Unternehmen geben immer mehr kritische Informationen preis, wenn sie den Zugang zu Unternehmensdaten ausweiten, um effektiver arbeiten zu können. Tatsächlich kann man beim Thema Informationssicherung sagen, dass derzeit Türen geschlossen und Fenster geöffnet werden. Zwar werden mit Sicherheitsmaßnahmen wie Firewalls, Email- und Web-Filtertechnologien Türen zum Netzwerk geschlossen, aber es werden auch Fenster zu Unternehmensinformationen geöffnet: Unter anderem durch den mobilen Zugriff auf Unternehmensdaten mit Smartphones und PCs, durch Datentausch, SaaS- und Cloud-basierte Lösungen, Collaboration-Tools und Web 2.0-Anwendungen.

Unternehmen öffnen ihre Umgebungen, weil sie dadurch Prozesse vereinfachen und ihre Mobilität und Leistungsfähigkeit erhöhen können. Aber sie müssen auch eine Lösung finden, um die dadurch entstehenden Risiken in den Griff zu bekommen. Eine Lösung, die auch entsprechende Partnerverpflichtungen und behördliche Anforderungen erfüllt. Das kann beispielsweise durch starke beziehungsweise Zwei-Faktor-Authentifizierung erreicht werden.

Trotz nachgewiesener Erfolge der starken Authentifizierung, sichern nur zwei Drittel der Unternehmen in Nordamerika und Europa ihre Informationen durch den Einsatz dieser Technologien.

Angst vor Wikileaks

Die meisten Unternehmen benutzen bisher zur Authentifizierung für Angestellte und Partner nur eine Kombination aus Benutzername und Passwort - eine „schwache“ Authentifizierung. Deswegen überrascht es auch nicht, dass Sicherheitsverstöße in Unternehmen stark zugenommen haben. Einer Untersuchung des unabhängigen Forschungsunternehmens Forrester zufolge gab es in 54 Prozent aller Unternehmen im letzten Jahr einen Verstoß gegen Sicherheitsrichtlinien, ein Drittel der Befragten berichtet sogar von drei oder mehr. Viele Unternehmen machen sich wenig Gedanken um zusätzliche Sicherheitsmaßnahmen, bis sie selbst Opfer von Betrügern oder Datendieben werden. Der Hype um Wikileaks hat aber viele Unternehmen nachdenklich gestimmt: Sie beginnen sich zu fragen, ob ihre sensiblen Unternehmensdaten auch von der Plattform veröffentlicht werden könnten. Die Sorge ist keinesfalls unbegründet. Unternehmen müssen deshalb den Zugang zu ihren Informationen – egal ob sie für Angestellte, Partner oder Kunden zugänglich sind – in ihre Sicherheitsstrategie einbeziehen.

Immunet Protect
Immunet ist ebenfalls eine Anti-Viren-Lösung, die allerdings einen Cloud-basierten Ansatz nutzt.

Online Armor
Online Armor ist eine kostenlose Firewall für Windows-PCs.

Avira AntiVir Personal
Avira ist eine der bekanntesten kostenlosen Anti-Viren-Lösungen.

Hijack This
HiJack this hilft, infizierte Rechner zu untersuchen.

Spybot Search and Destroy
Spybot sucht auf dem Rechner nach Keyloggern, Spyware und Adware.

Microsoft Security Essentials
Security Essentials ist die kostenlose Anti-Viren-Lösung von Microsoft.

Spamihilator
Die Software ergänzt das E-Mail-Programm und kann unerwünschte Mails erkennen und aussortieren.

Zone Alarm
Zone Alarm ist eine kostenlose Firewall für Windows.

Sophos Anti-Virus for Mac
Sophos liefert einen kostenlosen Anti-Virus für Mac OS.

Secunia PSI
Der Personal Software Inspector von Secunia überprüft die installierten Programme und schlägt gegebenfalls Updates vor.

Sind kompliziertere Passwörter auch sicherer?

Die meisten Unternehmen verlassen sich nach wie vor auf eine herkömmliche Identitätsprüfung mit Nutzername und Passwort, obwohl sich sowohl Sicherheitsrisiken als auch Sicherheitstechnologien schnell weiterentwickeln. Um ihren Sicherheitsstandard zu erhöhen, tendieren Unternehmen dazu, die bestehenden Maßnahmen komplexer zu gestalten. Um beispielsweise unautorisierte Zugriffe zu vermeiden, werden Passwort-Richtlinien immer umfangreicher – und damit fehleranfälliger und für den Anwender schwerer zu verwalten. Spezielle Anforderungen an die Zusammensetzung des Passworts, bestimmte Passwortlaufzeiten und multiple Passwörter, die für den Zugriff auf Unternehmensressourcen benötigt werden, überfordern die Anwender. Laut einer weiteren Forrester-Studie müssen sich 87 Prozent der Nutzer zwei oder mehr Kennwörter merken, um auf Unternehmensdaten zugreifen zu können. Über 60 Prozent der Unternehmen haben mindestens sechs verschiedene Passwort-Richtlinien. Kein Wunder also, dass Nutzer immer wieder auf gleiche oder ähnliche Passwörter zurückgreifen.

