Zertifikatsbasierte Authentifizierung, eine Strategie zur umfassenden Informationssicherheit von Lila Kee 

Es ist noch gar nicht so lange her, da konnten Unternehmen sich mit Firewalls und Virenscannern auf die Sicherheitsmaßnahmen an der Peripherie ihres Netzwerkes konzentrieren. Das hat sich aus vielerlei Gründen radikal geändert: Mobility, BYOD, Cloud, Virtualisierung und die Professionalisierung von Hackerattacken, um nur die wichtigsten zu nennen. Daraus ergeben sich fundamentale Fragen für die IT-Sicherheit. Zertifikatsbasierte Authentifizierung kann ein erster Schritt sein, um Informationssicherheit strategisch zu planen und Best Practices umzusetzen. Dieser Text skizziert wie zertifikatsbasierte Authentifizierung arbeitet und welche Vorteile sie gegenüber anderen Methoden bietet.

  • Thursday, 28th November 2013 Posted 11 years ago in by Phil Alsop

Informationssicherheit ist für Unternehmen zu einem beweglichen Ziel geworden. IT-Sicherheitsexperten müssen sich ständig verändernden Bedingungen anpassen. Und das bei stabilen oder gar sinkenden Budgets. Kein leichter Job.Angesichts einer Flut von Aufgaben bekommt der Notfalleinsatz nicht selten den Vorzug vor Best Practices und IT-Sicherheitsexperten reagieren unmittelbar auf eine spezifische Bedrohung oder mit Lösungen, die schnellstmöglich wieder „compliant“ machen. Langfristig die teurere Variante.

Dies bestätigt der Global Information Security Survey 2011 von Ernst & Young: 31 % der Befragten hatten in den vergangenen 18 Monaten in Hard- oder Software investiert, die sich als leistungsschwach erwies oder die versagte. Eine weitere unerwünschte Nebenwirkung: der tatsächliche Status der Informationssicherheit wird fälschlicherweise  überschätzt. Laut einer Umfrage von Price Waterhouse Coopers zum Global State of Information Security von 2012, gaben über 70 % der Befragten an, auf die Effektivität ihrer Systeme zu vertrauen. Aber nur 37 % der Befragten verfügten tatsächlich über eine Sicherheitsstrategie für mobile Geräte. Letzten Endes hatten lediglich 52 % der von Ernst & Young Befragten eine dokumentierte Sicherheitsstrategie.

Die Schlussfolgerung kann also nur heißen, eine umfassende Sicherheitsrichtlinie zu entwickeln und nach Best-Practices-Kriterien umzusetzen. Zugriffskontrolle und Identitätsverwaltung sind dabei Kernbereiche. Zertifikatsbasierte Authentifizierung ist ein Beispiel für eine benutzerfreundliche Lösung, die Desktops, mobile Endgeräte und Cloud-Anwendungen einbezieht.

ZERTIKATSBASIERTE AUTHENTIFIZIERUNG

Zertifikatsbasierte Authentifizierung nutzt ein digitales Zertifikat (Anmeldeinformationen), um einen Benutzer und ein Gerät (oder mehrere Geräte), das von einem bekannten Benutzer im Netzwerk verwendet wird zu identifizieren. Sie wird oft mit traditionellen Methoden zur Benutzerauthentifizierung wie einem Benutzernamen und einem Passwort kombiniert. Die Methode verifiziert, dass die mit dem Netzwerk verbundenen Geräte diejenigen sind, die dafür zugelassen sind. In Kombination mit der Benutzer-authentifizierung kann man also eindeutig verifizieren, dass Benutzer A sich mit Laptop/PC B eingeloggt hat, und ob dieser Laptop tatsächlich für Benutzer A registriert ist. Falls ja, wird dem Benutzer mit diesem Gerät Zugriff auf das Netzwerk gewährt. Die hier verwendeten digitalen Zertifikate sind die gleichen wie andere digitale Zertifikate, die für sichere Web-Services (SSL) oder E-Mail-/Dokumentensignaturen (digitale Signaturen) verwendet werden. In diesem Fall sind die Zertifikate, im Gegensatz zu den Zertifikaten die einem bestimmten Webserver oder einer Person zugewiesen sind, hier einem bestimmten Gerät zugewiesen.

WIE FUKTIONIERT’S IM EINZELNEN?

