IT-Sicherheit

Mehr mobile Sicherheit mit Intel Technologien

13.06.2017
Von Klaus Manhart
Anzeige  Die Wannacry Ransomware hat es wieder einmal gezeigt: Die Cyber-Crime-Landschaft entwickelt sich in rasender Geschwindigkeit – und kein Unternehmen ist davor sicher. Selbst renommierte Konzerne wie Fedex oder die Deutsche Bahn waren von Wannacry massiv betroffen, ebenso wie Krankenhäuser in Großbritannien. Inzwischen dürfte auch dem sorglosesten IT-Verantwortlichen klar sein, dass keine Organisation mehr vor Hacker-Attacken und anderen sicherheitskritischen Vorfällen gefeit ist.

Ins Fadenkreuz der Cyber-Kriminellen rückt gerade besonders der boomende Mobilbereich. Smart Devices sind zum Fenster für Unternehmens-Apps und -Dateien geworden - und damit zur Achillesferse der Unternehmenssicherheit, wie die aktuelle IDC-Studie "Mobile Security in Deutschland 2017" zeigt. So machten 65 Prozent der befragten Unternehmen bereits Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um acht Prozentpunkte gegenüber 2015 - die Dunkelziffer an unentdeckten Vorfällen nicht berücksichtigt.

Besonders Datenklau und Datenmissbrauch machen Unternehmen hier zu schaffen. Ein Großteil aller Datenlecks wird durch gestohlene oder missbräuchlich verwendete Zugangsdaten verursacht. Gerät ein Firmen-Smartphone oder -Tablet mit sensiblen Unternehmensdaten in fremde Hände kann der Schaden groß sein. Das passiert häufiger als man denkt: Smartphones und Notebooks werden an Flughäfen und in Hotels oft liegen gelassen oder gezielt gestohlen. Laut IDC verloren in den letzten zwei Jahren 30 Prozent der befragten Fachbereichs-Verantwortlichen ein Smartphone mit darauf befindlichen Firmeninformationen - 10 Prozent sogar mehr als ein Mal. Befinden sich darauf ungesicherte Unternehmensdaten, kann das der GAU für jeden Betrieb sein.

Foto: Intel

Die Ponemon-Studie "2016 Cost of Data Breach" hat die finanziellen Schäden, die bei Verlust von Daten und Diebstahl entstehen, näher untersucht. So stiegen die Ausgaben bei verloren gegangenen oder gestohlenen kritischen Daten für Unternehmen in den Jahren 2013-2016 weltweit um etwa 30 Prozent an - auf bis zu vier Millionen US-Dollar. Pro gestohlenem oder verlorenem Datensatz betrugen im Jahr 2015 die Kosten 154 Euro - Tendenz steigend. In Deutschland, so stellen die Ponemon-Forscher fest, belaufen sich die Kosten pro verlorenem Datensatz sogar auf 165 Euro.

Passwörter: Unpraktikabel und unsicher

Inzwischen erkennen immer mehr Firmen, dass die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co nicht ausreicht, sondern dass die mobilen Devices auch abgesichert werden müssen. Für 28 Prozent gehört die Verbesserung der Mobile Security laut IDC zu den wichtigsten Enterprise-Mobility-Projekten. Doch mit welchen Maßnahmen soll dies geschehen?

Der heute übliche Schutz der Daten mit Passwörtern ist wenig praktikabel und vor allem: unsicher. Unter Security-Experten gelten Passwörter inzwischen als das schwächste Glied in der Sicherheitskette. Das hat mehrere Gründe: Die Mitarbeiter in Unternehmen müssen sich oft Dutzende von komplizierten Codes merken, was für viele belastend ist. Sie neigen deshalb dazu, zu kurze oder leicht zu erratende Passwörter zu verwenden. Diese sind dann allerdings nicht mehr besonders sicher. Dass sich zum Beispiel die Zahlenfolge "123456" als Passwort großer Beliebtheit erfreut, bleibt auch vielen Kriminellen nicht verborgen.

