Cloud Security

Warum Multi-Faktor-Authentifizierung nicht fehlen darf

David Hald, Gründungsmitglied von SMS Passcode, ist seit der Übernahme von SMS Passcode durch CensorNet als Chief Strategy Officer (CSO) für die Strategieentwicklung und -umsetzung des fusionierten Unternehmens verantwortlich.
Viele Wege führen nach Rom. Oder - im Fall von kriminellen Hackern - ins Unternehmensnetzwerk. Nur einen einzigen Angriffsvektor abzusichern ist daher - nett ausgedrückt - leichtsinnig.

Cloud-Anwendungen werden immer beliebter. Laut Bitkom Cloud Monitor 2017 nutzen mittlerweile 65 Prozent aller Unternehmen Cloud Computing. Sie haben den Mehrwert des webbasierten Arbeitens zu schätzen gelernt. Im Jahr 2012 war noch fast die Hälfte der Unternehmen (44 Prozent) eher kritisch und/oder ablehnend eingestellt, wenn es darum ging, geschäftskritische Daten in die Cloud zu verlagern. Ein deutlich geringerer Teil - lediglich 35 Prozent - stand damals der Cloud-Nutzung aufgeschlossen und interessiert gegenüber. Im Laufe der Jahre hat sich das Blatt gewendet: Im aktuellen Untersuchungszeitraum liegt die Zahl der Cloud-Befürworter bei 47 Prozent. Noch nicht so ganz über den Weg trauen den Cloud-Anwendungen nur noch 25 Prozent.

Die Cloud liegt im Trend. Aber wie sieht es mit der Security aus?
Die Cloud liegt im Trend. Aber wie sieht es mit der Security aus?
Foto: Ruslan Grumble - shutterstock.com

Die Cloud wirft Security-Schatten

Dies allerdings nicht zu Unrecht: Denn neben klaren Vorteilen wie effizienteren Arbeitsabläufen und Zugriff auf Daten von überall lauern auch bei Cloud-Anwendungen Gefahren. Viele kriminelle Hacker suchen nämlich genau hier gezielt nach Schwachstellen, um sich durch Exploits Zugang zu Ressourcen zu verschaffen und Schadsoftware zu verbreiten. Dienste aus der Public Cloud mit zum Teil mehreren hundert Millionen Nutzern sind beliebte Angriffsziele. Denn je mehr Unternehmen, beziehungsweise Mitarbeiter innerhalb eines Unternehmens auf kompromittierte Systeme zugreifen, desto erfolgreicher ist die Cyberattacke aus Sicht der Angreifer.

Da immer mehr geschäftskritische Daten in Private und Public Clouds migriert werden und "as-a-Service"-Modelle boomen, ist Cloud Security ein zentrales Thema. Dabei gilt es, möglichst viel Transparenz und Kontrolle über den Datentransfer zwischen Unternehmen und Cloud-Anwendungen zu erhalten: Wer darf von welchem Standort auf was zugreifen? Dürfen Daten hoch- oder auch heruntergeladen werden? Hat ein Mitarbeiter nur Lese- oder auch Schreibberechtigungen für sensible Dateien? Für welche Personen und auf welchen Geräten sind Social-Media-Aktivitäten erlaubt?

Diese und viele weitere Szenarien sollte ein Administrator im Rahmen der Cloud Security festlegen und regulieren können. Unterstützung erhält er hier durch sogenannte CASB- (Cloud Access Security Broker) Lösungen - die quasi als "Wächter" zwischen On-Premise-Infrastruktur des Unternehmens und Cloud-Anbietern darauf achten, dass Sicherheitsrichtlinien und Compliance-Anforderungen auch außerhalb der eigenen IT-Landschaft eingehalten werden.

Außerdem wichtig: die Skalierbarkeit einer Cloud-Sicherheitslösung und Reporting-Funktionen. Neue Anwender sollten sich über eine Active-Directory-Synchronisierung oder einen Import-Assistenten schnell hinzufügen lassen. Berichte, die der Administrator für die gesamte Organisation, bestimmte Abteilungen oder auch Einzelpersonen anfordern kann, liefern ihm den nötigen Sicherheitsüberblick.

Achtung, Phishing in der Cloud!

Phishing ist im Zusammenhang mit Cloud-Anwendungen eine vielversprechende Methode für Datendiebe. Ein Beispiel: Ein Mitarbeiter nutzt regelmäßig einen bestimmten Cloud-basierten File-Sharing-Dienst. Es kommt ihm sicher nicht ungewöhnlich vor, wenn er scheinbar von dem Anbieter eine Mail erhält. Zur Aktualisierung der Datenbank oder unter einem anderen Vorwand wird er darin um die Übermittlung von Benutzername und Passwort gebeten. Die E-Mail mag vielleicht aussehen, als käme sie vom Cloud-Anbieter, aber tatsächlich stammt sie aus der Feder krimineller Hacker. Gibt der Empfänger seine Anmeldedaten preis, bekommen die Angreifer den Zugang zu seinem Benutzerprofil quasi auf dem Silbertablett serviert.

