Seit einigen Jahren lautet die Devise bei der Optimierung vieler IT- und Netzwerk-technologien "weniger ist mehr": ohne Kabelverbindung im Internet surfen, ohne Tasten mobile Endgeräte bedienen, ohne firmeneigenen Laptop im Unternehmensnetzwerk arbeiten. Komponenten, die zuvor als unerlässlich galten, sind plötzlich überflüssig. So geht es derzeit auch den Token. Insbesondere im Bereich Zwei-Faktor-Authentifizierung verschwinden sie langsam aus dem Fokus: Die tokenlose Variante nutzt Smartphones oder Tablets zur Übertragung dynamischer Passcodes. In Kombination mit persönlichen Login-Daten sichern sie den Identifizierungsprozess doppelt ab.
Durch das Arbeiten im Home Office oder von unterwegs aus sowie durch den Einsatz internetfähiger Smartphones tragen viele Mitarbeiter ihr Arbeitsgerät auch privat mit sich - beziehungsweise sind Privat- und Firmenhandy ein und dasselbe Gerät. 75 Prozent der Deutschen verlassen ihr Zuhause nur noch mit ihrem Handy oder Smartphone, wie der Branchenverband BITKOM in einer repräsentativen Befragung von mehr als 1.000 Personen ermittelte. Der Bring-your-own-Device-Trend ist ein daraus entstandenes Phänomen. Hier sehen sich Unternehmen allerdings zu einem Spagat gezwungen. Einerseits soll der Arbeitnehmer größtmögliche Flexibilität genießen, andererseits sollen Netzwerke und Daten des Arbeitsgebers bestmöglich abgesichert sein. Das Tüpfelchen auf dem i wären möglichst unkomplizierte Login-Prozesse.
- Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier. - 1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht. - 2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen. - 3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln. - 4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal. - 5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit. - 6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben. - 7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen. - 8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App. - 9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter. - 10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht. - 11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy. - 12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!
Doppelte Kombination für mehr Sicherheit
Um Personen eindeutig zu identifizieren, eignet sich die Zwei-Faktor-Authentifizierung (2FA). Diese Methode kommt bereits - wenn auch womöglich unbewusst - im Alltag seit langem zum Einsatz, beispielsweise beim Geldabheben am Bankautomaten. Der Kunde nutzt seine persönliche Bankkarte und eine (hoffentlich) auswendig gelernte Geheimzahl (PIN). Nur die korrekte Kombination aus beiden Faktoren ermöglicht eine erfolgreiche Transaktion. Somit gewährleistet die Zwei-Faktor-Authentifizierung eine doppelte Absicherung. Es sind stets zwei der drei folgenden Komponenten für eine Identifizierung notwendig:
-
Faktor "Wissen": etwas, das nur der Nutzer selbst kennt, wie eine PIN
-
Faktor "Haben": etwas Materielles, das ausschließlich der Nutzer besitzt, wie einen Token (USB-Stick, Smartcard.)
-
Faktor "Sein": etwas, das untrennbar zu einem Nutzer gehört, wie der Fingerabdruck.
Um zunächst beim Beispiel des Geldabhebens zu bleiben: Der Nachteil an dieser Vorgehensweise ist, dass die Person stets ihre Bankkarte mit sich führen muss. Auch beim Online-Banking geben Banken ihren Kunden so genannte TAN-Generatoren an die Hand, mit denen sie Überweisungen oder Daueraufträge nur mit einem Transaktionsnummern generierenden Zusatzgerät vornehmen können. Dies sind so genannte Hardware-Tokens, zu deren Gruppe auch Smartcards gehören. Sie werden in Unternehmen oft zu Authentifizierungszwecken verwendet. Der Kunde / Mitarbeiter muss Gerät oder Karte ständig bei sich tragen. Neben dieser eher lästigen Pflicht müssen Firmen zudem die Kosten für Tokens berücksichtigen. Die schlagen sowohl bei der Anschaffung als auch beim Austausch - infolge von Verlust, Diebstahl oder Defekt - zu Buche.