Zu kurze und leicht zu erratende Passwörter lassen sich zwar IT-seitig unterbinden. Viele Unternehmen zwingen ihre Mitarbeiter, bei Passwörtern Mindestlängen einzuhalten und Sonderzeichen zu verwenden. Doch dann bleibt das Problem der kognitiven Komplexität. Acht- oder zehnstellige Passwörter mit Sonderzeichen kann sich kaum jemand merken. Die Folge ist, dass Nutzer häufig das gleiche Passwort in verschiedenen Situationen verwenden - für die Anmeldung an Windows, an das Lohnsystem oder für den Zugriff auf eine authentifizierte Website. Dies macht es Angreifern wiederum einfach, gleich in mehrere Systeme einzudringen.

Wie man es dreht und wendet: 8-stellige Passwörter, die nie oder alle paar Monate geändert werden, haben vielleicht vor zehn Jahren funktioniert. Aber verbreitete Angriffsmethoden wie das Knacken von Passwörtern, Phishing oder Screen-Scraping machen einen wirksameren Identitätsschutz notwendig.

Sichere Alternative: Zwei-Faktor-Authentifizierung

Eine elegante und nachhaltige Lösung für das Passwort-Dilemma ist die Zwei-Faktor-Authentifizierung. Bei der Zwei-Faktor-Authentifizierung (2FA) wird die Identität eines Nutzers über die Kombination von zwei unabhängigen Komponenten nachgewiesen. Das kann etwas sein, das der Nutzer weiß, etwas, das er besitzt, oder etwas, das untrennbar zu ihm gehört. Banken zum Beispiel nutzen dieses Verfahren an Geldautomaten. Erst die Kombination aus EC- oder Kreditkarte (1. Faktor = Besitz) plus PIN (2. Faktor = Wissen) ermöglicht die Transaktion.

Die Zwei-Faktor-Authentifizierung ist nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, wird der Zugriff verweigert. Nach oben hin besteht bei der Zwei-Faktor-Authentifizierung keine Schranke: Es lassen sich auch drei, vier, fünf und mehr notwendige Faktoren für die Identifizierung definieren - man spricht in diesem Fall von Multi-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist also ein Spezialfall der Multi-Faktor-Authentifizierung.

Eine Standard-2FA-Methode besteht darin, einen Passcode (=Wissen) auf das Smartphone des Benutzers (=Besitz) zu schicken. Eine neuere Methode ist, statt des Passcodes ein biometrisches Merkmal als Teil der Zwei-Faktor-Authentifizierung zu verwenden. Biometrische Merkmale ermöglichen eine sehr gute Sicherung der persönlichen und Corporate Mobile Devices.

Weil biometrische Merkmale, die etwa über einen Iris-Scanner erfasst werden, eindeutig einer Person zugeordnet sind, kann nur die berechtigte Person auf das Mobilgerät zugreifen. Ein solcher Scanner kann den berechtigten User erkennen, selbst wenn er eine Brille oder Kontaktlinsen trägt. Da dieses Verfahren schnell und einfach ist, erhöht es die Sicherheit bei gleichzeitiger Gewährleistung der Benutzerfreundlichkeit.

Intel Authenticate: Hardware-basierte Multi-Faktor-Lösung

2-Faktor- und vor allem Multi-Faktor-Authentifizierung können identitätsbasierte Sicherheitsangriffe gut verhindern und sind auf dem Weg zu einem neuen Industrie-Standard - zumal sie von Windows 10 unterstützt werden. Intel hat mit Authenticate eine noch einmal verbesserte Hardware-basierte Multi-Faktor-Lösung entwickelt, die in die Intel Core vPro Prozessoren der sechsten und siebten Generation integriert ist.