Für Unternehmen ist es also essentiell, Mitarbeiter regelmäßig zu schulen. In Präventiv-Trainings lernen diese beispielsweise typische Merkmale einer Phishing-E-Mail kennen und können im Ernstfall richtig reagieren. Darüber hinaus sind spezifische Technologien für Web und E-Mail Security ein unverzichtbarer Teil eines modernen Sicherheitskonzepts. Dazu zählen E-Mail-Scans, die Spam und Nachrichten mit schädlichen Links erkennen, genauso wie Web-Filter, welche die Reputation von URLs prüfen und Malware-infizierte Internetseiten blockieren.

So macht Multi-Faktor-Authentifizierung die Cloud sicher

Die beschriebenen Sicherheitsmechanismen kommen zum Einsatz, wenn Mitarbeiter bereits mit ihrer Arbeit beschäftigt sind. Doch was ist mit dem Schutz, wenn sie sich im Unternehmensnetzwerk anmelden? Passwörter alleine sind bieten hier längst keinen ausreichenden Schutz mehr. Laut dem aktuellen Verizon Data Breach Investigations Report stehen 81 Prozent aller Sicherheitsvorfälle in Zusammenhang mit gestohlenen, ausgespähten oder zu schwachen Passwörtern.

Es ist ratsam, auf Multi-Faktor-Authentifizierung statt auf eine Zwei-Faktor-Authentifizierungs-Lösung zu setzen. Gegenüber herkömmlichen Zwei-Faktor-Lösungen bietet die Multi-Faktor-Authentifizierung klare Vorteile. Denn erstgenannte Technologie stellt lediglich auf etwas ab, was man weiß (Benutzername und Passwort) und etwas, was man erhält (OTP, One-Time Passcode). Der Einmalpasscode kann dabei mit Hilfe verschiedener Verfahren übermittelt werden - per SMS, E-Mail, App oder über einen Security-Token.

Die Multi-Faktor-Authentifizierung bezieht hingegen bei jedem einzelnen Anmeldevorgang weitere Faktoren mit ein, wie etwa die Session-ID, die IP-Adresse, die Anzahl erfolgreicher Anmeldungen oder den Standort des Nutzers. Mögliche Kriterien sind auch die Art des Systems, das verwendete Gerät oder der Anmeldezeitpunkt. All diese Faktoren setzen die Anmeldung eines Users in einen bestimmten Kontext. Anhand dessen definiert die Authentifizierungslösung schließlich, ob die Anmeldung als vertrauenswürdig einzustufen ist.

Auf folgende Funktionen sollten Unternehmen bei Multi-Faktor-Authentifizierungs-Lösungen achten:

  • Alle Passcodes werden in Echtzeit zum Zeitpunkt der Anmeldung generiert.

  • Alle Passcodes werden der jeweiligen Session-ID zugeordnet. Jeder Zugriffsversuch lässt sich so auf ein einzelnes Gerät eingrenzen.

  • Die OTP-Gültigkeitsdauer und -Zustellungsart passt sich an den Kontext an, in dem sich der Anwender befindet.

  • Möglichkeit zur Sperrung von Zugriffen aus Hochrisiko-Ländern oder -Regionen.

  • Anwender erhalten Geo-IP-Informationen zu ihrer Anmeldung, um mögliche Man-in-the-Middle-Angriffe identifizieren zu können.

  • Jegliche Kommunikation zwischen den Komponenten erfolgt über eine AES-256-Bit-Verschlüsselung.

  • Der Authentifizierungsgrad sollte unterschiedlich hoch sein - je nachdem, ob sich ein Anwender innerhalb des Unternehmensnetzwerkes oder an weniger sicheren Orten wie zum Beispiel einem Flughafen befindet.

Fazit: Security rundum stärken, Admins entlasten

Ein Hackerangriff kann aus vielen Richtungen kommen: Als direkte Attacke über das Unternehmensnetzwerk, über infizierte E-Mails, Webseiten mit schädlichen Links, Schwachstellen in Cloud-Anwendungen oder gestohlene Passwörter - um nur ein paar Beispiele zu nennen. Insellösungen bieten hierbei keinen ausreichenden Schutz.

Unternehmen brauchen daher einen einheitlichen Sicherheitsansatz - mit einer Lösung, die auf mehreren Ebenen agiert und bei der verschiedene Tools zur Web-, E-Mail- und Cloud Security sowie -Authentifizierung zusammenarbeiten, um sämtliche Bedrohungsvektoren abzudecken. Dies sorgt nicht nur für einen umfassenden Schutz aller Unternehmensbereiche, sondern entlastet auch die IT-Administratoren deutlich. (fm)

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 26. und 27. September 2017 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de