Die IT-Welt scheint Abkürzungen mit vier Buchstaben zu bevorzugen: WLAN, SNMP, HTML - und aktuell BYOD. Über den Zugriff auf Unternehmensnetzwerke und -daten mittels privater Endgeräte zerbrechen sich manche IT-Verantwortliche und Geschäftsführer allerdings den Kopf: "Wie können wir sichere Zugänge für Mobile Devices schaffen, ohne unsere Daten zu gefährden?" Ein Weg führt über die doppelt abgesicherte Identitätsprüfung mittels tokenloser Zwei-Faktor-Authentifizierung. Sie kombiniert persönliche Log-In-Daten als ersten Faktor mit dynamischen Passcodes, die Smartphone, Tablet und Co. als zweiten Faktor empfangen.
Das Arbeiten mit privaten Geräten im Unternehmensumfeld rückt immer stärker in den Vordergrund. Wie die aktuelle Umfrage "Die wichtigsten Technologie- und Markttrends aus Sicht der ITK-Unternehmen" des Branchenverbands BITKOM ergeben hat, fokussieren 27 % aller befragten Firmen das Thema BYOD. Damit einher geht ebenfalls das Interesse an mobilen Anwendungen (48 %) und IT-Sicherheit im Allgemeinen (33 %). Bei BYOD treffen Gegensätze aufeinander: einerseits größtmögliche Flexibilität für den Arbeitnehmer, andererseits bestmögliche Absicherung von Netzwerken und Daten das Arbeitsgebers bei gleichzeitig möglichst unkomplizierten Einloggprozessen.
Sicherheit mit doppeltem Boden
Im Zuge der Entwicklung von IT-Sicherungsmaßnahmen, speziell für Identifizierungsprozesse, sind Security-Experten dazu übergegangen, mehrere Mechanismen miteinander zu verbinden. In diese Kategorie fällt die Zwei-Faktor-Authentifizierung. Zur eindeutigen Identifizierung sind mindestens zwei von drei möglichen Faktoren nötig:
- etwas, das nur der Nutzer selbst kennt, wie z.B. eine PIN,
- etwas Materielles, das ausschließlich der Nutzer besitzt, wie z.B. ein Token (USB-Stick etc.), und/oder
- etwas, das untrennbar zu einem Nutzer gehört, wie z.B. die Iris des Auges.
Auf diese Weise funktioniert zum Beispiel das Geldabheben am Bankautomaten: Der Kunde benötigt seine persönliche Bankkarte sowie seine PIN für eine erfolgreiche Transaktion. Der Nachteil dieser Vorgehensweise ist, dass die Bankkarte (oder generell das Token, bezogen auf Unternehmenszwecke) stets mit sich geführt werden muss. Neben dieser eher lästigen Pflicht spielen im Unternehmen vor allem die Kosten für Tokens eine wesentliche Rolle. Denn hier müssen Verantwortliche sowohl die Anschaffung und als auch den Austausch im Falle des Verlorengehens oder bei Diebstahl einkalkulieren.
Aus vorhandenen Ressourcen schöpfen
An diesem Punkt setzen Lösungen an, die noch einen Schritt weiter gehen nach dem Prinzip "BYOT": Bring your own token. Derlei Anwendungen nutzen statt zusätzlichen Werkzeugen bereits Vorhandenes als Zugangs-Tool, in diesem Fall mobile Endgeräte. Der Vorteil daran: Für viele ist insbesondere das Smartphone zum unentbehrlichen Begleiter im Alltag geworden. Auch im Berufsleben hat der Mitarbeiter sein Mobiltelefon, Tablet oder Notebook in der Regel ohnehin bei sich.
Für die sichere, zweifelsfreie Identifizierung kombinieren die BYOT-Lösungen den "Faktor Passcode" und den "Faktor persönliche Log-In-Daten". Dazu hält der Nutzer seinen eigenständig festgelegten Benutzernamen, ein Passwort sowie eine persönliche Zugangslizenz bereit. Zusätzlich wird ihm ein dynamisch erzeugter, einmalig gültiger Ziffern-Passcode auf sein Mobile Device gesendet, wahlweise per SMS, E-Mail oder App. Auf diese Weise können Unternehmen die Installation weiterer Soft- oder Hardware auf dem Gerät umgehen, falls Mitarbeiter nicht nur Firmen-, sondern auch Privatgeräte für den Zugriff auf interne Daten nutzen. Denn andernfalls könnte das Personal zusätzliche Installationen auf dem privaten Device als aufgezwungen empfinden.