Zunächst muss ein Administrator die Zertifikate generieren und Geräten zuweisen. Dies geschieht in der Regel über ein Zertifikatsmanagement-Portal oder ein webbasiertes Front-End. Der Administrator konfiguriert Benutzerverzeichnisse und Netzwerksicherheitssysteme, sodass sie bestimmten Benutzern und Geräten für die Authentifizierung vertrauen, indem er die digitalen Zertifikate der fraglichen Benutzer und/oder Geräte importiert. Die Geräte werden ebenfalls mit den Zertifikaten der Server konfiguriert.

Will sich ein Benutzer einloggen, wird vom Gerät eine Zugriffsanforderung an das Netzwerk gesendet. Nachrichten werden zwischen Gerät und Server verschlüsselt, gesendet, entschlüsselt und zurückgesendet. Dieser Handshake-Prozess wird solange zwischen Gerät und Server fortgesetzt, bis beide überzeugt sind, dass alle gesendeten Nachrichten korrekt entschlüsselt wurden und die Anmeldeinformationen einwandfrei sind. Die gegenseitige Authentifizierung stellt sicher, dass das Gerät sich mit dem Server verbindet, den es erwartet (da nur er die Nachricht mit seinen Anmeldeinformationen entschlüsseln kann) und der Server verifiziert, dass sich das richtige Gerät verbindet (da nur dieses die Nachricht mit seinen Anmeldeinformationen entschlüsseln kann). Nach der Bestätigung kann der Server dem Gerät Zugriff gewähren oder weitere Methoden zur Benutzerauthentifizierung anfordern, abhängig von den zu verwendenden Daten oder dem jeweiligen Netzwerk. Die Zertifikatsverteilung ist heutzutage in den meisten Betriebssystemen relativ ausgereift. Während die Benutzer sich wie üblich gegenüber dem Netzwerk mit ihren Anmelde-informationen authentifizieren, werden ihre Identitäten und Geräte mit starken zertifikatsbasierten Anmeldeinformationen transparent authentifiziert.

           

Welche kann was: Authentifizierungsmethoden im Vergleich

Die Authentifizierung wird in der Regel mit 'Faktoren' beschrieben: etwas, das Sie kennen (ein Passwort), etwas, das Sie besitzen (ein physikalischer Token) oder etwas, das Sie sind (wie Ihr Fingerabdruck).

Kombiniert man verschiedene Faktoren zur Authentifizierung werden mehrere Abwehrebenen gebildet, und man vermeidet den gefürchteten Single-Point-of-Failure. Mehr Faktoren bedeuten aber nicht automatisch mehr Sicherheit, denn die gewählten Methoden wirken sich auf Nutzer, Verhalten und Geschäftsprozesse aus. Digitale Gerätezertifikate sind beispielsweise 'etwas, das Sie besitzen', und das Gerät wird neben Benutzernamen und Passwort ('etwas, das Sie kennen') Teil der Authentifizierung, ohne dass weitere physikalische Geräte oder Schritte notwendig sind.

Wie sehen diese anderen Authentifizierungsmethoden im Vergleich aus?

·         Einmal-Kennwort (OTP)- Token sind traditionell physikalische Token. Sie verfügen über einen kleinen Bildschirm, der eine vom Gerät erzeugte Zufallszahl anzeigt. Der Benutzer gibt bei der Anmeldung diese Zahl neben einem PIN-Code ein, oft zusätzlich mit einem Passwort. Der PIN verhindert, dass jemand einfach das Token selbst stiehlt. Diese Geräte erfüllen den 'etwas, das Sie haben'-Faktor. Aber: es handelt sich um ein weiteres Gerät, das verloren gehen und der Nutzer sich unter Umständen im entscheidenden Moment nicht einloggen kann. OTP-Lösungen sind auch als Apps für mobile Geräte erhältlich. Aber auch hier muss das mobile Gerät griffbereit sein. Es ist zudem nicht ganz trivial, zwischen Apps zu wechseln, will man sich in eine andere App auf dem gleichen mobilen Gerät einloggen.

·          SMS-Authentifizierung fügt einen zweiten Faktor hinzu. SMS-basierte Systeme senden eine Textnachricht an das Handy des Benutzers, nachdem er sich mit Benutzernamen und Passwort eingeloggt hat. Der Benutzer gibt die SMS-Nachricht ein, wenn er dazu aufgefordert wird. Wie bei handy-basierten OTP muss der Benutzer beim Einloggen sein Mobiltelefon zur Verfügung haben, und Apps zu wechseln bleibt unbequem.

