Startseite > Security > Digitalisierungsprojekte sicher und nachhaltig meistern

Anzeige: VPN-Schutz via HW-Token war gestern – die Zukunft ist risikoabhängige App-Authentifizierung

Digitalisierungsprojekte sicher und nachhaltig meistern

14. Januar 2021, 10:00 Uhr | Wolfgang Rieger, Senior Business Development Manager bei Tech Data

Fortsetzung des Artikels von Teil 1

Risk-Level-Management in der Praxis

Aus Sicht des Unternehmens lassen sich auf dieser Basis nun sehr sichere, Risk-Level-basierte Zugriffskontrollen umsetzen. In diesem Fall entscheidet also das Risk-Level-Management, welche Authentifizierungsform dem jeweiligen Nutzer zugespielt wird – in Abhängigkeit verschiedener, risiko-relevanter Faktoren. RSA SecurID Access® zieht dafür Parameter wie die Rolle des Benutzers, das verwendete Gerät, den aktuellen Ort, von dem aus die Anmeldung gestartet wird, die Menge transferierter Daten, sowie nicht zuletzt die Applikation, an welcher der Benutzer sich anmelden möchte, ins Kalkül. Einfachstes Beispiel: Arbeitet ein Nutzer typischerweise zu den üblichen Geschäftszeiten, meldet sich nun aber um Mitternacht an, wird die Authentifizierungslösung einen weiteren Identitätsbeweis anfordern, beispielsweise einen Fingerprint in Verbindung eines Yubikeys . Ähnliches könnte veranlasst werden, wenn der Nutzer sich normalerweise von seinem Rechner in der Firma anmeldet, nun aber plötzlich von einem PC im Home-Office kommt. Erfolgt die Anmeldung von einem ungesicherten Ort, zum Beispiel vom Stadtpark über WLAN oder – noch riskanter – von einem nicht mit EU-Regeln konformen Land aus, wird die Lösung jeweils angemessene Authentifizierungsverfahren einfordern.

Auch die Rolle des Nutzers kann auf die Auswahl der Authentifizierungsverfahren einen Einfluss haben. Ein Top-Manager etwa ist in der Regel mit mehr Zugriffsrechten auf sensible Applikationen und Daten ausgestattet, als beispielsweise ein Vertriebsmitarbeiter. Die Risiken liegen also höher, die Authentifizierung wird entsprechend schärfer sein. Will er von einem als besonders unsicher eingestuften Ort im Ausland beispielsweise auf das ERP-System (Enterprise Resource Planning) des Unternehmens zugreifen, muss er sich womöglich zusätzlich zum OTP, das in seinem Firmenbüro als Autorisierung genügt, und 2FA, die ihm zusätzlich im Home-Office abverlangt wird, außerdem noch per Hardware-Token authentifizieren. Das klingt nach viel Aufwand, muss es aber nicht sein. Hier spielt Yubico seine Stärken aus: Mit YubiKey für RSA SecurID Access® braucht er dafür nur den Stick mit NFC-Funktion an sein Handy halten. Ein solches einfaches Handling ist für komplexe MFA-Lösungen entscheidend, denn der Arbeitsfluss darf durch ihre Anwendung nicht spürbar gebremst werden. Jahrelange Beobachtungen aus der Praxis zeigen, was andernfalls passiert: Nutzer entfalten höchste Kreativität, störrische Sicherheitsmechanismen zu umgehen.

Sogar in einer laufenden Session kann sich der Risk-Level ändern: Startet der Anwender beispielsweise nach bereits erfolgter Authentifizierung die Verschiebung einer ungewöhnlich großen Menge an Daten, greift RSA SecurID Access® sofort ein, blockiert die Aktion zunächst und lässt sie erst weiterlaufen, wenn der Anwender sich über einen weiteren Faktor legitimiert hat. Je nach Risiko-Level lassen sich also unterschiedliche Härtegrade für die Authentifizierung festlegen.

Lohnenswerter Einmal-Aufwand

Ein ausgefeiltes Risk-Management entsteht nicht von alleine. Unternehmen sollten sich für die Definition Zeit nehmen und die Parameter für die Risk-Levels klug wählen. Gemäß der häufig vorhandenen ISO 27001/2 Zertifizierung sollte die Risikoabschätzung auf Anwendungen, deren Nutzer und Standorte und den Härtegrad der notwendigen Authentifizierung ausgedehnt werden, beziehungsweise erstmalig in Betracht gezogen werden. Die Definition von Risiko-Gruppen erleichtert die Zuordnungen. Der Aufwand lohnt sich, denn der Gewinn ist umfassende und Nachhaltige Sicherheit. Alltägliche Prozesse wie beispielsweise On- und Off-Boarding gehen mit einem gut konfigurierten Risk-Management sehr zügig und sicher von der Hand. Der nachgelagerte Admin-Aufwand für Betrieb und Pflege des Systems lässt sich mit Hilfe von Self-Service-Portalen auf ein Minimum reduzieren. So können die Nutzer hier selbst Hilfe beantragen, wenn sie beispielsweise einen Token verloren haben, oder sonst ein Problem mit dem Zugriff haben. Das Self-Service-Portal bietet den Nutzern umfangreiche Hilfe zur Selbsthilfe.