Integriertes Verfallsdatum
Gibt der Nutzer seinen aktuellen Passcode bei einem Log-In-Vorgang ein, verfällt diese Ziffernfolge sofort nach der Eingabe. Das System generiert umgehend einen neuen Code und sendet ihn auf das Mobilgerät. Das gleiche Prinzip kommt bei Falscheingaben zum Tragen. Zudem lässt sich festlegen, wie viele fehlerhafte Log-Ins ein Anwender eintippen darf, bevor sein Zugang komplett gesperrt wird. Alternativ kann den Usern ein Passcode zugesendet werden, der innerhalb einer vordefinierten Zeitspanne gültig und wiederverwendbar ist. Er verfällt automatisch nach Ablauf der vorgegebenen Frist. Einen Tag vor Ablauf erhält der User bereits eine neue Zahlenkombination, die nach Verfall des alten Codes verwendbar ist. Durch den Austausch steht jederzeit ein gültiger Passcode bereit, sodass akute Übertragungsprobleme im Mobilfunknetz Log-In-Vorgänge nicht beeinträchtigen.
Zwei-Faktor-Authentifizierung im Einsatz
Eine Zwei-Faktor-Authentifizierung wie beschrieben kommt beispielsweise bei T-Mobile zum Einsatz. Das Unternehmen hat als erster Mobilfunkbetreiber eine entsprechende Lösung für die Remote-Authentifizierung mithilfe von Mobiltelefonen implementiert. Damit sind die Mitarbeiter in der Lage, sich ortsunabhängig mittels ihres Handys, eines Passworts und eines dynamisch generierten Passcodes, der auf das Mobilgerät gesendet wird, zu identifizieren. Da nur der jeweilige Mitarbeiter beide Faktoren kennt, ist sichergestellt, dass kein Dritter sich ins Netzwerk einwählt und Daten klaut. Insgesamt 15.000 Mitarbeiter arbeiten mittlerweile mit dem Tool. Die Verantwortlichen verzeichnen indes signifikante Zeit- und Kosteneinsparungen, da die teure Anschaffung zusätzlicher Hardware-Token entfällt. Darüber hinaus erübrigt sich die Durchführung zeitaufwendiger Schulungen.
Fazit
Mittels Zwei-Faktor-Authentifizierung profitieren Unternehmen von einem doppelt abgesicherten Schutz. Denn die Log-In-Vorgänge kombinieren selbst gewählte Benutzernamen und Passwörter mit dynamisch generierten Passcodes plus Nutzerlizenzen. Selbst wenn das Passwort in die falschen Hände gerät, bleibt der Zugriff durch Fremde verwehrt, da die weiteren Faktoren unbekannt bleiben. Darüber hinaus sind die Lösungen kostengünstig, weil das Unternehmen nur in deren Installation investieren muss. Die teure Anschaffung zusätzlicher Tokens ist nicht erforderlich. In welcher Höhe sich Kosten beim Wechsel auf tokenlose Authentifizierung sparen lassen, zeigt dieser Rechner: www.securenvoy.com/.... Ebenfalls erübrigen sich die Token-Einrichtung, -ausgabe und der Support seitens der IT-Abteilung sowie die Ausgaben bei Verlust oder Diebstahl.
Das Arbeiten mit privaten Geräten im Unternehmensumfeld rückt immer stärker in den Vordergrund. Wie die aktuelle Umfrage "Die wichtigsten Technologie- und Markttrends aus Sicht der ITK-Unternehmen" des Branchenverbands BITKOM ergeben hat, fokussieren 27 % aller befragten Firmen das Thema BYOD. Damit einher geht ebenfalls das Interesse an mobilen Anwendungen (48 %) und IT-Sicherheit im Allgemeinen (33 %). Bei BYOD treffen Gegensätze aufeinander: einerseits größtmögliche Flexibilität für den Arbeitnehmer, andererseits bestmögliche Absicherung von Netzwerken und Daten das Arbeitsgebers bei gleichzeitig möglichst unkomplizierten Einloggprozessen.
Sicherheit mit doppeltem Boden
Im Zuge der Entwicklung von IT-Sicherungsmaßnahmen, speziell für Identifizierungsprozesse, sind Security-Experten dazu übergegangen, mehrere Mechanismen miteinander zu verbinden. In diese Kategorie fällt die Zwei-Faktor-Authentifizierung. Zur eindeutigen Identifizierung sind mindestens zwei von drei möglichen Faktoren nötig:
- etwas, das nur der Nutzer selbst kennt, wie z.B. eine PIN,
- etwas Materielles, das ausschließlich der Nutzer besitzt, wie z.B. ein Token (USB-Stick etc.), und/oder
- etwas, das untrennbar zu einem Nutzer gehört, wie z.B. die Iris des Auges.
Auf diese Weise funktioniert zum Beispiel das Geldabheben am Bankautomaten: Der Kunde benötigt seine persönliche Bankkarte sowie seine PIN für eine erfolgreiche Transaktion. Der Nachteil dieser Vorgehensweise ist, dass die Bankkarte (oder generell das Token, bezogen auf Unternehmenszwecke) stets mit sich geführt werden muss. Neben dieser eher lästigen Pflicht spielen im Unternehmen vor allem die Kosten für Tokens eine wesentliche Rolle. Denn hier müssen Verantwortliche sowohl die Anschaffung und als auch den Austausch im Falle des Verlorengehens oder bei Diebstahl einkalkulieren.