·          Out -of-?Band –Authentifizierung. Der Benutzer erhält während der Authentifizierung einen Anruf auf seinem Handy oder Festnetz und wird aufgefordert, eine Nummer einzugeben oder eine kurze Formel zu wiederholen. Ausgehend von der Antwort erlaubt das System den Zugriff. Die Out-of-Band-Authentifizierung erfordert, dass der Benutzer einen Anruf annimmt, je nach Arbeitssituation oder -ort kann das störend oder unmöglich sein.

·          Smart Card / USB-Token mit digitalen Zertifikaten, die den Benutzer identifizieren, stellen gleichzeitig mehrere Faktoren zur Authentifizierung bereit. Sie fordern zwingend, dass man Karte oder Token besitzt sowie über ein Passwort verfügt, um die verschiedenen Zertifikate der Karte zu entsperren (oft jeweils eines für die Karte und Benutzer) und sogar biometrische Authentifizierung (siehe unten). Der Nutzer kann Smart Cards mit Bild, Namen und Zugehörigkeit personalisieren. Dies dient als logische Authentifizierung (Netzwerk-Login) und erlaubt außerdem den physikalischen Zugang zu einem Gebäude. Eine sichere Form der Authentifizierung, die allerdings ihren Preis hat: Karte und Token müssen vorliegen, für mobile Endgeräte ist oft ein zusätzliches Lesegerät notwendig.

 ·        Biometrische Authentifizierung bildet den dritten Faktor der Authentifizierung ab: etwas, das Sie sind, wie Ihr Fingerabdruck, Ihr Gesicht, Ihre Iris oder Ihre Unterschrift. Es gibt jedoch im Wesentlichen drei Probleme:


o    Die Verfügbarkeit von Sensoren an Geräten, auf die der Benutzer zugreifen muss: Der Laptop hat vielleicht einen integrierten Fingerabdrucksensor, aber das Tablet nicht. Oder die Sensoren sind vorhanden, aber nicht empfindlich genug für biometrische Daten.

o    Das Umfeld, in dem biometrische Daten erfasst werden: Die Hand des Benutzers steckt beispielsweise gerade im Handschuh, wenn er seinen Finger scannen muss, oder am jeweiligen Standort ist es für eine Gesichtserkennung zu dunkel.

o    Die Privatsphäre: Benutzer fühlen sich unwohl damit ihre biometrischen Daten auszuliefern.




Authentifizierungs-methode


Erfordert zusätzliches physikalisches Gerät


Erfordert Handy des Benutzers


Zusatz-schritt für Benutzer?


Sicherheit im Vergleich zu zertifikatsbasierte Authentifizierung im Netzwerk

Zertifikatsbasierte Authentifizierung im Netzwerk


NEIN


NEIN


NEIN

--


Benutzername und Passwort


NEIN


NEIN


NEIN


       -


Einmalkennwort1


JA


EVTL.


JA


=


SMS


NEIN


JA


JA


=


Out -of-?Band


NEIN


JA


JA


=


Smart Card / USB-Token


JA


NEIN


JA


+


Biometrie2


EVTL.


NEIN


EVTL.


+


 

Abb.: Mehrstufige Authentifizierung:Es ist auch möglich mehrere Authentifizierungsmethoden aus der obigen Liste als zusätzliche Sicherheitsebenen übereinander zu legen.

Der Grad der Authentifizierung sollte gegen die Risiken für ein bestimmtes Netzwerk, System oder für einen Datensatz abgewogen werden.


1. OTP 'Software' -Token können auf einem mobilen Gerät ausgeführt werden, Benutzer benötigen kein 3. Gerät.

2 . Biometrische Daten können ein zusätzliches Lesegerät (z.B. Fingerabdruckscanner) erfordern. Sie können auch als einziges Authentifizierungsverfahren eingesetzt werden. Aber dies reduziert den Authentifizierungsprozess auf einen einzelnen Faktor. Biometrie kann wesentlich sicherer sein. Sie sollte aber immer noch als Teil eines mehrschichtigen Verfahrens eingesetzt werden.

