Authentifizierung: Netzwerkzugang mit doppeltem Schloss

Apple, Microsoft, Facebook, EADS, die Reserve Bank of Australia und Michelle Obama besitzen eine Gemeinsamkeit: Sie alle wurden jüngst Opfer von Hackerattacken. Die Liste spektakulärer Angriffe lässt sich beliebig fortsetzen. Auch wenn VIPs und Großunternehmen vornehmlich betroffen sind, können sich kleine und mittelgroße Unternehmen nicht in Sicherheit wiegen. Die publik gewordenen Attacken stellen nur die Spitze des Eisbergs dar. Experten rechnen mit einer deutlich höheren Dunkelziffer von Bedrohungen der Netzwerke des Mittelstands und kleinerer Firmen.

„Klaubook“ als Eintrittskarte ins Netzwerk

Cyberkriminelle nutzen seit jeher am liebsten Schlupflöcher, um unbemerkt an ihr Ziel zu gelangen. Dies ist sinnvoll, denn Unternehmen und die öffentliche Hand haben gleichermaßen stark in die Absicherung ihrer Netzwerke investiert. Als gefährlichen Schwachpunkt erweisen sich immer mehr Notebooks, die über einen VPN-Zugang auf den eigenen Rechnerverband zugreifen. Gehen sie verloren, halten Hacker die goldene Eintrittskarte für ein fremdes Netzwerk in der Hand. Sicherheitsfachleute bemängeln, dass die Zugangssoftware auf vielen Geräten nur mit einem statischen Passwort versehen ist. Das Knacken dieses digitalen Schlosses stellt für Kriminelle keine unlösbare Aufgabe mehr dar. Schützenhilfe erhalten sie zudem vom Anwender selbst, der versteckte Hinweise auf die schwer zu merkenden Zugangscodes in Dateien speichert oder diese gleich im Klartext auf dem Rechner ablegt.

Ähnliches gilt für Geräte, die auf Outlook Web App (OWA) zugreifen. OWA (bis 2010 unter dem Namen „Outlook Web Access“ bekannt) ist ein Service von Microsoft, mit dem man auf seine Outlook-E-Mail-Postfächer, Kalender und Kontakte über einen Internet-Browser zugreifen kann.

Mobilität mit Fernzugang als neuer Gefahrenherd

Ein Grund für diese Entwicklung liegt im Trend zu immer mehr mobilen Arbeitsplätzen. Viele Unternehmen reagieren auf den zunehmenden Wunsch ihrer Mitarbeiter nach flexiblem Arbeiten, das abseits vom eigentlichen Arbeitsplatz stattfindet. Diese neue Art der Work-Live-Balance zieht sich durch alle Hierarchieebenen. Während Manager und Außendienstmitarbeiter seit langem mit Notebooks unterwegs arbeiten, stoßen nun auch Angestellte mit ihren zum Teil privaten Geräten hinzu.

Die externen Interaktionen erfordern einen gesicherten Fernzugriff auf entsprechende Daten und Programme im Verwaltungsnetzwerk. Zusätzlich tritt das Problem des „Bring your own Device“ (BYOD) auf. Der Kostendruck zwingt die Unternehmen förmlich dazu, Mitarbeitern den Einsatz privater Geräte wie Notebooks, Tablets oder Smartphones zu erlauben. Administratoren stehen vor der Herausforderung, beide Gefahrenquellen geschickt trockenzulegen.

Sicherer Zugriff in der Praxis dank Virtual Private Network (VPN)

Per VPN können Mitarbeiter über das Internet außerhalb des eigentlichen Büros auf Daten im internen Netz zugreifen. Dies erfolgt über eine gesicherte, verschlüsselte Verbindung. Zum Aufbau des VPN stehen verschiedene Verfahren zur Wahl, die sichere Authentisierungsmethoden und Verschlüsselungsverfahren bieten. Die Protokolle IPSec (Internet Protocol Security), L2TP over IPSec (Layer-2-Tunneling-Protocol) und SSL (Secure Socket Layer) werden in der Praxis am häufigsten genutzt. Für die Verschlüsselung der Daten bieten sich verschiedene Kryptoalgorithmen an, die bei entsprechenden Schlüssellängen als sicher gelten (zum Beispiel AES).

