Authentifizierung: Welche Vorteile passwortloses Login bietet

Es lässt sich nur schwer durchsetzen, dass Mitarbeiter komplexe und vor allem einzigartige Passwörter für jeden Zugang nutzen, außerdem können selbst komplexe Passphrasen geknackt werden. Immer mehr Dienste bieten daher die Möglichkeit der 2-Faktor-Authentifizierung, die zwar ein deutliches Plus an Sicherheit bietet, gleichzeitig aber für Mitarbeiter mit mehr Zeitaufwand verbunden ist.

Aktuelle technologische Entwicklungen wollen genau dieses Problem beheben, indem sie dafür sorgen, dass Passwörter zwar nicht ganz obsolet werden, aber die Eingabe immer seltener notwendig wird. Um eine weitgehend passwortlose Authentifizierung bei gleichzeitiger Gewährleistung der IT-Sicherheit zu ermöglichen, ist dabei ein grundlegender Sicherheitsansatz notwendig: das Zero Trust-Konzept.

Authentifizierung: bei Zero-Trust alle Zugriffe überprüfen

Beim Zero-Trust-Konzept wird jeder Datenzugriff zunächst als nicht vertrauenswürdig eingestuft. Dabei ist es egal, ob die Anfrage innerhalb oder außerhalb des Firmennetzwerks erfolgt. Jeder Nutzer, jede App und jedes Gerät müssen sich bei jedem Zugriff explizit autorisieren. Damit ist Zero Trust in gewisser Weise ein Gegenentwurf zu bisherigen Sicherheitsmodellen, denn zumindest interne Zugriffe aus dem eigenen Netzwerk galten bislang oftmals automatisch als sicher. Doch Cyberkriminelle werden in ihren Methoden findiger und sowohl die Frequenz als auch die Qualität ihrer Attacken nehmen stetig zu.

Mit Zero Trust wird der Grundstein gelegt, um Zugriffe sicherer zu machen. Dabei bedeutet Zero Trust aber nicht, dass sich der Nutzer bei jedem einzelnen Login manuell authentifizieren muss. Im Vorfeld werden Richtlinien aufgestellt, die bestimmen, wann ein Nutzer direkt Zugriff erhält und in welchem Fall zusätzliche Authentifizierungsschritte notwendig werden. Die Bewertung der Zugriffsanfrage wird dabei auf Basis verschiedener Faktoren durchgeführt.

Authentifizierung: Sicherheitsfaktoren berücksichtigen

Ein entscheidender Faktor bei der Authentifizierung ist das verwendete Gerät. Ist das Gerät bekannt und wird von der IT verwaltet, kann das Gerät als vertrauenswürdig bewertet werden. Umgekehrt sollte nicht verwalteten Geräten ein höheres Misstrauen entgegengebracht werden. Auch die Nutzer selbst dienen als Faktor. Ein Mitarbeiter, der beispielsweise im Active Directory eingetragen ist, wird in der Regel als vertrauenswürdiger eingestuft als ein unbekannter Nutzer.

Einen weiteren Sicherheitsfaktor stellen die Anwendungen dar. Verfügt ein Unternehmen über einen eigenen App-Store, so kann es die dort bereitgestellten Applikationen kontinuierlich prüfen und so deren Sicherheit gewährleisten. Bei Verwendung einer solchen App kann daher auch größeres Vertrauen herrschen. Bei Apps, die aus öffentlichen App-Stores heruntergeladen werden, ist eine Überprüfung hingegen nur eingeschränkt möglich und der Vertrauensvorschuss nicht zu empfehlen. An mobile Endgeräte können zudem Zertifikate verteilt werden, die die Identität des Gerätes beweisen und so als Sicherheitsfaktor eine Rolle spielen.

Inzwischen ist es dank neuer Technologien, wie etwa Deep Learning, zudem möglich, individuelle Nutzungsgewohnheiten einzelnen Nutzern zuzuordnen. So kann man zum Beispiel nachvollziehen, wie viel Druck ein Nutzer auf das Display ausübt oder wie schnell er tippt. Wird hierbei ein ungewöhnliches Verhalten entdeckt, kann auch dies Einfluss auf die Authentifizierung nehmen.

Authentifizierung: Zero Trust mit UEM umsetzen

Um Richtlinien definieren und durchsetzen zu können, ist ein geeignetes Verwaltungssystem notwendig. Daher setzen viele Unternehmen auf ein Unified-Endpoint-Management-System (UEM). Damit lassen sich verschiedene Endgeräte – von Handys über Tablets bis hin zu Laptops – zentralisiert verwalten. Das UEM ist in der Lage, die festgelegten Richtlinien an die Geräte zu verteilen. Will ein Mitarbeiter dann auf eine Anwendung zugreifen, so überprüft das UEM die verschiedenen Faktoren und entscheidet, ob und in welcher Form eine Authentifizierung erfolgen muss. Dabei kann das UEM verschiedene Sicherheitsstufen abdecken: Werden alle Faktoren erfüllt, kann ein Zugriff sogar gänzlich ohne Passwort erfolgen.

Stärkere Authentifizierungsmethoden einführen

Werden einzelne Faktoren nicht erfüllt, können sukzessive stärkere Authentifizierungsmethoden abgefragt werden: Ist ein Mitarbeiter im Active Directory hinterlegt, benutzt ein von der IT verwaltetes Gerät mit einem sicheren Zertifikat und arbeitet mit einer gemanagten App, so wird er nicht nach seinem Passwort gefragt. Versucht ein Mitarbeiter sich jedoch mit einem privaten Gerät einzuloggen, so kann der Zugriff beispielsweise nur mit 2-Faktor-Authentifizierung möglich sein. Diese Skalierung der Authentifizierungsschritte führt dazu, dass der Arbeitsalltag für die Mitarbeiter deutlich nutzerfreundlicher wird – bei gleichzeitig besserer Absicherung der Daten.

Das Zero Trust-Konzept erhöht einerseits die Sicherheit der Unternehmensdaten und IT-Prozesse, andererseits aber auch die Nutzerfreundlichkeit. Unternehmen können durch diesen Ansatz ihre Daten vor Angriffen deutlich besser schützen und ihren Mitarbeitern gleichzeitig effektives und produktives Arbeiten ermöglichen, was sich deutlich auf die Mitarbeiterzufriedenheit und -motivation auswirkt.

Quelle: EBFQuelle: EBF

Über den Autor: Marco Föllmer ist IT-Experte und Geschäftsführer der EBF GmbH in Köln. Das Unternehmen erarbeitet gemeinsam mit Kunden Lösungen für komplexe Enterprise-Mobility-Herausforderungen und erstellt individuelle Konzepte für den digitalen Arbeitsplatz. (sg)

Lesen Sie zum Thema Zero Trust auch: Jedem zweiten Unternehmen fehlen hierfür die Kenntnisse