Authentifizierungs- und Zugriffsverwaltungsanforderungen in gängigen regulatorischen Systemen

Health Insurance Portability and Accountability Act (HIPPA)

1996 verabschiedet, lieferte HIPAA neue Regeln für Krankenversicherungen und elektronische Patientenakten, 2003 als 'Security Rule' veröffentlicht. HIPAA schreibt eine Vielzahl von administrativen, technischen und physikalischen Kontrollen vor, die zwingend implementiert werden müssen. Das gilt auch für die Authentifizierung beim Zugriff auf geschützte Gesundheitsdaten. Zertifikatsbasierte Authentifizierung erfüllt diese Anforderungen. Auch bei der Zugriffsberechtigung: Zertifikate stellen sicher, dass autorisierte Benutzer auf Patientendaten von spezifischen PCs in geschützten Bereichen oder in eingeschränkten Teilen des Netzwerks zugreifen.

Payment Card Industry Data Security Standard (PCI-DSS)

Die Kreditkartenbranche reagierte auf Risiken und Verluste durch Kreditkartenbetrug, indem sie eine detaillierte Liste von Datenschutzanforderungen für Händler, Finanzinstitute, Kartenanbieter und assoziierte Unternehmen verfasste. Der erstmals 2004 veröffentlichte PCI Data Security Standard wurde mittlerweile auf Version 2.0 aktualisiert. PCI-DSS umfasst strenge Verfahren zur Zugriffskontrolle. Organisationen müssen mindestens einen Authentifizierungsfaktor für den allgemeinen Zugriff (etwas, das Sie kennen, besitzen oder sind) und Zwei-Faktor-Authentifizierung für den Remote-Zugriff verwenden. Zertifikatsbasierte Authentifizierung ist aufgrund des transparenten Ansatzes an dieser Stelle gut geeignet.


Richtlinie zur Authentifizierung des Federal Finance Institutions Examination Council (FFIEC)

Die FFIEC veröffentlichte im Jahr 2001 Regeln zum besseren Schutz beim Online-Banking. Die Finanzinstitute hatten entsprechend strengere Maßnahmen zur Benutzerauthentifizierung umzusetzen. Der Maßnahmenkatalog wurde 2005 in der "Authentication in an Internet Banking Environment"-Richtlinie aktualisiert. Das FFIEC schreibt, dass es die "Ein-Faktor-Authentifizierung als einzigem Kontrollmechanismus für risikoreiche Transaktionen mit Zugriff auf Kundendaten oder die Bewegung von Geldern zu anderen Parteien als unangemessen erachtet", und "Finanzinstitutionen sollten mehrstufige Authentifizierung, mehrere Sicherheitsebenen oder weitere Kontrollen implementieren, die angemessen umfangreich sind, um festgestellte Risiken zu entschärfen". Im Anhang zur Richtlinie wird die digitale Zertifikatsauthentifizierung empfohlen „als allgemein eine der stärkeren Authentifizierungstechnologien, da die gegenseitige Authentifizierung zwischen Client und Server Phishing und ähnliche Angriffe abwehrt."


FAZIT


IT-Abteilungen stehen unzähligen Herausforderungen gegenüber, um Unternehmen, Daten und Kunden zu schützen. Während dessen gibt es mehr und komplexere Regularien. Unternehmen sind gefragt, langfristige Sicherheitsziele festzulegen und mit ihren Geschäftsprozessen in Einklang zu bringen. Dazu gehören die formale Dokumentation der Sicherheitsrichtlinien, die regelmäßig überprüft werden sowie die entsprechenden Technologien. Zertifikatsbasierte Authentifizierung befördert effiziente Geschäftsprozesse und verbessert generell das Sicherheitsbewusstsein. Sie bietet, unabhängig von Compliance-Ziel oder Branche multifaktorielle Sicherheit, ohne ein zusätzliches Gerät oder Logins, die auf bestimmte Standorte beschränkt sind. Das gilt für Desktops wie für mobile Endgeräte.

 

Das sollten Sie tun: 


·      SSL-Zertifikate einsetzen, zum Schutz von Websites und für einen sicheren elektronischen Geschäftsverkehr

·      Authentifizierungszertifikate für den Zugriff auf Cloud-Dienste wie Google Docs und Microsoft SharePoint verwenden

·      Digitale Zertifikate für Einzelpersonen oder Unternehmen bereitstellen, zum Schutz von Integrität/Authentizität von Dokumenten und E-Mail-Nachrichten über digitale Signaturen und Zertifizierung

·      Code-Signing-Zertifikate einsetzen zum Schutz der Integrität von Softwarecode und Anwendungen, die über das Internet verbreitet werden

·      Lösungen zur Datenverschlüsselung implementieren