Warum Multi-Faktor-Authentifizierung nicht fehlen darf
06.11.2017 von David Hald
Viele Wege führen nach Rom. Oder - im Fall von kriminellen Hackern - ins Unternehmensnetzwerk. Nur einen einzigen Angriffsvektor abzusichern ist daher - nett ausgedrückt - leichtsinnig.
Cloud-Anwendungen werden immer beliebter. Laut Bitkom Cloud Monitor 2017 nutzen mittlerweile 65 Prozent aller Unternehmen Cloud Computing. Sie haben den Mehrwert des webbasierten Arbeitens zu schätzen gelernt. Im Jahr 2012 war noch fast die Hälfte der Unternehmen (44 Prozent) eher kritisch und/oder ablehnend eingestellt, wenn es darum ging, geschäftskritische Daten in die Cloud zu verlagern. Ein deutlich geringerer Teil - lediglich 35 Prozent - stand damals der Cloud-Nutzung aufgeschlossen und interessiert gegenüber. Im Laufe der Jahre hat sich das Blatt gewendet: Im aktuellen Untersuchungszeitraum liegt die Zahl der Cloud-Befürworter bei 47 Prozent. Noch nicht so ganz über den Weg trauen den Cloud-Anwendungen nur noch 25 Prozent.
Die Cloud liegt im Trend. Aber wie sieht es mit der Security aus? Foto: Ruslan Grumble - shutterstock.com
Die Cloud wirft Security-Schatten
Dies allerdings nicht zu Unrecht: Denn neben klaren Vorteilen wie effizienteren Arbeitsabläufen und Zugriff auf Daten von überall lauern auch bei Cloud-Anwendungen Gefahren. Viele kriminelle Hacker suchen nämlich genau hier gezielt nach Schwachstellen, um sich durch Exploits Zugang zu Ressourcen zu verschaffen und Schadsoftware zu verbreiten. Dienste aus der Public Cloud mit zum Teil mehreren hundert Millionen Nutzern sind beliebte Angriffsziele. Denn je mehr Unternehmen, beziehungsweise Mitarbeiter innerhalb eines Unternehmens auf kompromittierte Systeme zugreifen, desto erfolgreicher ist die Cyberattacke aus Sicht der Angreifer.
Da immer mehr geschäftskritische Daten in Private und Public Clouds migriert werden und "as-a-Service"-Modelle boomen, ist Cloud Security ein zentrales Thema. Dabei gilt es, möglichst viel Transparenz und Kontrolle über den Datentransfer zwischen Unternehmen und Cloud-Anwendungen zu erhalten: Wer darf von welchem Standort auf was zugreifen? Dürfen Daten hoch- oder auch heruntergeladen werden? Hat ein Mitarbeiter nur Lese- oder auch Schreibberechtigungen für sensible Dateien? Für welche Personen und auf welchen Geräten sind Social-Media-Aktivitäten erlaubt?
Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
Diese und viele weitere Szenarien sollte ein Administrator im Rahmen der Cloud Security festlegen und regulieren können. Unterstützung erhält er hier durch sogenannte CASB- (Cloud Access Security Broker) Lösungen - die quasi als "Wächter" zwischen On-Premise-Infrastruktur des Unternehmens und Cloud-Anbietern darauf achten, dass Sicherheitsrichtlinien und Compliance-Anforderungen auch außerhalb der eigenen IT-Landschaft eingehalten werden.
Außerdem wichtig: die Skalierbarkeit einer Cloud-Sicherheitslösung und Reporting-Funktionen. Neue Anwender sollten sich über eine Active-Directory-Synchronisierung oder einen Import-Assistenten schnell hinzufügen lassen. Berichte, die der Administrator für die gesamte Organisation, bestimmte Abteilungen oder auch Einzelpersonen anfordern kann, liefern ihm den nötigen Sicherheitsüberblick.
Phishing ist im Zusammenhang mit Cloud-Anwendungen eine vielversprechende Methode für Datendiebe. Ein Beispiel: Ein Mitarbeiter nutzt regelmäßig einen bestimmten Cloud-basierten File-Sharing-Dienst. Es kommt ihm sicher nicht ungewöhnlich vor, wenn er scheinbar von dem Anbieter eine Mail erhält. Zur Aktualisierung der Datenbank oder unter einem anderen Vorwand wird er darin um die Übermittlung von Benutzername und Passwort gebeten. Die E-Mail mag vielleicht aussehen, als käme sie vom Cloud-Anbieter, aber tatsächlich stammt sie aus der Feder krimineller Hacker. Gibt der Empfänger seine Anmeldedaten preis, bekommen die Angreifer den Zugang zu seinem Benutzerprofil quasi auf dem Silbertablett serviert.
Für Unternehmen ist es also essentiell, Mitarbeiter regelmäßig zu schulen. In Präventiv-Trainings lernen diese beispielsweise typische Merkmale einer Phishing-E-Mail kennen und können im Ernstfall richtig reagieren. Darüber hinaus sind spezifische Technologien für Web und E-Mail Security ein unverzichtbarer Teil eines modernen Sicherheitskonzepts. Dazu zählen E-Mail-Scans, die Spam und Nachrichten mit schädlichen Links erkennen, genauso wie Web-Filter, welche die Reputation von URLs prüfen und Malware-infizierte Internetseiten blockieren.
