RACKSPACE. ZERTIFIZIERT FÜR DIE VERWALTUNG DER FÜHRENDEN CLOUDS. WEIL DER STANDARD NICHT FÜR ALLE PASST.

Multi-Faktor-Authentifizierung

Besitz plus Wissen plus Körpermerkmal gleich Zugang

Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT /Publishing/Kommunikation. Dort bündelt er seine Aktivitäten als Autor, Blogger, Sprecher, PR- und Kommunikationsberater. Witte hat zwei Bücher zu strategischen IT-Themen veröffentlicht und schreibt regelmäßig Beiträge für die IT- und Wirtschaftspresse. Davor arbeitete er als Chefredakteur und Herausgeber für die Computerwoche. Außerdem ist Witte Mitbegründer des CIO Magazins, als dessen Herausgeber er bis 2006 ebenfalls fungierte.
Der sichere Zugang zu Cloud-Services und -Infrastrukturen ist ein wesentlicher Baustein für die Akzeptanz von Public Clouds. Ein probater Zugangsschutz ist die Multifaktor-Authentifizierung (MFA). Security-Experten erwarten, dass die Technologie gerade in der Cloud-Welt weiter an Bedeutung gewinnt.

Bei der Multifaktor-Authentifizierung handelt es sich um ein mehrstufiges Sicherheitsverfahren, bei dem der Nutzer durch zwei oder mehr Faktoren nachweist, dass er der ist, der er zu sein behauptet. Bei Multifaktor-Verfahren sind das in der Regel die Faktoren Besitz (ein Smartphone, ein Schlüssel, eine Scheckkarte etc.), Wissen (Passwort, PIN, Tan etc.) und Inhärenz, etwas, das dem Nutzer persönlich beziehungsweise körperlich zu eigen ist (Fingerabdruck, Iris Scan etc.).

2-Faktor und Multifaktor-Authentifizierung

Wie das Zusammenspiel der Komponenten funktioniert, ist schnell erklärt. Nehmen Sie das einfache Verfahren Bankkarte und Pin. Der Geldautomat überprüft anhand des aufgebrachten Chips oder des Magnetstreifens, ob es sich um eine reguläre und nicht manipulierte Bankkarte handelt und auf welches Konto die Karte verweist. Außerdem überprüft er, wem die Karte gehört. Durch die Eingabe eines meist vierstelligen, der Karte fest zugeordneten PINs, beweist der Nutzer mit 2 Faktoren (Besitz = Karte und Wissen = Pin), dass er der ist, der er behauptet zu sein und wird für den Zugriff auf das Konto autorisiert.

Nutzt ein Kunde keinen Bankautomaten, sondern den Online-Service der Bank reicht die beschriebene 2-Faktor-Authentifizierung für den Kontozugriff nicht mehr aus, sondern muss durch einen weiteren Faktor ergänzt werden. Der Kunde meldet sich beim Webservice seiner Bank mit Anmeldename und Passwort an. Sobald er Transaktionen durchführen möchte, benötigt er allerdings zwei weitere Faktoren aus dem Bereich Wissen, Besitz und/oder Inhärenz. Entweder wird ihm per SMS ein Einmalpasswort (Wissen) auf sein Handy (Besitz) geschickt oder er muss die Transaktion per Fingerabdruck oder Irisscan autorisieren, die er über eine Smartphone-App abgibt oder er muss aus einem TAN-Generator eine zufällig erzeugte TAN eingeben und seine Identität damit bestätigen.

Wesentlicher Faktor im Identity und Access Management

Wie wesentlich MFA als Faktor im Identity- und Access-Management ist, belegt die Studie "The 2018 Global Cloud Data Security Study". Im Auftrag des Chipkartenherstellers Gemalto befragte das renommierte Ponemon-Institut rund 3.600 Security-Spezialisten aus den USA, England, Australien, Deutschland, Frankreich, Japan, Indien und Brasilien. 74 Prozent gaben an, dass ihre Unternehmen intensive beziehungsweise moderate Cloud-Nutzer sind.

Verschlüsselungsmöglichkeiten oder die Absicherung von Daten in der Cloud über Token und Einmalpassworte halten 77 Prozent der Befragten für wichtig und 91 Prozent gehen davon aus, dass sie noch wichtiger werden. Diese Annahme wird gespeist durch das zusätzliche Risiko, dass durch die Nutzung sozialer Identitäten für den Zugang zu Cloud Services entsteht.

63 Prozent der Befragten geben Dritten Zugang zu ihren Cloud-Daten. 53 Prozent schützen den Zugang von Dritten zu Cloud-Daten über Multifaktor-Authentifizierung. Nur 47 Prozent verlangen dabei von Ihren Mitarbeitern eine MFA-Authentifizierung bevor diese auf Cloud-Daten zugreifen dürfen. Bisher sind durchschnittlich nur 19 Prozent aller Cloud-Applikationen standardmäßig mit MFA vor unautorisiertem Zugang geschützt.

Die Deutschen passen auf

Wenn es um die Sensibilität der Unternehmen beim Umgang mit Cloud-Daten geht, liegen die Deutschen laut Ponemon ganz vorn. 61 Prozent der befragten deutschen Teilnehmer betrachtet ihre Unternehmen als ausreichend vorsichtig beim Teilen von vertraulichen oder sensiblen Informationen mit Dritten - unter den japanischen Befragten sind es nur 31 Prozent.

Zugangskontrolle macht Clouds sicherer

Was sind die größten Sicherheitsbedrohungen für Public Clouds?
Was sind die größten Sicherheitsbedrohungen für Public Clouds?
Foto: Cloud Research Partners

Eine andere Studie von Crowd Research Partners unter 1.900 US-amerikanischen Sicherheitsspezialisten ergab, dass neben Verschlüsselung der Daten und der Netzwerkverschlüsselung, die Zugangskontrolle als drittwichtigste Technologie angesehen wird, um Cloud Computing sicherer zu gestalten. Gleichzeitig sehen 61 Prozent der Befragten den unautorisierten Zugang zur Cloud als größtes Sicherheitsrisiko im Bereich Cloud Computing, gefolgt vom Übernehmen fremder Accounts, Services oder Traffic, der Unsicherheit von Interfaces und dem Teilen von Daten mit externen Dritten.

Drei Nutzungsszenarien für MFA

Die Wichtigkeit von SAML, im Zuge der Cloud-Sicherheit
Die Wichtigkeit von SAML, im Zuge der Cloud-Sicherheit
Foto: Ponemon Institut

Genauso wie Banken benutzen inzwischen die meisten Cloud Provider die Multifaktor-Authentifizierung als Teil ihres Identity- und Access-Managements (IAM). In der Regel benutzen die eingesetzten Identity-Verfahren die sogenannten Security Assertion Markup Language (SAML). Cloud-Provider nutzen MFA in drei verschiedenen Szenarien: um bestehende Identity-Verfahren wie Radius oder Active Directory stärker abzusichern, um es als Identity-Verfahren für einen Web-Service (Dropbox, Google Docs etc.) zu nutzen und in Verbindung mit HTML, SOAP oder JavaScript setzen sie es als Login für virtuelle Server ein.

Erfahren Sie mehr zum Thema Cloud Provider und MFA