Intel Authenticate erfasst, verschlüsselt, vergleicht und speichert die Zugangsdaten des Benutzers auf Hardware-Ebene und macht sie dadurch weniger angreifbar für Software-Attacken wie das Knacken von Passwörtern, Phishing und Screen-Scraping. Alle Authentifizierungsfaktoren, IT-Sicherheitsrichtlinien und Authentifizierungsentscheidungen sind verschlüsselt in der Hardware hinterlegt.

Die Identität eines Anwenders verifiziert Intel Authenticate, indem gleichzeitig eine beliebige Kombination mehrerer Faktoren genutzt wird, die von der IT angepasst werden kann. Die Faktoren umfassen:

• Etwas, das Sie wissen (wie eine PIN)

• Etwas, das Sie haben (wie ein Telefon)

• Etwas, das Sie sind (wie ein Fingerabdruck)

• Ein Ort, an dem Sie sich befinden (standortbezogene Identifikation)

In der Praxis können IT-Verantwortliche ein Gerät zum Beispiel so konfigurieren, dass ein Mitarbeiter seine Befugnis mit einer 2-Faktor-Authentifizierung nachweisen muss. Dies kann zum Beispiel biometrisch und per Bluetooth-Erkennung seines Mobiltelefons erfolgen. Es können aber auch weitere Faktoren eingeführt werden. Jeder zusätzliche Authentifizierungsfaktor erhöht die Sicherheit um den Faktor 10. Die IT-Abteilung kann so eine beliebige Kombination von Faktoren benutzen, die ihren Sicherheitskriterien entspricht.

Bei PCs mit Intel Core vPro Prozessoren der sechsten und siebten Generation umfassen die unterstützten Hardware-basierten Authentifizierungsfaktoren Fingerabdrucksensoren, die Nähe eines Smartphones mit Bluetooth-Technologie, eine geschützte PIN auf dem PC-Bildschirm und Intel Active-Management-Technik zur Identifizierung des Netzwerkstandorts des Nutzers. Intel Authenticate kann mit den gewohnten Tools und der bereits vorhandenen Infrastruktur bereitgestellt werden.

Verschlüsselung mit Data Guard

Einen zusätzlichen Schutz bietet Intel mit der Möglichkeit an, die Daten von Mitarbeitern automatisch zu verschlüsseln. Bei dem Intel-Verfahren bleiben die Daten auf den Computern, die von der IT verwaltet werden, auch geschützt, wenn sie lokal, in der Cloud oder auf einem USB-Datenspeicher gespeichert werden. Die Funktionen für Data Guard sind ebenfalls in die Intel Core vPro Prozessoren der sechsten und siebten Generation integriert.

Um verschlüsselte Dateien an die Rechner der Mitarbeiter und deren unternehmensinterne Identität zu binden und damit sicherzustellen, dass nur autorisierte Active-Directory-Nutzer Zugriff haben, stellt Data Guard hochentwickelte Managementfunktionen bereit. Werden die Active-Directory-Rechte eines Benutzers aufgehoben, hat dieser nicht länger Zugriff auf die Dateien.

Data Guard kann von der IT ohne Zutun der Benutzer auf die Computer der Mitarbeiter übertragen werden. Für die Mitarbeiter gestaltet sich der Vorgang sehr einfach: Ihre Daten werden ohne oder mit nur geringem zusätzlichem Aufwand geschützt. Das System ist transparent für die Endanwender und verfügt über hochentwickelte Möglichkeiten der Regelverwaltung, mit der die IT die Kontrolle behalten kann, ohne die Produktivität zu beeinträchtigen.

Mit der Kombination von Intel Authenticate und Data Guard mit Windows 10 sind IT-Administratoren in der Lage, mehrfache Sicherheitsvorkehrungen für das Einloggen von Mitarbeitern festzulegen.

 

Joerg Nobis

Multi-Faktor Authentifizierung (mindestens drei Faktoren) sollte in sensiblen Bereichen Standard werden. Es wird überall viel zu leichtsinnig mit Passwörter umgegangen.

comments powered by Disqus