Ein anschauliches Beispiel zum Thema Passwortsicherheit lieferte im Januar 2010 die IT-Sicherheitsfirma Imperva. Sie hat 32 Millionen Passwörter untersucht, die durch eine Datenlücke bei der Plattform Rockyou.com bekannt wurden. Das Ergebnis zeigt, dass die meisten Nutzer das Passwort 123456 verwendeten. Auf dem zweiten Platz landete 12345, den dritten Platz belegte 123456789. Beliebt ist auch das Wort Passwort. Diese Beispiele zeigen, dass viele Nutzer sich der Gefahren von fantasielosen Passwörtern noch immer nicht bewusst sind.

Wer sich an die komplexen Passwortvorgaben seines Unternehmens hält, hat hingegen ganz andere Probleme: Das Zurücksetzen eines Passworts ist der häufigste Grund für Helpdesk-Anfragen. Tatsächlich gehen zwischen 30 und 50 Prozent aller Helpdesk-Anrufe darauf zurück. Ein Anruf kostet zwischen 10 und 15 Dollar. Bald werden voraussichtlich weitere Passwörter für neue SaaS-Anwendung hinzukommen, was beachtliche Helpdesk-Kosten verursachen kann. In einer Fallstudie der Gartner Group fand ein globales Getränkeunternehmen heraus, dass 30 Prozent seiner Helpdesk-Anrufe mit Passwörtern zu tun hatten und jeder Anruf bei 17,23 Dollar lag. Dies führte zu jährlichen Kosten von 900.000 Dollar für das Unternehmen.

Eine Lösung: Starke Authentifizierung

Wie kann man also eine ausgewogene Lösung zwischen Sicherheit und Nutzerfreundlichkeit herstellen? Eine Möglichkeit ist der Einsatz von starker beziehungsweise Zwei-Faktor-Authentifizierung. Hier sind zwei simultane und doch methodisch unterschiedliche Authentifizierungen des Nutzers nötig. So kombiniert die Zwei-Faktor-Authentifizierung das Passwort und den Nutzernamen, die man sich merkt, mit etwas, das man besitzt, beispielsweise ein Einmal-Sicherheitscode, der mithilfe einer Anwendung oder Hardware generiert wurde. Durch die Kombination dieser zwei Faktoren wird es Hackern deutlich erschwert, einen Zugang zum Nutzeraccount zu bekommen.

In der praktischen Anwendung meldet sich der Nutzer wie gehabt mit seinem Nutzernamen und Passwort an. Er wird aber zusätzlich aufgefordert, einen sechsstelligen Einmal-Code einzugeben. Diesen Code kann er sich auf verschiedenen Geräten generieren lassen. Eine Möglichkeit besteht darin, eine Software auf das Mobiltelefon herunterzuladen. Über eine einfache Applikation wird dann das Einmal-Passwort erstellt. Dafür ist keine Internetverbindung erforderlich.

Diese Art der Authentifizierung ist komfortabler und kosteneffizienter als je zuvor. Denn aufgrund von technischen Fortschritten, wie zum Beispiel Cloud-basierte Authentifizierung und die Verwendung von Mobiltelefonen zur Generierung von Einmalpasswörtern, sind Authentifizierungslösungen heute weitaus günstiger als früher.

Durch den Einsatz von starker Authentifizierung können Unternehmen auch ihre Sicherheitsvorschriften entsprechend anpassen und vereinheitlichen. Eine Möglichkeit besteht beispielsweise darin, die Intervalle, in denen Passwortänderungen erforderlich sind, zu vergrößern. So kann trotz hoher Sicherheit auch die Anwenderfreundlichkeit gewährleistet werden.

Eine ganz neue Möglichkeit, Einmal-Passwörter zu generieren, bietet MasterCard mit der „Display Card“. Sie sieht aus wie eine normale Magnetstreifenkarte und wird auch wie eine normale Karte eingesetzt. Sie enthält aber zusätzlich ein Display mit dem die Karte auch zur Generierung von Einmal-Passwörtern genutzt werden kann. So können beispielsweise Unternehmen, die ihre Mitarbeiter sowieso mit einer Corporate Kreditkarte ausstatten, auch gleich die Version mit eingebautem Display verwenden. Eine weitere Lösung zur starken Authentifizierung kommt von Intel in Zusammenarbeit mit Symantec. Das sogenannte Credential, also das Gerät, das ein Einmal-Passwort erstellt, ist in diesem Fall in den Intel-Chipsatz eingebettet. Das macht die Verwaltung der starken Authentifizierung in der Unternehmensumgebung noch einfacher – es müssen keine Hardware-Token mehr erworben, verschickt und ersetzt oder Software heruntergeladen werden.

Technologien zur starken Authentifizierung werden immer flexibler, für die IT leichter zu verwalten und für den Anwender besser einsetzbar. Das ist wichtig, denn der Einsatz zusätzlicher Sicherheitsmaßnahmen ist dringend notwendig. Starke Authentifizierung ist eine sinnvolle und praxisorientierte Lösung, um sich als Unternehmen vor Betrug, Datenverlust und Identitätsdiebstahl abzusichern. (ph)