Zwei-Faktor-Authentifizierung für den „Informationsmotor Analytics“: Über Smartphone und Co. Nutzer eindeutig identifizieren - Big Data-Infrastrukturen tokenlos absichern Autorin: Julia Manderbach, freie Journalisti

  1.000.000.000.000.000.000.000 Zettabyte – diese Datenmenge überschritt das globale digitale Universum erstmals im Jahre 2010, laut der IDC-Studie "Extracting value from Chaos". Die Sammlung, Verarbeitung und Analyse dieser enormen Datenmengen wird in der IT-Welt unter dem Phänomen „Big Data“ zusammengefasst. Um diese Informationsmasse handhaben zu können, bedarf es riesiger Infrastrukturen. Bedenkt man den Wert der Daten, die dort kursieren, darf die Sicherheit keinesfalls zu kurz kommen: Nur autorisiertes Personal sollte über Zugriffsrechte verfügen. Dies können Unternehmen einfach und flexibel mittels tokenloser Zwei-Faktor-Authentifizierung gewährleisten.

  • Thursday, 16th May 2013 Posted 11 years ago in by Phil Alsop

Um es mit den anschaulichen Worten von Peter Sondergaard, Senior Vice President des US-Marktforschungsunternehmens Gartner, zu sagen: „Die Information ist das Öl des 21. Jahrhunderts und Analytics der Verbrennungsmotor, der damit läuft." Ihm zufolge sei es eine der künftigen Kernaufgaben für Unternehmen, den „Rohstoff Information“ aus gewaltigen Datenmengen zu extrahieren und zu verarbeiten. Dies unterstreicht auch die aktuelle Investition in entsprechende Technologien: Nach Prognosen des Branchenverbands BITKOM wächst der deutsche Big-Data-Markt in diesem Jahr auf etwa 651 Millionen Euro Umsatz – eine Steigerung von ca. 85 Prozent im Vergleich zu 2012. Es wird erwartet, dass bis zum Jahr 2016 der Umsatz mit Big Data in Deutschland auf rund 1,7 Milliarden Euro ansteigt.

 

Beim Sammeln der Datenmengen kommen verschiedene Quellen in Frage, z.B. solche, die sowohl Menschen als auch Maschinen lesen können (beispielsweise Datenbanken), aber auch teilweise strukturierte Daten wie E-Mails sowie komplett unstrukturierte Dateien wie Bilder und Audiodateien, die keiner Datenbank angehören. Zahlreiche Firmen nehmen außerdem ihre Social Media-Konten aus Facebook, Twitter, XING, Google+ etc. hinzu, um Informationen zu gewinnen. Deren Daten erfahren sie meist über ein vom Anbieter bereitgestelltes Application Programming Interface (API). Auf dieselbe Weise lassen sich auch Daten von Google und Web Server Logs beziehen. Je nach Branche werden unterschiedliche Quellen „angezapft“: So interessiert ein B2C-Unternehmen beispielsweise die Wahrnehmung der eigenen Marke auf sozialen Plattformen, um darüber Kunden und ihre Bedürfnisse besser zu kennen. Für Healthcare-Firmen hingegen lohnt sich die Verwendung von Daten aus elektronischen Gesundheitsaufzeichnungen.

 

Wer darf den Datenschatz einsehen?

Unabhängig davon, um welche Branche es beim Thema Big Data geht: Administratoren müssen enorme Datenmengen handhaben. Außerdem benötigen weitere Personalangehörige wie z.B. Marketing-Verantwortliche oder HR-Manager Zugriff auf die Informationen, sofern sie mit ihnen arbeiten. Hier ist besondere Vorsicht geboten, aus mehreren Gründen. Einerseits sollten diejenigen, die auf den Datenspeicher zugreifen dürfen, nur die Informationen einsehen können, die für sie relevant sind. Andernfalls riskieren Unternehmen unabsichtliche oder wissentliche Verschiebungen, Kopien, Löschungen oder sogar Datendiebstahl. Dies impliziert außerdem, dass die IT-Abteilung verschiedene Rechte vergeben sollte, um die genannten Gefahren möglichst zu verhindern. Zweitens ist es wichtig, zu berücksichtigen, dass nicht nur im Unternehmen befindliche Rechner Zugang zum Infopool haben sollen, sondern auch Nutzer, die remote arbeiten, z.B. Home Office-Personal.

 

Dementsprechend müssen die Zugriffsrechte klug verteilt sowie sichere Zugänge eingerichtet werden, über die sich die User identifizieren können. Bis zuletzt galten Passwörter als gängigste und beste Lösung für den sicheren (Remote-)Zugriff. Auf den zweiten Blick ist dieses Vorgehen allerdings nicht problemfrei: Denn zum Beispiel sollten Passwörter möglichst komplex sein, damit sie nicht in Sekundenschnelle geknackt werden können. Jedoch lassen sich Codes wie „18!@oOXy6$1“ u.Ä. kaum merken. Daher wählen einige Mitarbeiter z.B. das „Prinzip Post-it“ und notieren ihre Zugangsdaten auf Zettel, die sie an ihrem Arbeitsplatz hinterlegen. Ein gefährliches Vorgehen: Findet ein Unbefugter die Notiz, kann er sich umgehend Zugang verschaffen. Abgesehen davon empfiehlt es sich, Passwörter regelmäßig zu ändern, was aber den IT-Mitarbeitern Mehrarbeit abverlangt und vom restlichen Personal ständige Umstellung fordert.

