Ohne Zugangscodes läuft nichts mehr in der modernen IT. Das Einwählen in E-Mail-Konten, Shopping-Seiten oder Cloud-Services erfordert aus Sicherheitsgründen immer die Kombination aus Benutzername und Sicherheitscode. Dies gilt auch für den Zugang zu Diensten oder Netzwerken von Unternehmen. Trotz aller bahnbrechenden Entwicklungen in den letzten Jahrzehnten dient das „Urgestein Passwort“ immer noch in seiner ursprünglichen Form als Zugangskontrolle – oftmals sogar als einzige Authentifizierungsmöglichkeit.
Eigentlich sollen Passwörter den Zugang zu sensiblen Daten oder Zugängen absichern. In der Praxis sind sie jedoch oftmals schlecht gewählt. Statische Passwörter können abgefangen oder wie im Fall der Europäischen Zentralbank erbeutet werden. Benutzerdefinierte Zugangsdaten sind selten stark genug gewählt und durch intelligente Wörterbuchattacken, Brute-Force-Methoden oder simples Raten einfach zu überwinden. Letztlich werden Passwörter (wegen der schlechten Merkbarkeit) nicht zufällig generiert und enthalten oftmals leicht zu erratende Charakteristika wie Name, Geburtstag und fortlaufende Nummerierungen.
Letztlich ist es gleichgültig, wie ein Passwort in falsche Hände gerät. Passiert es jedoch und es besteht keine weitere Absicherung, haben Cyberkriminelle freie Fahrt. Daran ändern weder Länge noch Komplexität des Codes etwas.
Verstärkte Zugangssicherheit
Wer sich unterwegs mit einem mobilen Gerät, wie Notebook, Tablet oder Smartphone, in ein Firmennetzwerk oder einen Cloud-Service einwählt, benötigt in den meisten Fällen nur ein gültiges Passwort in der Zugangssoftware. Dieses Verfahren erfüllt längst nicht mehr die Anforderungen moderner IT-Sicherheit. So könnte das bloße Ausspionieren der Zugangsdaten (per Keylogger am Notebook oder sogar der Blick über die Schulter) schon ausreichen, um sich am fremden Rechner unbefugt einzuwählen. Zudem erleichtern viele Anwender Hackern die Arbeit: mit Hinweisen auf die schwer zu merkenden Zugangscodes in Dateien oder der Speicherung im Klartext.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Fachleute von Security-Unternehmen empfehlen daher die sogenannte Multi-Faktor-Authentifizierung. Sie basiert auf dem Wissen, Besitz oder biometrischen Merkmalen. Wenn zwei der drei Faktoren zutreffen, spricht man von einer 2-Faktor-Authentifizierung (2FA). In der Praxis findet man die Nutzung der Faktoren Wissen und Besitz am häufigsten an.
Lösungen von der Stange: Teuer und aufwändig
Auf dem Markt befindet sich bereits eine Reihe von Lösungen mit unterschiedlichen Ansätzen. Diese variieren nicht nur im Anschaffungspreis, sondern auch im späteren Administrationsaufwand. Als Authentifizierungsverfahren werden auf vielen mobilen Geräten UserID/Password, Smartcards, OTP-Tokens, Biometrie via Fingerprint und Venenleser, RFID-Tokens, X.509-Zertifikate oder QR-Codes eingesetzt. Auch Hardware-Boxen und USB-Dongles finden immer mehr Anklang. Letztere erweisen sich als besonders einfach. Der Anwender muss dann keine Installationen, Anpassungen oder Änderungen auf dem verwendeten Rechner vornehmen, sondern lediglich den USB-Dongle einstecken. Eine interessante Möglichkeit zur Steigerung der Sicherheit bieten zudem USB-Sticks, die gleichzeitig ein eigenes, gehärtetes Betriebssystem bereitstellen. Diese Lösungen agieren damit komplett autark vom Betriebssystem auf dem genutzten PC und den darauf installierten Programmen. Sie können dadurch auch auf potenziell unsicheren Rechnern und Privat-PCs verwendet werden.
Kleinere Unternehmen besitzen allerdings nur selten die finanziellen Mittel und personellen Ressourcen dafür. Auch Administratoren größerer Rechnerverbände tun sich schwer, denn die stetig steigende Anzahl an mobilen Geräten sorgt für mehr Arbeit und Kosten. Hinzu kommt, dass der Anwender die zweite Sicherung komfortabel bedienen können muss. Je komplizierter das Verfahren ist, desto mehr wird die Durchsetzung von Systemen zur Absicherung der IT behindert.
Realisierung per Software
Online-Dienste wie Google, Dropbox oder Facebook und auch Apple bieten ihren Privat- und Geschäftskunden bereits eine 2-Faktor-Authentifizierung an. Dabei spielt das Smartphone als zusätzliche Authentifizierungseinheit eine entscheidende Rolle. So bietet beispielsweise Google die Übersendung des zusätzlich einzugebenden Einmalcodes als SMS an. Parallel dazu hat das amerikanische Unternehmen eine App entwickelt, die Einmalcodes generiert. Andere Anbieter arbeiten mit ähnlichen Methoden. Auch Cloud-Service-Anbieter haben die Zeichen der erkannt. Immer mehr gehen dazu über, die Zugangskontrolle über eine Multi-Faktor-Authentifizierung zu realisieren. Der Fokus liegt dabei speziell auf Unternehmen, die Kundendaten und Geschäftsprozesse nahezu komplett auslagern. Daneben etabliert sich „Authentication as a service“, also die Zugangskontrolle als Dienstleistung.
Eine interessante Alternative für Unternehmen, die die Zugangskontrolle auf eigene Netzwerke oder Dienste unkompliziert selbst administrieren wollen, bietet der slowakische Antivirenhersteller Eset mit „Eset Secure Authentication“ an. Will sich der Anwender an einem System anmelden, stellt ihm das Tool ein Einmal-Passwort (OTP) auf dem Smartphone bereit. Dieses muss er bei der Anmeldung zusätzlich zum normalen Passwort eingeben, um Zugang zu erhalten.