwicklung zukunftssicherer IT-Strategien. Seit 20 Jahren ist Gianluca DeLorenzis als Projektmanager, Entwickler und Infrastruktur-Spezialist in der IT-Branche tätig.

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags