Multi-Faktor-Authentifizierung
Idee: Angetreten, um Kontoübernahmen obsolet zu machen
Immer mehr Unternehmen verlagern ihre Betriebsprozesse in die Cloud und fördern den Einsatz privater Endgeräte für ein flexibles Arbeiten. Doch das birgt auch Risiken. Das Münchner Start-up Idee hat vor diesem Hintergrund eine Phishing-sichere Multi-Faktor-Authentifizierung (MFA) entwickelt.
conenct professional: Vor welchen generellen Herausforderungen stehen Unternehmen heutzutage mit Blick auf ihre IT-Sicherheit?
Al Lakhani: Die größte Herausforderung besteht darin, sensible Unternehmens- und Kundendaten vor unbefugtem Zugriff zu schützen. Mittlerweile ist klar, dass Multi-Faktor-Authentifizierung (MFA) ein Muss ist. Allerdings ist auch klar, dass MFA der ersten Generation, wie etwa Einmalpasswörter, Push-Nachrichten und QR-Codes hauptsächlich Brute-Force-Angriffe verhindert. Die größte Bedrohung geht jedoch vom Phishing von Zugangsdaten aus. Uber, Reddit, Rockstar Games: Jede Woche gibt es einen neuen erfolgreichen Angriff, bei dem Credential-Phishing eingesetzt wird.
connect professional: Was können beziehungsweise sollten Unternehmen vor diesem Hintergrund tun, um für mehr Cybersicherheit zu sorgen?
Lakhani: Die Unternehmen müssen sich darauf konzentrieren, was die Angreifer ausnutzen. Das schwächste Glied ist derzeit der Endnutzer. Unternehmen müssen ihre Endnutzer schützen, damit ihre Anmeldedaten nicht gefährdet werden, selbst wenn sie auf einen Phishing-Link klicken. Unternehmen benötigen eine narrensichere Lösung, die alle Phishing-Angriffe auf Anmeldeinformationen sowie passwortbasierte Attacken, einschließlich Adversary-in-the-middle-Angriffe, verhindert. Schätzungen zufolge haben ganze 90 Prozent der Ransomware-Angriffe ihren Ursprung in einer Phishing-E-Mail.
| „Das passwortlose Arbeiten ist ein wichtiges Ziel. Aber kein typisches Unternehmen kann in der gesamten Organisation passwortlos arbeiten. Der Grund: Legacy-Systeme, die auf Passwörtern basieren. Die Umstellung dieser Systeme auf passwortlos ist in der Regel zu teuer.“ |
|---|
connect professional: Wie kann insbesondere der Einsatz einer passwortlosen Lösung Unternehmen schützen? Welche Unterschiede zu anderen MFA-Methoden gibt es?
Lakhani: Das passwortlose Arbeiten ist ein wichtiges Ziel. Aber kein typisches Unternehmen kann in der gesamten Organisation passwortlos arbeiten. Der Grund: Legacy-Systeme, die auf Passwörtern basieren. Die Umstellung dieser Systeme auf passwortlos ist in der Regel zu teuer. Daher ist die Umstellung eines Unternehmens auf passwortlose Systeme ein langer Weg. Unternehmen sollten deshalb die 80/20-Regel anwenden: Machen Sie alles passwortlos, was passwortlosen Login unterstützt, und sorgen Sie beim Rest dafür, dass passwortbasierte und Phishing-Angriffe nicht möglich sind. Eine einfache Möglichkeit, passwortbasierte Systeme zu schützen, ist die Verwendung einer passwortlosen MFA und deren Integration in eine moderne Zero-Trust Network Access (ZTNA)-Lösung. Auf diese Weise kann die IT-Abteilung passwortlose, fälschungssichere MFA verwenden, bevor sich der Benutzer mit Passwörtern beim Legacy-System anmeldet.
Es handelt sich dabei im Prinzip um zwei Türen, die den unbefugten Zugriff verhindern. Die erste Tür ist mit passwortloser, fälschungssicherer MFA geschützt. Erst nachdem sich der Benutzer an der Tür erfolgreich authentifiziert hat, wird der Zugang zur Passworteingabe an der zweiten Tür gewährt, sodass passwortbasierte oder Phishing-Angriffe unmöglich sind.
connect professional: Idee ist nicht der einzige Anbieter einer passwortlosen Authentifizierungslösung: Was zeichnet speziell Ihren Ansatz aus?
Lakhani: Bei AuthN von IDEE geht es um die Geschwindigkeit bei der Integration. Ein Unternehmen kann unsere Lösung in weniger als 15 Minuten integrieren und jeder Benutzer kann sie selbst konfigurieren, um in Sekundenschnelle die Phishing-sichere MFA zu nutzen. Außerdem ist die Lösung clientlos, das heißt die IT-Abteilung muss keine Agenten oder Software auf den Geräten der Benutzer installieren. Und schließlich ist für unsere MFA kein zweites Gerät wie zum Beispiel ein Smartphone oder ein USB-Key erforderlich, während sie dennoch eine Phishing-sichere MFA bietet.
connect professional: Wie gewährleistet man Datenschutz?
