Kaum ein Thema im Umfeld der IT-Sicherheit wird so kontrovers diskutiert, wie die „sichere Anmeldung an Systemen und Anwendungen“ – häufig unter dem Stichwort „Zwei-Faktor-Authentifizierung“ (2FA) oder „Multifaktor-Authentifizierung“ (MFA) zusammengefasst. Einige konzentrieren sich dabei auf die Anmeldung am Windows-PC, andere fokussieren 2FA nur für die Nutzung in bestimmten Systemen im Web oder in der Cloud. Egal wo und wie: Fest steht, dass die alleinige Nutzung des Schemas Nutzername/Passwort mit Blick auf die IT-Security schon lange nicht mehr ausreicht. Der Weg hin zu mehr Sicherheit bei der Nutzung von IT-Ressourcen scheint jedoch lang und steinig. Denn am Wegesrand lauern viele Probleme und Herausforderungen, die sich bei näherer Betrachtung als echte Irrtümer erweisen können. Der vorliegende Beitrag soll diese möglichen Fallstricke aufzeigen und Hinweise zur Lösung des „MFA-Dilemmas“ im eigenen Unternehmen geben.
1. Irrtum – Zwanghaft „alles unter einen Hut bringen“
Die Anforderungen an eine sichere Authentisierung sind vielfältig. Es wird oft versucht, „die EINE“ Lösung oder „das EINE“ Verfahren zu finden, mit dem sich alle Anforderungen abbilden lassen. Das klingt nach der sprichwörtlichen Quadratur des Kreises – und jeder, der einmal versucht, eine Token-basierte Lösung als zweiten Faktor zur Anmeldung am PC zum Einsatz zu bringen, oder eine Smartcard für die Anmeldung an Fat-Client-Anwendungen und als zweiten Faktor für Web-Anwendungen nutzen wollte, wird einstimmen können: Das ist zwar technisch machbar, aber mit sehr hohen Schmerzen verbunden! Jene verteilen sich zudem erschreckend gleichmäßig auf die Phase der Inbetriebnahme und den dauerhaften Betrieb. Denn die oftmals fragilen „Basteleien“, die für die Umsetzung bzw. Anpassung erforderlich waren, setzen sich bei jeder Änderung der angebundenen Anwendungen oder des Betriebssystems fort. Was folgt, ist eine wahre Sisyphos-Aufgabe: Dieses „Bastelwerk“ am Leben zu halten – verbunden mit Schweißausbrüchen bei jedem neuen Windows-Update…
2. Irrtum – „Single Sign-On“ über Login-Harmonisierung
Es mag als „Modeerscheinung“ abgetan werden, aber die technischen Möglichkeiten der modernen IAM und Passwort-Management-Lösungen haben zu Stilblüten der besonderen Art geführt: über ein Account Mapping und eine Account-(Namens-)-Harmonisierung hinaus wird gleichzeitig auch das Passwort in allen angeschlossenen Systemen gleichgeschaltet. Der Mitarbeiter hat zwar nicht den Komfort einer einzelnen Anmeldung und des direkten Zugriffs auf die Applikationen, sondern er muss sich an jedem System einzeln anmelden – er kann hierfür jedoch exakt die gleichen Credentials nutzen.
3. Irrtum – Abhängigkeit vom Netz
In den letzten Jahren sind unendlich viele neue Apps erschienen, die eine sichere Anmeldung in der und für die Cloud versprechen. Auch wenn es sinnvoll erscheint, solche (oft sogar kostenfreien) Lösungen zu nutzen – bevor gar keine 2FA zum Einsatz kommt, muss man doch sehr genau analysieren, ob die Nutzung wirklich sinnvoll und langfristig nachhaltig ist. Apps wie der Google Authenticator oder der Microsoft Authenticator erfüllen zwar die Anforderung, für mehrere Anwendungen genutzt werden zu können. Sie sind jedoch in ihrer Nutzbarkeit immer dann eingeschränkt, wenn das verbundene Mobiltelefon kein Netz hat, der Akku leer ist oder den Dienst versagt. Hier keine Fallback-Lösung zu haben, die auch offline funktioniert, kann zu starken Einschränkungen bei der Benutzbarkeit führen.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an PDF „Irrtümer Authentifizierung“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Nutzen Sie unsere Authentifizierungsexperten im Netzwerk
Es wird für kein Unternehmen „die eine und wahre 2FA-Lösung“ geben, die alle Probleme erschlägt. Zu vielfältig sind die Anforderungen, zu bunt der Strauß an möglichen Varianten und Herausforderungen, die sich durch Kombination von Anwendungsszenarien ergeben. Wer jedoch im Sinne einer guten Planung und Vorbereitung eine 2FA-Strategie erstellt und seine Anwendungsfälle ordnet, der kann sehr viel einfacher den Dschungel der 2FA-Lösungen durchqueren und „seine“ passgenaue Kombination geeigneter Bausteine finden.
Vielen Dank an unseren Impulsgeber und Interviewpartner
APIIDA AG
Marktstraße 47-49
64401 Gross-Bieberau
Web: www.apiida.com
