Startseite > Security > Sicher (auch) ohne Passwort

Authentifizierung im New Work

Sicher (auch) ohne Passwort

4. August 2023, 13:30 Uhr | Autor: Markus Senbert / Redaktion: Diana Künstler

Die klassische Passwortauthentifizierung spielt zwar immer noch eine wichtige Rolle in der täglichen IT-Praxis, muss aber dringend an die neuen Realitäten der IT-Sicherheit angepasst werden. Ein Ansatz ist es, unterschiedliche Authentifizierungsverfahren miteinander zu kombinieren.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Hat das Passwort in der Realität der New Work ausgedient?
Wie wichtig ist das Sicherheitsniveau der Benutzerauthentifizierung in Unternehmen?
Warum bringen klassische Anmeldeverfahren Probleme mit sich?
Worin besteht das Grundprinzip einer Zero-Trust-Architektur?
Wie sollten Authentifizierungslösungen für das Cloud-Zeitalter konzipiert sein?
Was ist Multi-Faktor-Authentifizierung (MFA)?
Was ist eine Phishing-resistente Authentifizierung?
Welche Rolle spielt der Einsatz von Security-Token bei der Authentifizierung?
Welche Vorteile bietet eine automatisierte Public Key Infrastructure (PKI)?
Was ist Single-Sign-On (SSO)?
Welche Verfahren können bei der passwortlosen Authentifizierung kombiniert werden?

In der komplexen IT-Sicherheitslandschaft von heute spielen fortschrittliche Authentifizierungsstandards eine entscheidende Rolle. Denn das Passwort hat in der von Cloud-Anwendungen und Bring-your-own-Device dominierten Realität der New Work ebenso ausgedient wie der klassische PC-Arbeitsplatz. Die zunehmende Verlagerung von Diensten und Anwendungen in die Cloud verändert aber nicht nur die Struktur von Unternehmensnetzwerken, sie schafft gleichzeitig neue Angriffsflächen. Das haben auch Cyberkriminelle längst erkannt: Sie machen gezielt Jagd auf schlecht geschützte Accounts, schwache Passwörter und allzu sorglose Mitarbeiter.

Hinter Cyberangriffen stecken längst keine IT-Enthusiasten mit Hacker-Ambitionen mehr, sondern meist gut organisierte Kriminelle mit hoher Profitorientierung. IT-Sicherheitsverantwortliche sehen sich daher zunehmend mit einem stetig wachsenden Bedrohungsarsenal an Botnetzen, KI-Methoden und Ransomware konfrontiert. Da Netzwerkperimeter und Benutzerkonten häufig die erste Verteidigungslinie für solche Angriffsmuster darstellen, entscheidet das Sicherheitsniveau der Benutzerauthentifizierung letztlich darüber, ob Angriffe auf die IT-Infrastruktur eines Unternehmens durchschlagen oder frühzeitig abgewehrt werden können. Etwa, weil Angreifer den Aufwand als zu hoch einschätzen oder Angriffe auf schwache Passwörter bei modernen Authentifizierungslösungen gar nicht erst funktionieren. Die klassische Passwortauthentifizierung spielt zwar immer noch eine wichtige Rolle in der täglichen IT-Praxis, muss aber dringend an die neuen Realitäten der IT-Sicherheit angepasst werden, um den Anforderungen des digitalen Wandels in der Arbeitswelt von morgen noch gerecht zu werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Klassische Anmeldeverfahren entwickeln sich zu Altlasten

Ein gemeinsames Problem sogenannter Legacy-Verfahren ist, dass viele der heute üblichen Zugriffsmethoden nicht für webbasierte Anwendungen entwickelt wurden. Sie gehen größtenteils noch auf Protokolle zurück, die lange vor dem Internetzeitalter entstanden sind und im Wesentlichen auf den IT-Sicherheitsvorstellungen der 80er Jahre beruhen. Zu den klassischen Access-Methoden gehören Verfahren wie Kerberos, RADIUS oder auch LDAP. Benutzername, Passwort und IP-Adresse reichen hier, um einen Benutzer gegenüber einem Netzwerkbereich oder einem Server zu autorisieren. Sobald der Benutzer authentifiziert ist, kann er zudem ungehindert auf die mit dem Account verknüpften Systeme, IT-Dienste und Netzwerkinformationen zugreifen. Der Sicherheitsstandard solcher Basisauthentifizierungen reicht jedoch nicht mehr aus, um hybride IT-Architekturen im Cloud- und Edge-Bereich gegen moderne Angriffsmuster abzusichern. Innerhalb der Cloud wird deshalb auf moderne Authentifizierungsverfahren gesetzt, die erweiterte Benutzeridentitäten im Rahmen eines Zero-Trust-Modells verwenden.