Lakhani: Wie das Sprichwort in der Fertigung besagt: Das beste Teil ist kein Teil. Genauso ist der beste Weg, Daten zu schützen, sie gar nicht erst zu besitzen. Aus diesem Grund speichern wir keine persönlich identifizierbaren Informationen unserer Endbenutzer. Wir haben nur ihre gehashte E-Mail-Adresse, ihre Sprachpräferenz und ihre Betriebssystemversion. Darüber hinaus sind die Anmeldedaten immer dezentralisiert und werden von IDEE niemals gespeichert. Für jedes Benutzergerät wird ein eigener Berechtigungsnachweis erstellt und dann im TPM (Trusted Platform Module) des Geräts gespeichert. Das bedeutet, dass ein Angreifer jedes Benutzergerät einzeln kompromittieren und jedes Mal bei Null anfangen muss. Es gibt keine zentrale Speicherung von Anmeldeinformationen, die heruntergeladen oder kopiert werden können. Und schließlich muss der Benutzer nie seine Anmeldedaten eingeben, was bedeutet, dass keine Art von Malware auf einem Gerät Anmeldedaten abfangen kann. Der Benutzer muss lediglich sein Gerät entsperren und ist angemeldet. Keine Dateneingabe. Keine Passwörter. Keine Token.
| „Wir sind ein Channel-orientiertes Unternehmen. Unsere Partner verkaufen Authn by IDEE über ihren Online-Marktplatz, als Reseller oder als MSP/MSSP, indem sie AuthN als Teil ihrer Lösung einbinden. [...] IT-Abteilungen lieben AuthN, weil es ohne Client und Agenten auskommt und deshalb super einfach und schnell zu implementieren ist.“ |
|---|
connect professional: Idee hat in den vergangenen Monate neue Partner und Kunden gewinnen können – darunter VAPS und Anyplace IT. Wie sieht Ihr Geschäftsmodell genau aus?
Lakhani: Wir sind ein Channel-orientiertes Unternehmen. Unsere Partner verkaufen Authn by IDEE über ihren Online-Marktplatz, als Reseller oder als MSP/MSSP, indem sie AuthN als Teil ihrer Lösung einbinden. Der Einsatz von AuthN by IDEE ist super einfach. Schritt 1: Der Administrator integriert uns über unser AuthN Integrationsportal mit jeder beliebigen Web-App oder App. Durch die Verwendung von Protokollen wie WS-Fed, SAML und OIDC ist dies in wenigen Minuten erledigt. Sobald die Integration abgeschlossen ist, können die Benutzer sie sofort verwenden. Unsere Self-Service-Registrierung dauert nur wenige Sekunden pro Benutzer. Und das war's. Deshalb können wir AuthN in einem Unternehmen mit tausenden von Nutzern in weniger als 15 Minuten ausrollen. IT-Abteilungen lieben AuthN, weil es ohne Client und Agenten auskommt und deshalb super einfach und schnell zu implementieren ist. Und es benötigt kein zweites Gerät wie ein Smartphone oder einen USB-Stick. Alle Geräte wie PCs, Macs, Android-, iOS-und iPadOS-Geräte ab 2016 können AuthN sofort nutzen.
connect professional: Idees Kernkompetenz lag schon immer in der Authentifizierung, zu Beginn allerdings mehr mit Blick auf die per Wearables. Bitte erzählen Sie mehr darüber: Wie kam es zum Switch auf das heutige Portfolio?
Lakhani: Als ich IDEE gründete, war das Ziel, Kontoübernahmen zu verhindern. Wir begannen mit einem Wearable, weil es eine hervorragende UX geboten hätte. Unsere Prototypen und unser Ansatz wurden jedoch von Apple, Samsung und Fitbit nicht gut aufgenommen. Seit dem Jahr 2016 und auch heute noch liegt der Fokus solcher Geräte auf ihren Fitnessfunktionen. Also schwenkten wir 2018 um, um im B2C-Markt die Übernahme von Konten für den zu verhindern. Auch hier sind wir gescheitert, weil
a) einzelne Verbraucher keinen Wert darin sahen, für Sicherheit zu bezahlen, und
b) B2B2C-Unternehmen durch Corona andere Prioritäten hatten.
Aber wie bei jeder grauen Wolke gibt es auch hier einen Silberstreif am Horizont: Wir sahen eine Chance auf dem B2B-Markt. Im Zuge der Pandemie haben sich die Unternehmen auf der ganzen Welt verändert, und das Arbeiten von überall aus ist jetzt Teil des normalen Lebens. Das bedeutet: Mitarbeiter befinden sich nicht mehr in der sicheren Umgebung des Bürogebäudes. Wir sahen eine Möglichkeit, die Übernahme von Konten für Mitarbeiter und die Lieferkette von Unternehmen zu verhindern. Und das war unser dritter Ansatzpunkt: Phishing-sichere MFA. Unsere Kernaufgabe, die Übernahme von Konten zu verhindern, hat sich also nicht geändert.
connect professional: Welche Ziele verfolgt Idee speziell für den deutschen Markt?
