Starke Authentifizierung – und zwar richtig!
Spricht man von Userauthentifizierung, ist dies automatisch mit Passwörtern und Passwortmanagement verknüpft, da die Authentifizierung weitgehend über Passwörter erfolgt. Gleichzeitig entsteht damit ein Sicherheitsproblem: Zum Teil liegt dies an den Verfahren, zum Teil an der Ausführung, also an den Usern, zum Teil an einer Verbindung von beidem. Man schätzt, dass mehr als 80 Prozent aller Angriffe auf schwachen, gestohlenen oder irgendwie kompromittierten Passwörtern basieren. Für das Jahr 2017 sprach man von 3,3 Milliarden gestohlener Credentials.
Starke Authentifizierung als Lösung
Starke Authentifizierung setzt hier an. Mit relativ einfachen Mitteln lässt sich die Sicherheit erheblich erhöhen. Die Akzeptanz seitens der Anwender ist über Information, einfache Schulungen und allgemeine Aufklärung in der Regel erreichbar. Sofern geeignet Systeme eingesetzt werden, ändern sich die Verhältnisse gravierend: Die Anwender und deren menschliche Verhaltensweisen bilden nicht mehr die Schwachstelle, da die meisten Problemstellen, Fehler und Versäumnisse aufgrund der technischen Vorkehrungen ausgeschlossen sind.
Die entscheidenden Fragen
Grundsätzlich geht es immer um einfache aber eminent wichtige Fragen: Wer hat Zugriff auf welche Daten (bzw. Rechner, Systeme etc.), in welchem Zeitraum, und wie sind alle sich ergebenden Sonderfälle geregelt (z. B. Passwortverlust, Passwortersatz, Passwortänderung, Umgang mit Mehrfachaccounts, Entzug und Neuerteilung von Berechtigungen, deren Modifikation)? Wie kann man das zentral, mit vertretbarem Aufwand und konform der Unternehmenspolicy erreichen?
Grob lässt sich die Authentifizierung in drei Bereiche einteilen: Passwortmanagement, Multi-Faktor-Authentifizierung und Privileged Access Management (PAM). Jedes dieser Verfahren arbeitet über spezifische Herangehensweisen und hat seine Daseinsberechtigung. Ein Unternehmen muss den Weg oder die Wege finden, wie es maximale Sicherheit im Rahmen der Gegebenheiten und Möglichkeiten erreicht. Allen Lösungen ist gemein, dass sie einfach anwendbar sein müssen, da ansonsten die Userakzeptanz nicht in ausreichendem Maß gegeben ist. Weiterhin muss Authentifizierung schnell gehen und so unkompliziert wie möglich sein. Dabei spielen der Einsatzort, der Einsatzzweck und das angestrebte und erforderliche Sicherheitsniveau eine wichtige Rolle.
Technik hilft Menschen
Gerade die menschlichen Faktoren, z. B. Weitergabe von Passwörtern, Ersatzweise Autorisierung, Vertretungen oder Arbeiten im Team bzw. in wechselnden Teams, sollten über die technischen Systeme weitgehend geregelt werden. Anweisungen, Vorschriften etc. sind hier nicht ausreichend. Sie werden erfahrungsgemäß im betrieblichen Alltag häufig unterlaufen. Das geschieht nicht nur in böser Absicht, sondern auch in gutem Glauben bei betrieblichen Ausnahmesituationen (Krankheit, schnelles Einspringen für Kollegen, Arbeiten unter hohem Zeitdruck etc.). Passwort, Passwortmanagement, (passwortfreie) Authentifizierung und alles, was damit verbunden ist, ist weit komplexer als man vordergründig denkt. Umso wichtiger ist es, die Regelung für den User möglichst einfach zu halten und die damit verbundenen, verschachtelten, komplizierten und kaum zu durchschauenden Anforderungen allein von den technischen Systemen managen zu lassen.