Das Grundprinzip einer Zero-Trust-Architektur besteht darin, dass alle Benutzer, Endgeräte und Netzwerkbereiche zunächst als potenziell unsicher eingestuft werden. Erst nach Überprüfung der Identität und erfolgreicher Autorisierung durch eine ganze Reihe von unabhängigen Authentifizierungsmaßnahmen wird der Zugriff auf die IT-Ressourcen eines Unternehmens erlaubt. Damit vollzieht Zero Trust einen wichtigen Perspektivwechsel in Sachen IT-Sicherheit, weg vom Schutz der Peripherie und dem blinden Vertrauen gegenüber internen Nutzern, hin zu einem Modell, bei dem jeder Nutzer und jedes Gerät validiert werden muss.

Authentifizierungslösungen für das Cloud-Zeitalter: bequem und sicher?

Um aktuellen Sicherheitsrisiken gewachsen zu sein, sollte ein IT-Sicherheitskonzept für Cloud- und Edge-Anwendungen möglichst unterschiedliche Authentifizierungsverfahren miteinander kombinieren. Beispielsweise durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) beziehungsweise einer weiterentwickelten MFA-Methode, der Phishing Resistant Authentication (PRA). Dabei stellt die passwortlose Authentifizierung quasi die Königsklasse dar, denn hier bestätigt der Nutzer seine Identität über einen Identitätsprovider, ganz ohne, dass er sein Passwort überhaupt kennen muss.

Die moderne Authentifizierung ergänzt aber nicht nur Zugriffsmethoden, indem sie die Identitäten anhand verschiedener Faktoren wie Uhrzeit, Standort und Geräte-ID überprüft, sie stellt dem Nutzer gleichzeitig auch eine sichere und individualisierte Arbeitsumgebung bereit. Dieser kann so immer nur auf die IT-Ressourcen zugreifen, die er aktuell auch benötigt. Informationen über die Struktur und Ausdehnung von Firmennetzen bleiben so geschützt. Solche fortschrittlichen Authentifizierungsmethoden setzen auf eine Kombination verschiedener Protokolle, die speziell dafür entwickelt wurden, die Sicherheit von Cloud-basierten Anwendungen zu verbessern und eine reibungslose Nutzererfahrung zu ermöglichen. Einige Beispiele für moderne Authentifizierungsprotokolle sind SAML (Security Assertion Markup Language), OAuth (Open Authorization) oder Web-Service-Federation. Obwohl sich die einzelnen Verfahren funktional leicht unterscheiden können, haben sie eines gemeinsam: Sie können die klassische Passworteingabe durch Sicherheitsfunktionen wie FIDO, Zertifikate, Einmalpasswörter oder biometrische Daten ersetzen. Die mehrmalige Verwendung eines einzigen Authentifizierungsfaktors ist jedoch kein wirklicher Garant für erweiterte Systemsicherheit. So ist beispielsweise ein System, das nur Sicherheitsfragen und Passwörter – beides wissensbasierte Faktoren – erfordert, insgesamt weniger sicher als ein System, das zusätzliche OTP-Codes benötigt, die zusammen mit dem Benutzernamen oder dem Passwort über das Smartphone übermittelt werden. Ein weiterer allgemeiner Grundsatz für die Multi-Faktor-Authentifizierung ist, dass die Benutzer nicht zum zweiten Faktor übergehen dürfen, ohne den ersten Faktor vorher validiert zu haben.

Erweiterte Sicherheit durch PRA

Die Multi-Faktor-Authentifizierung (MFA) ist ein Zugriffsverfahren, bei dem Nutzer mindestens zwei oder mehr Nachweise ihrer Identität erbringen müssen. Dieser Nachweis kann in Form von etwas erfolgen, das der Benutzer kennt, zum Beispiel ein Passwort, oder in Form von etwas, das er besitzt, zum Beispiel einen physischen Token wie den YubiKey oder ein Smartphone. Phishing-resistente Authentifizierung (PRA) setzt zusätzlich dazu noch kryptografische Verfahren ein, um sicherzustellen, dass die Identität und die Absicht des Benutzers nicht einfach von einem Hacker missbraucht werden kann. Solche Sicherheitsmechanismen setzen in der Regel die Verwendung asymmetrischer Verschlüsselung von digitalen Signaturen und von Einmalpasswörtern voraus. Bei der Phishing-resistenten Authentifizierung muss der Benutzer dank automatisiertem Zertifikatsaustausch keine Shared Secrets wie Passwörter oder Passcodes mehr preisgeben, was PRA-Verfahren deutlich sicherer macht als die reine Multi-Faktor-Authentifizierung.