Lakhani: Speziell für den deutschen Markt hat sich IDEE das Ziel gesetzt, die Standardwahl für MFA in allen Segmenten zu werden. Wir wissen, dass mehr als 90 Prozent der Nutzer nicht durch irgendeine Form von MFA geschützt sind. Und wenn doch eine MFA zum Einsatz kommt, handelt es sich meist um eine App-basierte oder Token-basierte MFA der ersten Generation. Beide können Phishing nicht verhindern, sondern nur Brute-Force-Angriffe. Die Herausforderungen für deutsche Unternehmen sind groß. Hier sind die Möglichkeiten, die sie haben, wenn sie MFA der ersten Generation implementieren:
Alle digitalen Identitäten von Mitarbeitern und Lieferanten mit einem weiteren Anbieter teilen.
Smartphones für alle Benutzer kaufen und mit den Lizenzen und dem Aufwand für die Verwaltung der neuen Geräte leben.
Einen USB-Key (fob) anstelle eines Smartphones verwenden. Doch wie viele sollte das Unternehmen kaufen und verwalten? Mindestens zwei pro Nutzer, besser noch wären drei. Aber ist es dann eine IT-Abteilung oder eine Logistikabteilung?
Keine leichte Entscheidung. Warum sollte ein Unternehmen im Jahr 2023 MFA der ersten Generation verwenden? Auch wenn ein Unternehmen eine Cyberversicherung abschließen möchte, muss es eine MFA einsetzen. Unsere deutschen Versicherungspartner haben uns mitgeteilt, dass acht von zehn Unternehmen, die versucht haben, MFA unternehmensweit einzusetzen, aufgrund der oben genannten Herausforderungen gescheitert sind. Unser Ziel in Deutschland ist es, die Zusammenarbeit mit unserem schnell wachsenden Partnernetzwerk fortzusetzen, mit besonderem Fokus auf MSP/MSSPs. Hiermit helfen wir privaten und öffentlichen Institutionen, MFA schnell zu implementieren, basierend auf einer Zero-Trust-Architektur, die auch KRITIS-Kunden bedenkenlos für Public-Cloud-Dienste nutzen können. Unterm Strich können wir Unternehmen dabei helfen, sich vor dem zu schützen, was die Ursache für 90 Prozent aller Cyber-Versicherungsschäden ist, die 2022 in Deutschland gezahlt wurden. Wir blicken gespannt in die Zukunft und bleiben unserer Mission treu: Wir wollen Kontoübernahmen zu einem Relikt der Vergangenheit machen und so das volle Potenzial digitaler Identitäten freisetzen und den Menschen die Möglichkeit geben, sich mit absolutem Vertrauen in der Online-Welt zu bewegen.
| Eckdaten zum Unternehmen Idee |
|---|
| Gründung und Wurzeln Das Unternehmen wurde 2015 in München gegründet. Es begann mit der Idee, die Übernahme von Konten zu verhindern. Das ist auch heute noch der Kernfokus des Unternehmens. Seit der Gründung hat sich das Unternehmen zweimal umorientiert: Zunächst von der kontinuierlichen Authentifizierung zur digitalen Identität und dann von der digitalen Identität zur phish-proof MFA. DIE Phishing-sichere MFA wurde im Jahr 2022 eingeführt. |
| Zielgruppe und USPs Idee bezeichnet sich selbst als ein „Channel-first“-Unternehmen. Die Anwendungsfälle konzentrieren sich auf die Authentifizierung von Mitarbeitern und die Authentifizierung der Lieferkette. Angreifer nutzen immer wieder Mitarbeiter und Lieferkette aus, um Ransomware zu installieren und in Unternehmen einzudringen. Hier ist eine Phishing-sichere MFA erforderlich, um alle Phishing-Angriffe auf Anmeldeinformationen und passwortbasierte Angriffe zu verhindern. Die beiden wichtigsten Alleinstellungsmerkmale sind, dass Idees Phishing-sichere MFA in weniger als 15 Minuten implementiert werden kann und man kein zweites Gerät wie ein Smartphone oder einen USB-Stick benötigt, um MFA bereitzustellen. |
| Mitarbeiter und Standorte Elf Mitarbeiter in Großbritannien, Deutschland und Serbien; Idee ist zudem gerade dabei, in die USA zu expandieren. |
| Technologie- und Vertriebspartner TD Synnex (ehemals Tech Data) ist Vertriebspartner in Europa und Nordamerika. Drei Beispiele weiterer Partner: Bell Integration (UK Value Added Reseller und MSP), VAPS (DE-basierter Automotive MSP), NW Assekuranz (DE-basierter Versicherungsmakler). |
Lesen Sie mehr zum Thema