Vorhandenes nutzen
Um diese Hindernisse auszuräumen, gibt es Lösungen für "ByoT" - "Bring your own token". Solche Anwendungen nutzen statt zusätzlichen Tokens bereits Vorhandenes als Zugangs-Tool - das beste Beispiel ist ein Smartphone, das der Nutzer in der Regel immer bei sich hat. Für die sichere, eindeutige Identifizierung kombinieren die tokenlosen Lösungen den Faktor "Passcode" und den Faktor "persönlicher Login". Dazu verwendet der Nutzer zum einen seinen Benutzernamen, ein Passwort sowie eine persönliche Zugangslizenz. Zum anderen wird ihm ein dynamisch erzeugter, einmalig gültiger Ziffern-Passcode auf sein Mobilgerät gesendet - wahlweise per SMS, E-Mail oder App. Unternehmen umgehen damit die Installation zusätzlicher Software auf den privaten Geräten der Mitarbeiter, die solche "aufoktroyierten" Applikationen zudem als Verletzung ihrer Privatsphäre empfinden könnten.
Sobald der Nutzer seinen aktuellen Passcode bei einem Login-Vorgang eingegeben hat, verfällt die Ziffernfolge und ist kein zweites Mal verwendbar. Das System generiert umgehend einen neuen Code und sendet ihn auf das Mobilgerät. Gleiches gilt für Falscheingaben. Hier lässt sich des Weiteren festlegen, wie viele fehlerhafte Passcodes ein Anwender eintippen darf, bevor sein Zugang komplett gesperrt wird. Alternativ kann dem User ein Passcode zugesendet werden, der innerhalb einer vordefinierten Zeitspanne gültig und wieder verwendbar ist. Er verfällt automatisch nach Ablauf der vorgegebenen Frist. Einen Tag vor Ablauf erhält der User bereits eine neue Zahlenkombination. Durch den Austausch steht jederzeit ein gültiger Passcode bereit, sodass akute Übertragungsprobleme im Mobilfunknetz oder in der Internetverbindung die Login-Vorgänge nicht beeinträchtigen.
Auch ohne Netz vernetzt
Manche tokenlosen Zwei-Faktor-Authentifizierungslösungen wie beispielsweise SecurAccess von SecurEnvoy bieten noch mehr Flexibilität. Mitarbeiter, die für längere Zeit weder über Mobilfunk- noch über Internetverbindung verfügen, können ihren Passcode per Festnetzanruf erhalten. Der Code wird angesagt, und der Nutzer tippt ihn auf der Telefontastatur ein. Darüber hinaus steht die "One Swipe"-Methode bereit, die ebenfalls "offline" funktioniert. Dazu gibt der Nutzer in der Soft Token-Oberfläche seine PIN ein, woraufhin das Gerät einen einmalig gültigen QR-Code generiert. Dieser wird mittels Webcam an Rechner, smartem Endgerät oder Laptop abfotografiert. Dadurch weist der Anwender seine Identität zweifelsfrei nach.
Fazit
Über eine Zwei-Faktor-Authentifizierung richten Unternehmen doppelt abgesicherte Remote-Zugänge ein. Die Login-Vorgänge kombinieren selbst gewählte Benutzernamen und Passwörter mit dynamisch generierten Passcodes sowie Nutzerlizenzen. Auch wenn das Passwort in die falschen Hände gerät, können sich Unbefugte keinen Zugriff verschaffen, da ihnen die weiteren Faktoren unbekannt bleiben. Daneben sind die Lösungen kostengünstig, da das Unternehmen nur in die Installation investieren muss. Die Anschaffung zusätzlicher, kostenintensiver Tokens ist überflüssig. Bei SecurEnvoy beispielsweise lässt sich ausrechnen, wie viel sich mit einem tokenlosen System im Vergleich zu einer Token-basierten Lösung sparen lässt. Ebenfalls erübrigen sich die Token-Einrichtung, -Ausgabe und der Support seitens der IT-Abteilung sowie die Ausgaben bei Verlust oder Diebstahl. Mit der passenden Lösung sind Mitarbeiter sehr flexibel, auch ohne Mobilfunk- oder Internetverbindung. (sh)