Die Top-12-Sicherheitsrisiken in der Cloud
Datenverlust Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
So macht Multi-Faktor-Authentifizierung die Cloud sicher
Die beschriebenen Sicherheitsmechanismen kommen zum Einsatz, wenn Mitarbeiter bereits mit ihrer Arbeit beschäftigt sind. Doch was ist mit dem Schutz, wenn sie sich im Unternehmensnetzwerk anmelden? Passwörter alleine sind bieten hier längst keinen ausreichenden Schutz mehr. Laut dem aktuellen Verizon Data Breach Investigations Report stehen 81 Prozent aller Sicherheitsvorfälle in Zusammenhang mit gestohlenen, ausgespähten oder zu schwachen Passwörtern.
Es ist ratsam, auf Multi-Faktor-Authentifizierung statt auf eine Zwei-Faktor-Authentifizierungs-Lösung zu setzen. Gegenüber herkömmlichen Zwei-Faktor-Lösungen bietet die Multi-Faktor-Authentifizierung klare Vorteile. Denn erstgenannte Technologie stellt lediglich auf etwas ab, was man weiß (Benutzername und Passwort) und etwas, was man erhält (OTP, One-Time Passcode). Der Einmalpasscode kann dabei mit Hilfe verschiedener Verfahren übermittelt werden - per SMS, E-Mail, App oder über einen Security-Token.
Die Multi-Faktor-Authentifizierung bezieht hingegen bei jedem einzelnen Anmeldevorgang weitere Faktoren mit ein, wie etwa die Session-ID, die IP-Adresse, die Anzahl erfolgreicher Anmeldungen oder den Standort des Nutzers. Mögliche Kriterien sind auch die Art des Systems, das verwendete Gerät oder der Anmeldezeitpunkt. All diese Faktoren setzen die Anmeldung eines Users in einen bestimmten Kontext. Anhand dessen definiert die Authentifizierungslösung schließlich, ob die Anmeldung als vertrauenswürdig einzustufen ist.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung in der Praxis Server-Manager: RDS Deployment nach Installation aller Rollen.
Multi-Faktor-Authentifizierung in der Praxis Server-Manager: Installation der Zertifikate.
Multi-Faktor-Authentifizierung in der Praxis Azure Portal: Erstellen eines Anbieters für Multi Factor Authentication.
Multi-Faktor-Authentifizierung in der Praxis Azure Portal: Startseite zur Konfiguration des MFA Service.
Multi-Faktor-Authentifizierung in der Praxis RD Gateway: Umstellung der Authentifizierung auf einen zentralen NPS.
Multi-Faktor-Authentifizierung in der Praxis RD Gateway: RADIUS Konfiguration in der Konsole des NPS.
Multi-Faktor-Authentifizierung in der Praxis MFA Server: Einrichtung des Synchronisierungsjobs.
Multi-Faktor-Authentifizierung in der Praxis Outlook: Willkomms-E-Mail mit Start PIN.
Multi-Faktor-Authentifizierung in der Praxis MFA User Portal: Startseite nach dem Login eines Benutzers.
Multi-Faktor-Authentifizierung in der Praxis RD Webaccess: Initiierung einer Remote Desktop Verbindung.
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Mobile App zur Authentifizierung (Hinweis zur Authentifizierung kommt als Push Nachricht aufs Handy).
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Eine weitere Möglichkeit der Authentifizierung ist ein Anruf durch den MFA Service.
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Eine weitere Möglichkeit stellt die Authentifizierung über Kurznachrichten dar.
Multi-Faktor-Authentifizierung in der Praxis RD Webaccess: Nach der Bestätigung von 11, 12 oder 13 wird die Verbindung zum Remote Desktop Sitzungshost aufgebaut.
Auf folgende Funktionen sollten Unternehmen bei Multi-Faktor-Authentifizierungs-Lösungen achten:
Alle Passcodes werden in Echtzeit zum Zeitpunkt der Anmeldung generiert.
Alle Passcodes werden der jeweiligen Session-ID zugeordnet. Jeder Zugriffsversuch lässt sich so auf ein einzelnes Gerät eingrenzen.
Die OTP-Gültigkeitsdauer und -Zustellungsart passt sich an den Kontext an, in dem sich der Anwender befindet.
Möglichkeit zur Sperrung von Zugriffen aus Hochrisiko-Ländern oder -Regionen.
Anwender erhalten Geo-IP-Informationen zu ihrer Anmeldung, um mögliche Man-in-the-Middle-Angriffe identifizieren zu können.
Jegliche Kommunikation zwischen den Komponenten erfolgt über eine AES-256-Bit-Verschlüsselung.
Der Authentifizierungsgrad sollte unterschiedlich hoch sein - je nachdem, ob sich ein Anwender innerhalb des Unternehmensnetzwerkes oder an weniger sicheren Orten wie zum Beispiel einem Flughafen befindet.
Fazit: Security rundum stärken, Admins entlasten
Ein Hackerangriff kann aus vielen Richtungen kommen: Als direkte Attacke über das Unternehmensnetzwerk, über infizierte E-Mails, Webseiten mit schädlichen Links, Schwachstellen in Cloud-Anwendungen oder gestohlene Passwörter - um nur ein paar Beispiele zu nennen. Insellösungen bieten hierbei keinen ausreichenden Schutz.
Unternehmen brauchen daher einen einheitlichen Sicherheitsansatz - mit einer Lösung, die auf mehreren Ebenen agiert und bei der verschiedene Tools zur Web-, E-Mail- und Cloud Security sowie -Authentifizierung zusammenarbeiten, um sämtliche Bedrohungsvektoren abzudecken. Dies sorgt nicht nur für einen umfassenden Schutz aller Unternehmensbereiche, sondern entlastet auch die IT-Administratoren deutlich. (fm)