Was sicher klingt, hat im Alltag so seine Tücken. Zum einen muss bei der Nutzung eines VPN ein Kommunikationskanal in das interne Netz geöffnet werden. Dieser kann unter Umständen von einem Angreifer missbraucht werden. Zum anderen erweisen sich die eingesetzten Techniken als nutzlos, wenn in der konkreten Umsetzung und Handhabung – hier ist speziell die Authentisierung zu nennen – gravierende Fehler gemacht werden.

Zwei-Faktor-Authentifizierung

Wer sich unterwegs mit dem Notebook in das Firmennetzwerk einwählt, benötigt in den meisten Fällen nur ein gültiges Passwort in der Zugangssoftware. Dieses Verfahren erfüllt längst nicht mehr die Anforderungen moderner IT-Sicherheit. So könnte das bloße Ausspionieren der Zugangsdaten (per Keylogger oder sogar der Blick über die Schulter) schon ausreichen, um sich am fremden Rechner unbefugt einzuwählen. Zudem erleichtern viele Anwender Hackern die Arbeit. Sie verstecken Hinweise auf die schwer zu merkenden Zugangscodes in Dateien oder speichern diese gleich im Klartext auf dem Rechner ab.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Fachleute von Security-Unternehmen empfehlen daher die so genannte Zwei-Faktor-Authentifizierung des VPN-Nutzers. Sie basiert auf dem Wissen, Besitz und biometrischen Merkmalen. Wenn zwei der drei Faktoren zutreffen, spricht man von einer Zwei-Faktor-Authentifizierung. In der Praxis trifft man die Nutzung der Faktoren Wissen und Besitz am häufigsten an.

Der Authentisierungsschlüssel wird hierbei in einer Hardware – etwa einer Chipkarte – gespeichert (Faktor Besitz), die sich nur durch Eingabe einer PIN einsetzen lässt (Faktor Wissen). Je nach Sicherheitsanforderungen kann der Schlüssel auch auf dem Client (etwa dem Notebook) beziehungsweise dem VPN-Server im Netz der Organisation gespeichert sein. Alternativ ist die Nutzung einer Public-Key-Infrastruktur (PKI) zu empfehlen, die auf digitale Signaturen und asymmetrischen Kryptografieverfahren basiert. Die Gültigkeit der Signaturen wird über eine anerkannte Zertifizierungsstelle (CA – Certificate Authority) überprüft. Die Länge des Schlüssels beziehungsweise der Signatur korreliert mit der Sicherheit des verwendeten Kryptoverfahrens. (Quelle: BSI).

Lösungen von der Stange – teuer und aufwendig

Auf dem Markt finden sich bereits eine Reihe von Lösungen mit unterschiedlichen Ansätzen. Diese variieren nicht nur im Anschaffungspreis, sondern auch im späteren Administratoraufwand. Als Authentisierungsverfahren werden auf vielen mobilen Geräten UserID/Password, Smartcards, OTP Tokens, Biometrie via Fingerprint und Venenleser, RFID Tokens, X.509-Zertifikate oder QR-Code eingesetzt. Auch Hardware-Boxen und USB-Sticks finden immer mehr Anklang. Letztere erweisen sich als besonders einfach. Der Anwender muss dann keine Installationen, Anpassungen oder Änderungen auf dem verwendeten Rechner vornehmen, sondern lediglich den USB-Stick einstecken. Eine Steigerung der Sicherheit bieten zudem USB-Sticks, die nicht nur Clients bereitstellen, sondern zudem über ein eigenes Betriebssystem verfügen. Diese Lösungen agieren damit komplett autark vom genutzten PC und den darauf installierten Programmen. Sie können dadurch auch auf potenziell unsicheren Rechnern und Privat-PCs verwendet werden.