Eine Phishing-resistente Authentifizierung basiert immer auf einem mehrstufigen Verifizierungsprozess. Abhängig von der Rolle des Benutzers und der Kritikalität der Daten, mit denen er arbeitet, können im Rahmen von PRA verschiedene adaptive Faktoren Anwendung finden. Je nach ermitteltem Risiko (Risiko-Scoring) werden dann zusätzliche Authentifizierungsfaktoren für den Zugang verwendet. Dazu gehören beispielsweise biometrische Merkmale, Security-Token wie beispielsweise der „YubiKey“ oder auch Smartcards. Parameter wie der Standort, die Endgerätekategorie oder IT-Dienststufe werden dabei ebenfalls zur Risikobewertung herangezogen. Das Verfahren verwendet zudem möglichst viele voneinander unabhängige Faktoren. Der zusätzliche Einsatz von Token stellt dabei sicher, dass ein Benutzer sich immer aktiv authentifizieren muss, um auf ein Konto zuzugreifen. Eine biometrische Authentifizierung kann zusätzlich auch ein einmaliges biologisches Merkmal des Benutzers wie etwa einen Fingerabdruck oder 3D-Gesichtsdaten abfragen. Während der Benutzer sich bequem ohne Passworteingabe anmeldet, wird im Hintergrund ein Identitätsanbieter aufgerufen, um ein eindeutiges Sicherheitszertifikat zu generieren, ohne dass die Passwortdaten dabei an Drittanbieter weitergegeben werden müssen.

Mit Hilfe eines physischen Sicherheitstoken ist ebenfalls eine Übertragung von sicherheitsrelevanten Informationen möglich. Ein Zertifikat definiert dann, auf welche Ressourcen ein Nutzer wann, mit welchem Gerät und von welchem Standort aus zugreifen darf. Die Token-Autorisierung lässt sich zudem leicht automatisieren und bietet IT-Teams so mehr Flexibilität und Granularität bei der Steuerung des Zugriffs auf verschiedene Cloud-Anwendungen. Die manuelle Verwaltung von Token ist oft mit einem hohen Arbeitsaufwand verbunden, der auch das Risiko menschlicher Fehler und potenzieller Sicherheitslücken erhöht. Zudem müssen Anwendungen ständig aktualisiert, Mitarbeiter an- und abgemeldet oder Zugänge verlegt werden. Eine automatisierte PKI (Public Key Infrastructure) bietet hier eine flexible und leicht skalierbare Lösung, die auch bei einer steigenden Anzahl von Zertifikaten die Verwaltung erleichtert und die Verwendung von Self-Service-Optionen wie etwa einen Security Kiosk ermöglicht. Darüber hinaus bieten die meisten Automatisierungslösungen auch einen besseren Überblick über den Zertifikatsbestand. Dies ist einer der wichtigsten Schlüssel zu einer effizienten Zero-Trust-Architektur, denn wenn eine Überprüfung immer erforderlich ist, ist die Kenntnis aller digitalen Zertifikate im Netzwerk entscheidend, da jedes unbekannte oder unentdeckte Zertifikat das gesamte Netzwerk angreifbar machen kann.

Passwordless: die Zukunft der Authentifizierung

In einer Zero-Trust-Umgebung ist entscheidend, dass alle Zugriffe auf Systeme und Anwendungen überprüft und autorisiert werden. In diesem Umfeld stellt Single-Sign-On (SSO) eine bevorzugte Methode dar, um die Identität eines Benutzers zu überprüfen und die Autorisierung für den Zugriff auf verschiedene Systeme zu ermöglichen. In den meisten Fällen sind SSO-Dienste und Identity Provider (IdPs) dabei getrennt voneinander. Denn der SSO-Service nutzt den IdP, um die Identität des Benutzers zu überprüfen, speichert sie jedoch nicht. Der SSO-Anbieter agiert wie ein Vermittler, ähnlich einem Sicherheitsdienst, der für die Sicherheit eines Unternehmens engagiert wird, ohne selbst Teil des Unternehmens zu sein.

