Zwei-Faktor-Authentifizierung
Haben Sicherheitsmaßnahmen ein Verfallsdatum?
Die 2FA gilt als eine wichtige Maßnahme, um das Sicherheitsniveau im Unternehmen zu steigern. Doch ursprünglich valide Annahmen können durch den technologischen Wandel ihre Gültigkeit verlieren. Ein Plädoyer dafür dafür, getroffene Annahmen auf jeden Fall regelmäßig kritisch zu hinterfragen.
Der Schutz sensibler Informationen spielt bei der Zusammenarbeit zwischen Unternehmen eine immer größere Rolle. In der Automobilwirtschaft etwa sind gewisse Cyber-Security-Standards Voraussetzung, um miteinander ins Geschäft zu kommen. So ist zum Beispiel die 2-Faktor-Authentifizierung (2FA) für bestimmte Hersteller zwingend erforderlich, um Zulieferern überhaupt die technische Anbindung ans eigene Netzwerk zu gestatten. In Zeiten des Single-Sign-On, bei dem ein einmaliger Login reicht, um einen benutzerfreundlichen Zugang zu weiteren Diensten und Informationen im Unternehmen zu erhalten, wäre Angreifern, die in den Besitz des Benutzernamen und Passwort gekommen sind, ohne zusätzliche Schutzmaßnahmen fortschreitende Angriffe möglich.
Ist eine 2FA implementiert, reicht das alleinige Wissen um das Passwort nicht aus: Stattdessen weist der Nutzer seine Identität nach, indem er sich mit zwei unterschiedlichen und unabhängigen Faktoren bei einem Dienst anmeldet. Diese Faktoren sind üblicherweise die so genannten „W“s, etwas, was man hat, was man ist und was man weiß. Eine 2FA ist nur erfolgreich, wenn die zwei gewählten und benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, wird der Zugriff auf den Dienst, der durch die 2FA gesichert ist, verweigert. Der Betreiber wird bei entsprechender Konfiguration über diese fehlgeschlagenen Anmeldeversuche informiert und hat die Möglichkeit zu reagieren – beispielsweise kann er den Zugang sperren. Das allerdings setzt unter anderem ein ständiges Monitoring des Unternehmensnetzwerks voraus, die Fähigkeit zur Qualifizierung des Sicherheitsvorfalls und die Ableitung der richtigen Maßnahmen.
Das Mobilgerät als ständiger Begleiter
Eine Herausforderung im Bereich der 2-Faktor-Authentifizierung ist, dass ständig der zweite Faktor mitgeführt werden muss, um sich am System anmelden zu können. Hier bot sich das Mobiltelefon als ein ständiger Begleiter an. Vor mehr als 10 Jahren waren Smartphones, wie wir sie heute kennen, noch nicht verbreitet. Ein typisches Mobiltelefon bot begrenzte Schnittstellen und war ein nahezu geschlossenes System. Die Annahme, dass die Verarbeitung der SMS auf dem Mobiltelefon ausreichend sicher ist, war zu vertreten. Zudem waren Mobiltelefone zu dem Zeitpunkt weit verbreitet. Zusätzliche Kosten für ein weiteres Gerät fielen nicht an. Die SIM-Karte eines Benutzers etablierte sich in vielen Anwendungsfällen zu einem zweiten Faktor für die Authentifizierung: die SIM-Karte als etwas, das eine Person hat und diese hinreichend identifiziert. Zur Anmeldung wird neben dem Benutzerpasswort auch ein One-Time-Passwort (OTP) benötigt, das per SMS gesendet wird. Ein One-Time-Password ist ein Passwort, das nur einmalig verwendet werden kann und meistens nur einen kurzen Zeitraum gültig ist. Streng genommen ist das damalige Mobiltelefon mit der SIM-Karte als eine Art Hardware-Token zu sehen.
- Haben Sicherheitsmaßnahmen ein Verfallsdatum?
- Klassische Hardware-Token neben dem Mobiltelefon
- Gültigkeit der getroffenen Annahmen und das zu erreichende Ziel
Lesen Sie mehr zum Thema