Dennoch bleibt ein Problem: Kleinere Netzwerke besitzen nur selten die finanziellen Mittel und personellen Ressourcen dafür. Auch größere Rechnerverbände tun sich schwer, denn die stetig steigende Zahl an mobilen Geräten sorgt für mehr Arbeit und Kosten. Hinzu kommt, dass der Anwender die zweite Sicherung sicher bedienen können muss. Je komplizierter das Verfahren ist, desto mehr mindert das menschliche Unvermögen die eigentliche Steigerung der Zugangskontrolle.

Zwei-Faktor-Authentifizierung mit ESET Secure Authentication

Eine interessante Alternative bietet der slowakische Antivirenhersteller ESET mit „ESET Secure Authentication“ an. Die Sicherheitslösung stellt eine erweiterte Zugangskontrolle für VPN-Verbindungen und Outlook Web App dar. Will sich der Anwender über sein Notebook einloggen, generiert das Tool ein Einmal-Passwort (OTP) und zeigt es auf dem Smartphone an. Dieses muss er bei der Anmeldung zusätzlich zum statischen Passwort eingeben, um Zugang zu erhalten.

Die Zwei-Faktor-Authentifizierung hebt Notebooks mit externer Netzwerkanbindung auf ein höheres Sicherheitsniveau. Die Ausweitung des Sicherheitssystems auf zwei Passwörter, die sich zudem auf unterschiedlichen physischen Devices befinden, stellt für Cyberkriminelle eine deutlich größere Hürde dar. Das Verfahren ähnelt der mTan beim Online-Banking.

Smartphone als Hardware-Token: einfach und kostengünstig

Die von ESET vorgestellte Lösung lässt sich einfach per Doppelklick installieren und erfordert einen nur geringen Verwaltungsaufwand des Administrators. Sie unterstützt die Microsoft Management Console (MMC) und integriert sich in die vorhandene Active Directory. Zusätzliche Hardware benötigt ESET Secure Authentication nicht.

Der Einsatz des vorhandenen Smartphones als Hardware-Token minimiert zudem die Investitionskosten. Diese Vorteile können insbesondere Betreiber von kleinen und mittelgroßen Netzwerken dazu bewegen, mehr auf Zugangssicherheit zu setzen.

ESET Secure Authentication ist auf iPhone, Android, Blackberry, Windows Phone 7 und 8, Windows Mobile und J2ME-basierten Handys lauffähig. Smartphone-Besitzer installieren die mitgelieferte App auf Knopfdruck. Eine PIN schützt das Tool vor unbefugter Benutzung. Die Benutzeroberfläche ist selbsterklärend und schnell zu bedienen. Das Generieren des Einmal-Passworts erfolgt auch ohne Internetzugang.

Die Lösung unterstützt auch die Authentifizierung, basierend auf SMS-Nachrichten. So kann das System auf älteren Mobiltelefonen eingesetzt werden, die von der Anwendung selbst nicht unterstützt werden. „ESET erweitert das IT-Security-Portfolio für Business Clients. Wir reagieren damit auf die zunehmende Notwendigkeit, Gerätschaften und das Know-how kleiner und mittelgroßer Unternehmen zu sichern. ESET Secure Authentication (ESA) eignet sich als Out-of-the-Box-Lösung für diejenigen, die keine Investitionen in teure Hardware für 2FA (Zwei-Faktor-Authentifizierung) tätigen wollen oder an einer komplizierten Lösung nicht interessiert sind“, sagt Ignacio Sbampato, ESET Chief Sales & Marketing Officer.

ESET Secure Authentication stellt eine ideale Ergänzung zu den anderen ESET-Lösungen zum Schutz von Unternehmensdaten dar. Während ESET Mobile Security die gespeicherten Daten auf Smartphones vor Malware und Missbrauch schützt, bietet ESA den sicheren Zugriff auf Unternehmensnetzwerke. (ak)