Die zwei Authentisierungsaspekte Sicherheit und Wirtschaftlichkeit müssen im ausgewogenen Verhältnis stehen.

Bernd Redecker, Leiter E/M-Competence-Center-Team bei SBS

Die Benutzerauthentisierung bis in die Zielsysteme des Unternehmens hinein hat zwei Facetten: Sicherheit und Wirtschaftlichkeit. Aus dem Blickwinkel der Sicherheit betrachtet sind Chipkarten die sichere Alternative. Die Authentisierung kann in diesem Fall über digitale Zertifikate oder biometrischen Code, hinterlegt auf dieser Karte, erfolgen. Sowohl die Eingangsauthentisierung als auch die Identifizierung gegenüber den Zielsystemen lässt sich darüber absichern. Kommt zusätzlich Single-Sign-On (SSO) zum Einsatz, lassen sich beide Schritte automatisch koppeln. Damit muss der Benutzer nur noch seine PIN eingeben, gegebenenfalls kombiniert mit einem Augen- oder Fingerprint-Scan, und erhält so Zugriff auf alle berechtigten Unternehmensapplikationen. Diese Karte kann selbst die physische Zugangskontrolle abwickeln. Auch andere Funktionen sind umsetzbar, sei es die Öffnung der Parkschranke, Zeiterfassung, Verschlüsselung von E-Mails oder die Signatur von Dokumenten. Auch integrierte elektronischen Börsen sind dann denkbar, beispielsweise als Zahlungsmittel für die Firmenkantine.

Allerdings sollten die Sicherheitsinvestitionen in einem vertretbaren Verhältnis zum IT-Budget stehen. Deshalb ist es sinnvoll, vorerst beide Authentisierungsschritte weiterhin über Passwörter zu führen, sofern die Sensibilität der Zielsysteme nicht hoch ausfällt. Doch selbst dann sollten die Unternehmen keinesfalls auf die Einführung eines SSO verzichten. Er zahlt sich für sie mehrfach aus: nur ein Benutzer-Passwort für die Einwahl in alle berechtigten Applikationen, keine vergessenen oder geknackten Passwörter mehr, eine erhebliche Entlastung der Helpdesk-Abteilung. Darüber hinaus ist mit dem SSO die Basis gelegt, bei mehr Sicherheitsbedarf flexibel auf Chipkarten umzusteigen. Mit zunehmender Präsenz im unsicheren Internet wird ohnehin für die meisten Unternehmen kein Weg am Chipkarten-Einsatz vorbeiführen, auch weil Geschäftspartner und Kunden vermehrt auf dieses Sicherheitsplus drängen.

Chipkarten mit Zertifikaten sind oft eine Überlegung wert, zumal sie im Preis gefallen sind.

Jörn Hüttges, Solution Manager bei Steria

Lediglich den Fokus auf eine Benutzerauthentisierung im Sinne einer gesicherten Netzzugangskontrolle zu richten, ist für die Unternehmen nicht mehr zeitgemäß. Auch wenn sich einzelne Hersteller weiterhin dafür stark machen. Gefragt sind stattdessen ganzheitliche Lösungsansätze, welche die Zugriffe von Mitarbeitern, Geschäftspartnern und Internet-Kunden bis in die Applikationen des Unternehmen hinein steuern. In diesem Kontext sollten die Entscheider auch den Sicherheitsbedarf ihrer Applikationen ermitteln und danach die Authentisierungs- respektive Autorisierungsstärke der einzusetzenden Methoden – Login/Password, Security-Token, Zertifikate oder biometrischer Code – bestimmen.

Gerade die ganzheitliche Herangehensweise an die Zugriffskontrolle birgt für Unternehmen viele wirtschaftliche Vorteile in sich. Durch sie kann sich die Etablierung eines höheren Sicherheitsniveaus über eine stärkere Authentisierung und Autorisierung neben dem besseren Schutz von Unternehmenswerten schnell auszahlen. Sie stecken unter anderem in der Kombination beider Schritte über einen Single-Sign-On (SSO), einem auf Rollen basierenden Benutzermanagement, einer zentralen Benutzeradministration, einem für die Administratoren transparenteren Zugriffskontrollschirm sowie seiner flexiblen Anpassung an Markt-, Strategie- oder Organisationsveränderungen. So besehen lohnt es meist für Unternehmen, besser gleich ein höheres Sicherheitslevel anzustreben, beispielweise mit dem Einsatz von Chipkarten. Auf ihnen können für die Schritte »Authentisierung« und »Autorisierung« nach Bedarf Zertifikate und/oder biometrischer Code hinterlegt werden. Gerade Chipkarten mit Zertifikaten sind für die Unternehmen zunehmend eine Überlegung wert: Die Preise für Smart-Cards, Lesegeräte und Software-Lizenzen bewegen sich mittlerweile auf einem budgetverträglichen Niveau.

IT-Ressourcen sind durch zwei Faktoren zu schützen, auch wenn ein Faktor nur der eingeschränkte Zutritt zum Gebäude ist.

Dr. Behrooz Moayeri, Mitglied der Geschäftsleitung bei Comconsult

Beim Zugriff auf zu schützende IT-Ressourcen und Daten eines Unternehmens reicht die reine Authentifizierung anhand von Wissen eines Geheimnisses nicht aus. Wissen ist duplizierbar, ohne dass dies vom Wissensträger bemerkt wird. Man denke bloß an Szenarien wie das Ausspionieren von Kennwörtern durch Fernbeobachtung. Der zweite Faktor, der manchmal unbemerkt zur starken Authentifizierung beiträgt, kann auch das Recht zum Betreten eines Firmengeländes sein. Zu Einrichtungen und Gebäuden von Unternehmen haben in der Regel nicht alle Personen Zutritt. Die Beschränkung des Zugangs auf die Firmenmitarbeiter ist der erste Faktor, dann kommt das Passwort als der zweite Faktor für die Authentifizierung ins Spiel.

Entfällt der erste Faktor, weil der Zugriff auch über ein unsicheres und offenes Medium wie das Internet gewährt wird, so muss das Passwort auf jeden Fall durch einen weiteren Faktor ergänzt werden. Das kann beispielsweise eine Token- und Smart-Card oder ein gespeichertes Zertifikat auf einem Endgerät sein. Somit lassen sich die Kriterien für die Entscheidung zwischen reinem Passwortschutz oder einer Kombination aus den Faktoren Besitz und Wissen wie folgt zusammenfassen:

Organisatorische Kriterien sind vor allem die Fragen nach der Stärke anderer Zugriffsschutzmechanismen, die in der IT unter Umständen die Beschränkung auf das Passwort erlauben. Das kann beispielsweise die Gestaltung des Zutritts zum Gelände genauso sein wie die gelungene Sensibilisierung von Benutzern zur Auswahl nichttrivialer Kennwörter.

Die technischen Entscheidungskriterien sind vielfältig. Als Beispiel seien hier nur der »Einzugsbereich« der Anwendung sowie die Benutzerfreundlichkeit und Fehlerfreiheit der starken Authentifizierung mittels Prüfung des Faktors Besitz oder biometrischer Daten genannt.

Da sich jede starke Authentifizierung unter vertretbarem Aufwand für die Beschaffung und den Betrieb gestalten lässt, sind aus wirtschaftlicher Sicht alle IT-Ressourcen und Daten des Unternehmens durch starke Authentifizierung (Kombination aus mindestens zwei Faktoren) vor unbefugten Zugriffen zu schützen. Alle diese Werte sind höher als die Kosten für die starke Authentifizierung einzustufen.