Zwei-Faktor-Authentifizierung
Haben Sicherheitsmaßnahmen ein Verfallsdatum?
Fortsetzung des Artikels von Teil 2
Gültigkeit der getroffenen Annahmen und das zu erreichende Ziel
Inwieweit die Verwendung eines OTP per SMS noch ausreichend sicher ist, lässt sich pauschal nicht bewerten. Zu berücksichtigt ist, welche Ziele mit der Einführung des 2FA-Verfahren ursprünglich verbunden waren. Möchte sich ein Unternehmen gegen zu schwache Passwörter seiner Mitarbeiter und Lieferanten schützen, so kann der Ansatz des OTP per SMS weiterhin ein valider Ansatz sein. Soll sichergestellt werden, dass ein Angreifer sich im Falle einer Übernahme eines Endgerätes nicht autonom anmelden kann, so ist der Ansatz zumindest als fraglich anzusehen. Gleiches würde in dem Fall auch für Soft-Tokens gelten, die auf einem Smartphone ohne entsprechende Hardwareunterstützung gespeichert werden.
Entscheidend ist, dass die Annahmen, die zur Wahl eines Verfahrens geführt haben, bekannt sind und in regelmäßigen Abständen kritisch überprüft werden. Wie am Beispiel des Mobiltelefons gesehen, können ursprünglich valide Annahmen durch den technologischen Wandel ihre Gültigkeit verlieren und damit schleichend ein Risiko für ein Unternehmen darstellen.
Bei einer 2FA sollte der technologische Wandel im Unternehmen regelmäßig hinterfragt werden. Kleine Änderungen in den Prozessen oder Applikationen können bereits weitreichende Folgen für die Unabhängigkeit der Faktoren haben. Dies gilt sowohl für Hardware-Tokens und Soft-Tokens. Wird beispielsweise eine Funktion zum Zurücksetzen des 2. Faktors implementiert, so ist zu beachten, dass diese nicht allein über die Kenntnis des Passwortes möglich sein sollte, da ansonsten faktisch die 2FA auf eine 1FA reduziert wird.
Beispiel: Der Hardware-Token kann temporär deaktiviert werden, wenn ein Mitarbeiter seinen Hardware-Token zu Hause vergessen hat. Hierzu muss sich der Mitarbeiter mit Hilfe seines Passwortes anmelden und erhält anschließend ein OTP per E-Mail zugesendet, das für den Login verwendet werden kann. In den meisten Fällen reicht jedoch das Passwort aus, um auf das E-Mail-Postfach zuzugreifen, somit ist der Sicherheitsgewinn durch die Nutzung eines Hardware-Tokens zumindest fraglich.
Grundsätzlich ist zu beachten, dass eine 2FA keinen Schutz gegen ein kompromittiertes Endgerät bietet, mit dem ein Anwender auf Informationen zugreift. Nach der Authentifizierung ist davon auszugehen, dass ein Angreifer, der beispielsweise den Rechner des Anwenders übernommen hat, auch auf alle Informationen zugreifen kann, die auch der Anwender einsehen kann. Selbst die Hinzunahme eines weiteren Faktors kann dies nicht ändern. Weitere Gefahren lauern bei Phishing-Angriffen, bei denen ein Anwender verleitet werden soll, seine Anmeldeinformationen, inklusive dem 2. Faktor, auf einer durch einen Angreifer kontrollierten Seite einzugeben.
Fazit: Wer sich mit der 2FA befasst, sollte sich darüber klar sein, dass auch diese Form der Authentifizierung keinen 100-prozentigen Schutz, aber gegenüber Benutzernamen und Passwort trotz allem einen deutlichen Zugewinn in punkto Sicherheit bietet. Wichtig ist, dass Unternehmen sich bewusst sind, welche konkreten Annahmen sie treffen und welche Risiken sie mit dem Einsatz einer 2FA vermeiden – und welche möglicherweise damit verbunden sind. Risikovermeidung bzw. -verringerung ist auch immer eine Frage der Wirtschaftlichkeit und erfordert eine Antwort auf die Frage, wie wahrscheinlich das Eintreffen des Risikos ist und welcher Schaden für das Unternehmen damit verbunden ist. Essentiell ist es, regelmäßig die getroffenen Annahmen zu hinterfragen und zu überprüfen, ob die getroffenen Sicherheitsmaßnahmen noch im richtigen wirtschaftlichen Verhältnis zueinanderstehen. Wer zu dem Schluss kommt, dass der erwartete Schaden unter Berücksichtigung der Eintrittswahrscheinlichkeit höher ist als die Gesamtkosten für die Einführung bzw. Migration zu einer angemessenen 2FA, sollte angesichts der fortschreitenden Digitalisierung lieber früher als später handeln.
Wer sich bisher noch nicht mit einer 2FA beschäftigt hat, findet auf dem Markt eine ganze Reihe an Lösungen. Folgende Punkte geben eine erste Orientierung, ob die Auswahl für das Unternehmen geeignet ist:
- Ist die Lösung skalierbar? Wenn ja, in welchem Umfang und welchem Zeitfenster?
- Welche Annahmen müssen für einen sicheren Betrieb erfüllt sein?
- Besteht die Möglichkeit einer Integration in gängige Systeme führender Hersteller von Betriebssystemen? Ist der Aufbau zusätzlicher Datenbanken erforderlich?
- Ist zusätzliches Know-how bei den Mitarbeitern notwendig?
- Wie ist es mit der Benutzbarkeit des Verfahrens bestellt?
- Wie steht es um die Kompatibilität zu PCI Security Standards, GCSx, CoCo, HIPAA, SOX und ISO 27001?
- Gibt es die Möglichkeit, das System ohne Vendor Lock in SIEM-Lösungen zu integrieren?
Wie jedes IT-Projekt will auch die 2FA professionell geplant sein. Zu prüfen ist, ob geeignetes Know-how im Hause verfügbar ist. Falls nicht, empfiehlt es sich, externe Berater hinzuziehen, die über einen aktuellen Marktüberblick dieser Technologie verfügen und branchenübergreifende Erfahrung in der Implementierung in die Unternehmensarchitektur haben.
Dr. Benedikt Westermann ist Experte für Kryptographie bei TÜV Rheinland
- Haben Sicherheitsmaßnahmen ein Verfallsdatum?
- Klassische Hardware-Token neben dem Mobiltelefon
- Gültigkeit der getroffenen Annahmen und das zu erreichende Ziel
Lesen Sie mehr zum Thema
