7. Januar 2010 - Zugangskontrolle

So setzen Sie die richtige Authentifizierung durch

Ein Zugangsschutz über Passwörter kann ausreichend sein, ist es aber in vielen Anwendungsbereichen nicht. Trotzdem kann die Einführung einer durchgehenden Zwei-Faktor-Authentifizierung Unternehmen und Mitarbeiter überfordern. Hohe Sicherheitsanforderungen führen zu hohen Kosten und hohem zeitlichen Aufwand für die Mitarbeiter. Mit der Adaptiven Authentifizierung können Sie diesem Dilemma entkommen und den Grundsatz der Verhältnismäßigkeit mit Leben füllen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Wenn es um Maßnahmen für die Zugangskontrolle geht, greifen die meisten Unternehmen zum einfachen Passwort. Leider ist es um die Beachtung der Passwortrichtlinien nicht immer gut bestellt, so dass Passwörter einen wunden Punkt darstellen.

Authentifizierung in den Blick nehmen

Nur eine Minderheit schöpft die Möglichkeiten aus, die die Zwei-Faktor-Authentifizierung bietet. Mehr als zwei Faktoren zur Authentifizierung werden in der Regel kaum genutzt. Dafür gibt es Gründe: Mehr Faktoren bei der Authentifizierung bedeuten auch mehr Kosten und mehr Aufwand für die Mitarbeiter.

Authentifizierung oftmals zu starr

Die Situation bei der Zugangskontrolle verschärft sich noch dadurch, dass viele Unternehmen eingleisig fahren, also entweder Passwörter oder Passwörter plus Hardware-Token (oder ein anderes Besitz-Merkmal) verwenden.

Eine situationsabhängige Wahl der Zugangsmedien wird höchstens bei der Unterscheidung zwischen Administrator und einfachem Benutzer getroffen, dann aber ebenfalls ohne jede Flexibilität.

Dabei könnten die Zwei-Faktor-Authentifizierung und die Zugangskontrolle an sich deutlich gewinnen, wenn sie von

  • Benutzer,
  • Gerätetyp und
  • Einsatzsituation

abhängig gemacht würden.

Zugangskontrolle mit Anpassung

Tatsächlich ist es bereits möglich, die Zugangskontrolle anpassungsfähig zu machen. Entsprechende Lösungen auf dem Markt finden sich unter der Bezeichnung adaptive Authentifizierung.

Die Idee dahinter: Die Zugangskontrolle sollte sich an der Verhältnismäßigkeit und am tatsächlichen Schutzbedarf orientieren, nicht an der einmal definierten Zugangslösung.

In der Praxis kann man mit solch einer Lösung je nach Benutzer, dem von ihm eingesetzten Endgerät und der Situation, in der er sich befindet, nur ein Passwort verlangen oder aber weitere Faktoren zur Authentifizierung.

Checkliste Mehr-Faktor-Authentifizierung (vollständige Version)

Prüfansätze (Auszug) ja nein
Wird die Einhaltung der Passwort-Richtlinie regelmäßig geprüft?
Wird auch die Passwort-Richtlinie selbst regelmäßig geprüft, ob sie für den aktuellen Schutzbedarf noch angemessen ist?
Wird bei der Zugangskontrolle für das Netzwerk unterschieden nach Anwendern, nach Anwendungsszenarien (Arbeitsplatz, Home-Office, Mobil, öffentliches Netz) und nach Endgeräten (bekannt, unbekannt)?
Wurden die Anwendungsszenarien bestimmt, bei denen ein einfacher Passwortschutz als unzureichend angesehen wird?
Wurde für diese Fälle die Zwei- oder Mehr-Faktor-Authentifizierung vorgesehen?
Ist das gewählte Verfahren der Zwei- oder Mehr-Faktor-Authentifizierung ausführlich getestet wurden?
Wurden bei dem Test auch die Benutzerfreundlichkeit und die Verhältnismäßigkeit berücksichtigt?
Wurde bereits die Möglichkeit einer adaptiven Authentifizierung geprüft?

Adaptive Authentifizierung berücksichtigt Risiken

Dazu führen Lösungen im Bereich der adaptiven Authentifizierung dynamische Risikoanalysen durch. So wird ein Mitarbeiter aus der Technik an seinem regulären Arbeitsplatz und an seinem definierten PC zum Beispiel dann als geringer risikobehaftet eingestuft, wenn er keine Berechtigungen hat, um auf vertrauliche und personenbezogene Daten zuzugreifen.

Ist er aber unterwegs oder macht er eine Fernwartung von einem Dritt-PC aus, dann ist das Risiko für die Daten deutlich größer. Dann reicht nicht sein Passwort, sondern er muss sich mit weiteren Faktoren authentifizieren.

Dies können je nach Lösung Hardware-Tokens sein, aber auch virtuelle Merkmale könnten genutzt werden wie

  • spezielle Zertifikate,
  • Sicherheits-Cookies auf dem Endgerät,
  • die Prüfung der IP-Adresse und der Geräteadresse,
  • die Beantwortung von Zusatzfragen zum Passwort,
  • die Authentifizierung per SMS mit dem Firmen-Handy, Smartcards oder biometrische Merkmale.

Auf die Risikoanalyse kommt es an

Damit jedoch die adaptive Authentifizierung wirklich zum Sicherheitsgewinn für den Datenschutz wird, muss die Risikoanalyse stimmen und die Benutzerfreundlichkeit darf nicht zu weit gehen.

Wer sich also für eine solche Lösung interessiert, sollte genau prüfen, wie Risiken bestimmt werden und ob der Anwender Wahlmöglichkeiten zur Authentifizierung bekommt.

So sollte es zum Bespiel nicht möglich sein, die verlangte SMS-Authentifizierung per Handy einfach durch ein zweites Web-Passwort zu ersetzen, da ein potenzieller Angreifer dann ebenfalls die Wahl der Mittel hat.

Zudem sollten Risiken intelligent bewertet werden: Der Schutzbedarf hängt insbesondere ab

  • von den gewünschten Daten,
  • vom genutzten Endgerät,
  • vom Einsatzszenario,
  • vom Anwender selbst,
  • aber auch von der aktuellen Bedrohungslage und den Warnmeldungen anderer Sicherheitssysteme.

Auch sollten die Risiken nicht nur auf Basis von Erfahrungswerten bestimmt werden, sondern auch Echtzeit-Analysen einbeziehen, zum Beispiel zu aktuellen Internet-Attacken.

Achtung bei Benutzerprofilen

Lösungen für eine adaptive Authentifizierung legen auch Benutzerprofile an, um das Risiko bestimmen zu können, das von der aktuellen Anmeldung im Netzwerk ausgehen könnte. Hier sollte allerdings darauf geachtet werden, dass diese Benutzerprofile nicht für andere Zwecke genutzt werden, zum Beispiel für Leistungs- und Verhaltenskontrollen (§ 31 BDSG Besondere Zweckbindung).

Unter diesen Voraussetzungen kann das häufig zu einfache Passwort immer dann im Sinne einer Zwei-Faktor-Authentifizierung um weitere Faktoren ergänzt werden, wenn es erforderlich ist. Das erhöht die Akzeptanz und senkt die Mitarbeiteraufwände. Eine Kosten-Nutzen-Analyse sollte dann zeigen, ob sich die Kosten für eine adaptive Authentifizierung lohnen. Dabei sollten allerdings die Kosten eines möglichen Datenverlustes oder Datenmissbrauchs auch einbezogen werden!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln