Newsfeed abonnieren
Digitale Identitäten können viel leichter gestohlen werden, als die gängigen Mittel zum Identitätsnachweis im täglichen Leben (Reisepass, Führerschein, etc.). Sie bestehen meistens nur aus einem Usernamen und einem Passwort. Wenn man diese Informationen besitzt, könnte man also diese digitale Identität sofort benutzen und/oder missbrauchen. Man hat hier auch nicht die Möglichkeit ein Ausweisfoto mit der entsprechenden Person zu vergleichen - so wie sonst bei den gängigen Ausweisdokumenten.
Ein weiteres Problem ist, dass sich User immer mehr Passworte merken müssen, da die Anzahl der Anwendungen in Unternehmen stetig steigt und oftmals für jede einzelne Anwendung ein eigener Username und natürlich ein eigenes Passwort benötigt wird. Dies veranlasst viele User, ihre Passworte möglichst einfach zu gestalten - wodurch es auch leichter wird, diese Passwörter zu knacken.
Die Wahrscheinlichkeit ein 8-stelliges Passwort aus 65 unterschiedlichen Zeichen (z.B. "Lv54!bZ%") und mit einer Lebensdauer von 30 Tagen zu knacken, liegt bei 135%. Das bedeutet also, dass dieses Passwort innerhalb der 30tägigen Lebensdauer auf jeden Fall geknackt wird. Als Berechnungsbasis wurde hier eine Brute-Force Attacke gewählt, welche pro Sekunde bis zu 167.000.000 Schlüsselgenerierungen schafft.
Sicherheitsstufen der Authentifizierung
Die als Low Level Security bezeichnete Stufe, bestehend aus Username und Passwort, sollte eigentlich nur im privaten Umfeld zum Einsatz kommen. Dieser niedere Sicherheitslevel sollte in einem Unternehmen auf jeden Fall vermieden werden, da hier nie zweifelsfrei bestimmt werden kann, wer tatsächlich auf die (Netzwerk-)Ressourcen zugreift.
Die als Medium Level Security bezeichnete Stufe sollte die minimale Sicherheitsstufe in einem Unternehmen darstellen. Die Authentifizierung erfolgt hier mit mindestens 2 Faktoren (etwas das man weiß, z. B. ein Passwort, und etwas das man hat, z. B. einen Token). Das macht die Authentifizierung schon sehr sicher, da man nur Zugang bekommt, wenn man beide Faktoren besitzt - einer ohne den anderen ist nutzlos.
Die als High Level Security bezeichnete Stufe stellt das Optimum an sicherer digitaler Authentifizierung dar. Eine vorhandene PKI (Public Key Infrastructure) und die Benutzung einer Smartcard ermöglichen die Benutzung von Zertifikaten und damit die Signierung von Dokumenten, Transaktionen, usw. Wenn man ein gutes Card-Management-System benutzt, kann man weitere sinnvolle Funktionen der Smartcard nutzen, z. B.:
- als Mitarbeiterausweis (z.B. durch Bedrucken und Aufbringen eines Fotos),
- zur Zeiterfassung (bei Benutzen eines Timestamp-Servers),
- für Gebäudezutritt (eine Smartcard kann sowohl mit Kontaktchip, als auch berührungslos über einen RFID-Chip, als "Schlüssel" zur Türöffnung benutzt werden).
Man kann aber auch bei guten Sicherheitslösungen die Sicherheit noch weiter erhöhen. Dies kann man beispielsweise durch den Einsatz von sogenannten OTPs erreichen. Ein OTP ist ein Einmal-Passwort (One Time Password), welches nur begrenzte Gültigkeit hat. Die Gültigkeit kann entweder zeitbasiert (z.B. 4 Stunden) oder eventbasiert (z.B. für eine Session) oder auch eine Mischung aus beidem (z. B. 1 Session mit maximal 2 Stunden) sein. Somit benutzt man bei jedem Login ein neu generiertes, meist 8-12stelliges, Passwort.
Single-Sign-On
„Digitale Identitäten können viel leichter gestohlen werden als die gängigen Mittel zum Identitätsnachweis im täglichen Leben.“ - Peter Litzenberger, Product Manager Activ Identity bei Triple AcceSSS IT, österreichisches Value Added Distributionshaus für IT-Infrastruktur- und Sicherheitslösungen
Dadurch, dass Single-Sign-On diese Aufgaben übernimmt, können sehr strenge Passwort-Policies angewendet werden. Es können sehr sichere (vielstellige und kryptische) Passwörter, verbunden mit oftmaligem Passwortwechsel, zum Einsatz kommen. Die Administratoren haben mehr Ressourcen frei, da es bei den Usern keine vergessenen Passwörter beziehungsweise den damit verbundenen Aufwand mehr gibt. Die Authentifizierung(en) des Users laufen im Hintergrund ab und machen kein weiteres Eingreifen notwendig.
Eine der fortschrittlichsten Entwicklungen im Bereich der digitalen Identitäten ist sicherlich die Smartcard mit eingebautem Display und One-Time-Passwort Funktion. So kann die Authentifizierung im Büro über einen Smartcard-Reader erfolgen und wenn man sich von außerhalb ("Internet-Cafe", ...) einloggt, benutzt man die OTP-Funktion. Weiterer Vorteil: Der User muss sich keine sperrigen Token an den Schlüsselbund hängen, sondern kann die Karte sicher in der Brieftasche verwahren.
Abschließend sei noch gesagt, dass dieses Thema der "Starken digitalen Identitäten" auch ein wichtiger Schritt in Richtung Compliance ist. Compliance bedeutet die Befolgung von Richtlinien und die Erfüllung von Anforderungen. Um also Sicherheitsrichtlinien einzuhalten (egal, ob firmeninterne oder gesetzliche) wird man an sicheren digitalen Identitäten nicht vorbei sehen können. Und nachdem die Geschäftsführer der verschiedenen Unternehmen dafür die Verantwortung tragen, sei mir an dieser Stelle die Empfehlung erlaubt, unbedingt eine Lösung für "Starke digitale Identitäten" in Ihren Unternehmen einzuführen. Diese dienen hervorragend zur Vermeidung von externen wie auch internen Sicherheitslöchern.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Mag. Dominik Troger gehört seit 1992 zum MONITOR-Team. Er begann als News-Redakteur und betreute viele Jahre die MONITOR Weiterbildungsbeilage "Job Training". Seit dem Jahre 2000 war er als Chef vom Dienst tätig, mit Dezember 2009 übernahm er die Chefredaktion. 