 

Gut kombiniert …

Die alleinige Authentifizierung per Passwort reicht oft nicht mehr aus. Zu den weiterführenden Methoden zählt die Zwei-Faktor-Authentifizierung. Sie sichert Log-In-Vorgänge besser ab, indem sie mehrere Mechanismen miteinander verbindet. Dazu erfordert sie mindestens zwei von drei möglichen Faktoren in Kombination:

·       etwas, das nur dem Nutzer selbst bekannt ist, wie z.B. eine PIN,

·       etwas Materielles, das ausschließlich der Nutzer besitzt, wie z.B. ein Mobiltelefon, und/oder

·       etwas, das untrennbar zu einem Nutzer gehört, wie z.B. den Fingerabdruck.

 

Auf diese Weise funktioniert beispielsweise das Geldabheben am Bankautomaten: Nur die Kombination aus Bankkarte und PIN-Nummer ermöglicht die Transaktion. Nachteil bei dieser Methode ist allerdings, dass der Anwender die Bankkarte (oder generell das Token für Unternehmenszwecke) stets mit sich führen muss – eine eher lästige Pflicht. Aus Unternehmensperspektive sind auch die Kosten für Tokens nicht zu unterschätzen. Zunächst bringt die Anschaffung Kosten mit sich, weitere Investitionen müssen eventuell für den Austausch im Falle des Verlusts oder bei Diebstahl getätigt werden.

 

… aber es geht auch weniger aufwendig

Ein neuer budgetschonender Ansatz kommt von tokenlosen Zwei-Faktor-Authentifizierungs­lösungen wie SecurAccess von Hersteller SecurEnvoy. Sie funktioniert ohne zusätzliches Token, stattdessen erhält der Nutzer für den Log-In einen dynamisch erzeugten Passcode über sein mobiles Endgerät (Smartphone, Tablet oder Laptop). Dieser „Faktor Passcode“ wird mit dem „Faktor Mitarbeiter“ kombiniert, der über einen Benutzernamen plus Passwort verfügt sowie eine persönliche Zugangslizenz besitzt. Auf diese Weise kann sich jeder Anwender eindeutig identifizieren. Je nach Einstellung empfängt der Nutzer den Passcode per SMS, E-Mail oder App auf sein Mobilgerät. In der kürzlich erschienenen SecurEnvoy Server Engine Version 7 kann sich der User seinen Code auch per Festnetzanruf ansagen lassen, sollte er z.B. aktuell weder Mobilfunk- noch Internetverbindung haben oder sein Mobilgerät verloren haben. Unabhängig von der Wahl der Passcodeübermittlung umgehen Unternehmen die Installation von Soft- oder Hardware auf privaten Endgeräten, die zu Firmenzwecken verwendet werden. Wenn also die Information das Öl des 21. Jahrhunderts ist und Analytics der Verbrennungsmotor, der damit läuft, dann ist die tokenlose Zwei-Faktor-Authentifizierung der Zündschlüssel, um den Motor zu starten.

 

Je nach Bedürfnissen und Empfangsqualitäten kann der IT-Administrator verschiedene Gültigkeitsspannen festlegen. So ist es z.B. möglich, dass ein Passcode nur einmalig gültig ist und sofort nach Eingabe automatisch verfällt. Daraufhin generiert das System umgehend einen neuen Code, den es per gewählter Zustellungsart versendet. Unabhängiger von Mobilfunk- oder Internetverbindungen sind Drei-Code-Log-Ins, die in einer SMS oder E-Mail gleich drei Codes übermitteln. Auch periodisch gültige Passcodes sind möglich, beispielsweise kann sich der Nutzer eine ganze Woche lang mit demselben Code einloggen. Des Weiteren kann der Nutzer eine App einsetzen, über die die Passcodes angezeigt werden. Sie kann auf jedem App-fähigen Device eingesetzt werden und lässt sich bei Bedarf von einem Gerät auf ein anderes verschieben. Nicht zuletzt kann die IT-Abteilung festlegen, wie viele fehlerhafte Log-Ins pro Anwender gestattet sind, bevor der Zugang dauerhaft gesperrt wird. Wird ein Passcode innerhalb seiner maximalen Gültigkeitsfrist nicht eingegeben, verfällt er und wird automatisch durch einen neuen ersetzt. So hat der Nutzer jederzeit einen gültigen Code zur Hand.

 

Fazit

Mit dem Vorhaben Big Data haben sich Unternehmen bereits genug für die Zukunft vorgenommen – Grund genug, nicht auch noch den Zugriff auf die Datenmengen zu verkomplizieren. Die Zwei-Faktor-Authentifizierung sorgt für abgesicherte und eindeutige Nutzeridentifizierungen, indem sie bei den Log-In-Vorgängen selbst gewählte Benutzernamen und Passwörter mit Passcodes plus Nutzerlizenzen verknüpft. Das besondere Plus liefert die tokenlose Arbeitsweise: Indem Geräte verwendet werden, die sowieso bereits im Firmennetzwerk Verwendung finden bzw. beim Nutzer vorhanden sind, muss das Unternehmen nur in die Installation der Lösung investieren. Zudem entstehen keinerlei Kosten für die sonst fällige Token-Einrichtung und -Ausgabe sowie bei Verlust oder Diebstahl. Nicht zuletzt erfährt die IT-Abteilung eine Entlastung, da die Mitarbeiter die Arbeit mit der Authentifizierungssoftware eigenständig kontrollieren und verwalten können; sie können sich so identifizieren, wie sie es möchten. Außerdem können die Nutzer eigenständig mehrere Geräte autorisieren oder im Falle eines Wechsels ab- und neu anmelden, während dabei nur eines zu jeder Zeit aktiv ist.