Anzeige: Wie sich Firmen-Apps sicher von überall nutzen lassen
Auf passgenauem Pfad in die Cloud
Fortsetzung des Artikels von Teil 1
Genauer Blick lohnt sich
Unternehmen tun gut daran, sich die MFA ihrer Lösung genau anzusehen. Bei Microsoft beispielsweise bietet Azure Active Directory zunächst einmal tatsächlich nur eine 2FA. Für ein zusätzliches biometrisches Verfahren nutzt AAD das Firmenhandy des Nutzers, wo eine entsprechende Zusatz-App installiert werden muss. Davon abgesehen, dass die Auswahl an Faktoren auch so immer noch recht dünn ist – was, wenn der Mitarbeiter oder die Mitarbeiterin über kein Firmenhandy verfügt?
Ein weiteres Plus in Sachen Nutzerfreundlichkeit ergibt sich bei RSA SecurID Access® aus der engen Integration in alle wichtigen Anwendungen und Cloud-Plattformen: Die MFA-Lösung funktioniert damit durchgängig sowohl in Anwendungen, die im eigenen Rechenzentrum gehosted werden, als auch solchen, die bei Public-Cloud-Anbietern laufen. Bei vielen Lösungen im Markt gibt es keine solche Integration und wenn doch, dann nur sehr eingeschränkt. Neben der einfachen Nutzung von Cloud-Apps kommen auch oft wenig bedachte Aspekte in Spiel. So kann mit RSA SecurID Access® ein zentraler Prozess für die Verwaltung der Cloud-IDs aller Mitarbeiter aufgesetzt werden. Das vereinfacht nicht nur die die Administration, es ist auch unter sicherheitsrelevanten Gesichtspunkten ein großer Vorteil: Wenn sich jeder Mitarbeiter selbst eigene Konten bei jedem genutzten Cloud-Anbieter anlegt, verliert das Unternehmen die Kontrolle über diese Accounts. Verlässt ein Mitarbeiter nun das Unternehmen, bleiben die Konten oft einfach bestehen und niemand sonst hat Kenntnis darüber. Solche „Kontoleichen“ bilden ein erhebliches Sicherheitsrisiko.
Ein klar aufgebautes Self-Service-Portal für die Verwaltung ihrer IDs erleichtert Nutzern ihre tägliche Arbeit erheblich – dem Unternehmen spart es Administrationskosten. Bei RSA SecurID Access® ist es standardmäßig dabei, andere bieten es, wenn überhaupt, oft nur gegen extra Bezahlung.
Situationssensitives Risk-Level-Management
Aus Sicht des Unternehmens lassen sich auf der bei RSA SecurID Access® sehr umfangreichen Basis unterschiedlicher Faktoren nun sehr sichere, Risk-Level-basierte Zugriffskontrollen umsetzen. In diesem Fall entscheidet also das Risk-Level-Management, welche Authentifizierungsform dem jeweiligen Nutzer zugespielt wird – in Abhängigkeit verschiedener, risiko-relevanter Faktoren. RSA SecurID Access® zieht dafür Parameter wie die Rolle des Benutzers, das verwendete Gerät, den aktuellen Ort, von dem aus die Anmeldung gestartet wird, die Menge transferierter Daten, sowie nicht zuletzt die Applikation, an welcher der Benutzer sich anmelden möchte, ins Kalkül. Einfachstes Beispiel: Arbeitet ein Nutzer typischerweise zu den üblichen Geschäftszeiten, meldet sich nun aber um Mitternacht an, wird die Authentifizierungslösung einen weiteren Identitätsbeweis anfordern, beispielsweise einen Fingerprint in Verbindung einem Yubikey . Ähnliches könnte veranlasst werden, wenn der Nutzer sich normalerweise von seinem Rechner in der Firma anmeldet, nun aber plötzlich von einem PC im Home-Office kommt. Erfolgt die Anmeldung von einem ungesicherten Ort, zum Beispiel vom Stadtpark über WLAN oder – noch riskanter – von einem nicht mit EU-Regeln konformen Land aus, wird die Lösung jeweils angemessene Authentifizierungsverfahren einfordern.
Auch die Rolle des Nutzers kann auf die Auswahl der Authentifizierungs-Verfahren einen Einfluss haben. Ein Top-Manager etwa ist in der Regel mit mehr Zugriffsrechten auf sensible Applikationen und Daten ausgestattet, als beispielsweise ein Vertriebsmitarbeiter. Die Risiken liegen also höher, die Authentifizierung wird entsprechend schärfer sein. Will er von einem als besonders unsicher eingestuften Ort im Ausland beispielsweise auf das ERP-System (Enterprise Resource Planning) des Unternehmens zugreifen, muss er sich womöglich zusätzlich zum OTP, das in seinem Firmenbüro als Autorisierung genügt, und 2FA, die ihm zusätzlich im Home-Office abverlangt wird, außerdem noch per Hardware-Token authentifizieren.
Das klingt nach viel Aufwand, muss es aber nicht sein. Hier spielt Yubico seine Stärken aus: Mit YubiKey für RSA SecurID Access® braucht er dafür nur den Stick mit NFC-Funktion an sein Handy halten. Ein solches einfaches Handling ist für komplexe MFA-Lösungen entscheidend, denn der Arbeitsfluss darf durch ihre Anwendung nicht spürbar gebremst werden. Jahrelange Beobachtungen aus der Praxis zeigen, was andernfalls passiert: Nutzer entfalten höchste Kreativität, störrische Sicherheitsmechanismen zu umgehen.
Sogar in einer laufenden Session kann sich der Risk-Level ändern: Startet der Anwender beispielsweise nach bereits erfolgter Authentifizierung die Verschiebung einer ungewöhnlich großen Menge an Daten, greift RSA SecurID Access® sofort ein, blockiert die Aktion zunächst und lässt sie erst weiterlaufen, wenn der Anwender sich über einen weiteren Faktor legitimiert hat. Je nach Risiko-Level lassen sich also unterschiedliche Härtegrade für die Authentifizierung festlegen.
Sollte im Unternehmen ein kleiner Überschuss an RSA SecurID Access® Lizenzen aufgebaut sein, was sich oft rechnet, weil durch den Erwerb einer höheren Stückzahl der Preis für die einzelnen Lizenzen deutlich günstiger wird, lassen sich diese im Bedarfsfall sehr schnell und unkompliziert aktivieren: Entsprechende Einmalpasswörter werden als Notfallpasscodes generiert. Nutzer die üblicherweise nicht im Homeoffice arbeiten, können damit übergangsweise versorgt werden und sicher von zuhause aus arbeiten bis deren Token im Unternehmen eintreffen.
- Auf passgenauem Pfad in die Cloud
- Genauer Blick lohnt sich
- Fazit
Lesen Sie mehr zum Thema