Um eine kennwortlose Anmeldung zu realisieren, können verschiedene Authentifizierungsmethoden wie Biometrie mit Windows Hello for Business oder aber ein FIDO2-Sicherheitstoken verwendet werden. Ein Angreifer kann diese Art der Anmeldeinformation im Unterschied zum klassischen Passwort nicht einfach so duplizieren. Doch ein solches Verfahren ist nicht nur potenziell sehr viel sicherer, es erleichtert Nutzern auch die Anmeldung beim Wechsel von einem Cloud-Dienst zum anderen, da dank Single-Sign-On (SSO) die manuelle Passwort-Eingabe entfällt. Zu den Verfahren, die bei der passwortlosen Authentifizierung kombiniert werden können, gehören Biometrie, Kryptografie und Multi-Faktor-Authentifizierung (MFA). Benutzer müssen also gleich mehrere Authentifizierungsmethoden parallel verwenden, um ihre Identität sicher bestätigen zu können. Die Integration von MFA erhöht grundsätzlich das Sicherheitsniveau, da die Anzahl der für die Authentifizierung benötigten Datentypen erhöht wird. Bei der Phishing-resistenten Authentifizierung wird zusätzlich dazu noch ein Sicherheits-Pin abgefragt, der dem Nutzer per E-Mail oder SMS zugesandt wird. Dieser Code ist nur kurze Zeit gültig und kann nur einmal verwendet werden. Ein solcher Ansatz stellt in der aktuellen Sicherheitslage einen immensen Vorteil dar, da die meisten Phishing-Websites ausschließlich darauf ausgerichtet sind, Passwörter zu stehlen. Wenn Nutzer bei ihrem normalen Anmeldevorgang gar kein Passwort verwenden, ruft eine plötzlich auftauchende Passwortabfrage meist eine gesunde Skepsis beim User hervor. Hinzu kommt, auch wenn ein Nutzer eine Fake-Anmeldeseite versehentlich als seriös einstuft, kennen die betroffenen User ihr Passwort in den meisten Fällen gar nicht, weil sie es nie verwenden. Websites, die andere Anmeldeinformationen fälschen, wie zum Beispiel OTPs, die an Telefonanwendungen oder Hardware-Token gesendet werden, sind zudem sehr viel seltener als Passwort-Phishing-Seiten.

Zwei der heute gängigsten passwortlosen Authentifizierungsmethoden basieren auf dem FIDO2-Standard: Windows Hello for Business und der YubiKey Security-Stick. Wenn Sie es Benutzern erschweren wollen, Opfer von Phishing zu werden, bieten diese beiden Authentifizierungsmethoden den perfekten Schutz vor Phishing. Denn Phishing-Websites verlassen sich darauf, dass Benutzer nicht bemerken, dass die Domäne, die ihre Anmeldeinformationen anfordert, nicht die Domäne ist, bei der sie diese Anmeldeinformationen registriert haben. Mit FIDO wird dieses Problem grundsätzlich vermieden, da die Serverdomäne vom Client (das heißt dem Browser) verwendet wird, um den Authentifikator (das heißt den Sicherheitsschlüssel) aufzufordern, die Anmeldeanfrage kryptografisch zu signieren. Dieser liefert aber nur dann gültige Anmeldeinformationen für eine Domäne zurück, wenn die besuchte Domäne exakt der Schreibweise entspricht. Verwechslungen wie beim Versuch, dem User Fake-Domains mit ähnlichem Wortlaut unterzuschieben, sind durch das Signaturverfahren ausgeschlossen.

Für ein Nonplusultra der Authentifizierung

Moderne Authentifizierungsverfahren machen die Unterschiede zwischen der klassischen LAN-basierten Anmeldung und Cloud-Authentifizierung deutlich. In der Cloud werden dringend neue Verfahren benötigt, weil herkömmliche Authentifizierungsprotokolle wie RADIUS für Legacy-Anwendungen und lokale Firmennetzwerke entwickelt wurden, aber nicht für die Zusammenführung von Nutzeridentitäten innerhalb von modernen Cloud-Anwendungen. Darüber hinaus verringert die Verwendung adaptiver Authentifizierungsmethoden das Auftreten von Authentifizierungsmüdigkeit bei den Nutzern. Die Verwendung von MFA allein bietet in diesem Umfeld immer noch ausreichende Sicherheit, ist aber schlicht zu umständlich. Eine effektive Implementierung von MFA besteht darin, verschiedene Arten von Authentifizierungsfaktoren zu verwenden, zum Beispiel durch die Umsetzung von Richtlinien, die eine PIN oder biometrische Daten erfordern. Unternehmen bieten ihren Mitarbeitern so nicht nur eine nahtlose Benutzeroberfläche für den Zugriff auf interne Systeme und Ressourcen, sondern auch eine komplett passwortlose Lösung, die angesichts der weltweiten IT-Sicherheitslage künftig für das Nonplusultra der Authentifizierung stehen wird.

Durch die zentrale Ausstellung digitaler Zertifikate und die Etablierung einer kryptografischen Schutzebene zur Autorisierung vertrauenswürdiger Identitäten werden Nutzerdaten geschützt und eine unterbrechungsfreie End-to-End-Kommunikation sichergestellt. Dieser Ansatz steht in direktem Einklang mit dem Zero-Trust-Modell. PKI kann hier auch Anmeldemechanismen und Lösungen bereitstellen, welche die Grundlage für die Identität innerhalb von Zero Trust bilden.