Aus vorhandenen Ressourcen schöpfen
An diesem Punkt setzen Lösungen an, die noch einen Schritt weiter gehen nach dem Prinzip "BYOT": Bring your own token. Derlei Anwendungen nutzen statt zusätzlichen Werkzeugen bereits Vorhandenes als Zugangs-Tool, in diesem Fall mobile Endgeräte. Der Vorteil daran: Für viele ist insbesondere das Smartphone zum unentbehrlichen Begleiter im Alltag geworden. Auch im Berufsleben hat der Mitarbeiter sein Mobiltelefon, Tablet oder Notebook in der Regel ohnehin bei sich.
Für die sichere, zweifelsfreie Identifizierung kombinieren die BYOT-Lösungen den "Faktor Passcode" und den "Faktor persönliche Log-In-Daten". Dazu hält der Nutzer seinen eigenständig festgelegten Benutzernamen, ein Passwort sowie eine persönliche Zugangslizenz bereit. Zusätzlich wird ihm ein dynamisch erzeugter, einmalig gültiger Ziffern-Passcode auf sein Mobile Device gesendet, wahlweise per SMS, E-Mail oder App. Auf diese Weise können Unternehmen die Installation weiterer Soft- oder Hardware auf dem Gerät umgehen, falls Mitarbeiter nicht nur Firmen-, sondern auch Privatgeräte für den Zugriff auf interne Daten nutzen. Denn andernfalls könnte das Personal zusätzliche Installationen auf dem privaten Device als aufgezwungen empfinden.
Integriertes Verfallsdatum
Gibt der Nutzer seinen aktuellen Passcode bei einem Log-In-Vorgang ein, verfällt diese Ziffernfolge sofort nach der Eingabe. Das System generiert umgehend einen neuen Code und sendet ihn auf das Mobilgerät. Das gleiche Prinzip kommt bei Falscheingaben zum Tragen. Zudem lässt sich festlegen, wie viele fehlerhafte Log-Ins ein Anwender eintippen darf, bevor sein Zugang komplett gesperrt wird. Alternativ kann den Usern ein Passcode zugesendet werden, der innerhalb einer vordefinierten Zeitspanne gültig und wiederverwendbar ist. Er verfällt automatisch nach Ablauf der vorgegebenen Frist. Einen Tag vor Ablauf erhält der User bereits eine neue Zahlenkombination, die nach Verfall des alten Codes verwendbar ist. Durch den Austausch steht jederzeit ein gültiger Passcode bereit, sodass akute Übertragungsprobleme im Mobilfunknetz Log-In-Vorgänge nicht beeinträchtigen.
Zwei-Faktor-Authentifizierung im Einsatz
Eine Zwei-Faktor-Authentifizierung wie beschrieben kommt beispielsweise bei T-Mobile zum Einsatz. Das Unternehmen hat als erster Mobilfunkbetreiber eine entsprechende Lösung für die Remote-Authentifizierung mithilfe von Mobiltelefonen implementiert. Damit sind die Mitarbeiter in der Lage, sich ortsunabhängig mittels ihres Handys, eines Passworts und eines dynamisch generierten Passcodes, der auf das Mobilgerät gesendet wird, zu identifizieren. Da nur der jeweilige Mitarbeiter beide Faktoren kennt, ist sichergestellt, dass kein Dritter sich ins Netzwerk einwählt und Daten klaut. Insgesamt 15.000 Mitarbeiter arbeiten mittlerweile mit dem Tool. Die Verantwortlichen verzeichnen indes signifikante Zeit- und Kosteneinsparungen, da die teure Anschaffung zusätzlicher Hardware-Token entfällt. Darüber hinaus erübrigt sich die Durchführung zeitaufwendiger Schulungen.
Fazit
Mittels Zwei-Faktor-Authentifizierung profitieren Unternehmen von einem doppelt abgesicherten Schutz. Denn die Log-In-Vorgänge kombinieren selbst gewählte Benutzernamen und Passwörter mit dynamisch generierten Passcodes plus Nutzerlizenzen. Selbst wenn das Passwort in die falschen Hände gerät, bleibt der Zugriff durch Fremde verwehrt, da die weiteren Faktoren unbekannt bleiben. Darüber hinaus sind die Lösungen kostengünstig, weil das Unternehmen nur in deren Installation investieren muss. Die teure Anschaffung zusätzlicher Tokens ist nicht erforderlich. In welcher Höhe sich Kosten beim Wechsel auf tokenlose Authentifizierung sparen lassen, zeigt dieser Rechner: www.securenvoy.com/.... Ebenfalls erübrigen sich die Token-Einrichtung, -ausgabe und der Support seitens der IT-Abteilung sowie die Ausgaben bei Verlust oder Diebstahl.
