Authentifizierung in der Cloud

Cloudsicherheit ist ein komplexes und wichtiges Thema, das niemals genug Beachtung bekommen kann. Dennoch ist falsche Scheu aufgrund vor etwaigen Risiken gegenüber Cloud Computing unangebracht – sofern der Cloud-Anbieter seriös und verantwortlich handelt. Dazu gehört zum Beispiel die Integration einer verlässlichen Authentifizierung.

Für verlässliche Cloudanbieter hat die Sicherheit ihrer Daten oberste Priorität. Das führt in der Regel dazu, dass Daten in der Cloud sicherer aufbewahrt sind, als auf einem internen Server. Ein Grund: Die Cloud unterscheidet in der Regel nicht zwischen internen und externen Anfragen. Das Maß der Authentifizierung ist bei beiden Anfragen also gleich hoch, was die Sicherheit der Daten verbessert. Zur Authentifizierung gibt es verschiedene Prozesse und Maßnahmen.

Zwei-Faktor-Authentifizierung

Noch immer weit verbreitet bei allen Formen von mobilen Diensten und Internetdiensten jeder Art ist die Zwei-Faktoren-Authentifizierung, kurz 2FA. Am bekanntesten ist hierbei wohl die Zusendung eines Einmalpasswortes via SMS oder per E-Mail. Die Nachteile dieser Form der 2FA ist die fehlende Sicherheit.

Ist bei einem Smartphone etwa das Anzeigen von Nachrichten trotz Sperrbildschirm aktiviert, könnten auch Unbefugte schnell an ein entsprechendes Einmalpasswort gelangen. Des Weiteren sind SMS in der Regel auf einem Device gespeichert und so auch nach einem Austausch der SIM-Karte auslesbar. Nicht zuletzt können SMS durch Schwachstellen bei der Übertragungsverschlüsselung abgegriffen werden.

E-Mail Authentifizierungen sind ähnlich problematisch. Auch hier sind Einmalpasswörter schnell am Bildschirm auch von Unbefugten unbemerkt erfasst. Außerdem ist das Kapern von E-Mail-Konten leider keine Seltenheit. Viel zu schwache Passwörter und nur vermeintlich schwer zu beantwortende Sicherheitsfragen öffnen vielen Tür und Tor. Das gilt umso mehr, wenn die eigenen E-Mail-Passwörter am Arbeitsplatz aus Bequemlichkeit via Erinnerungsfunktion gespeichert werden.

Die 2FA hat jedoch trotzdem Vorteile. Der wohl größte Vorteil ist dabei, dass keine weiteren Tokens zur Authentifizierung verwendet werden müssen, der Prozess für jeden einfach zu verstehen ist und trifft daher bei Mitarbeitern eines Unternehmens auf eine große Akzeptanz. Eine sicherere Alternative der genannten 2FA-Maßnahmen ist die Nutzung einer Authenticator-App. Diese generiert in der Regel alle 30 Sekunden ein Einmalpasswort, das bei Bedarf genutzt werden kann. Der Algorithmus dahinter ist der OATH TOTP (Time-based One-Time Password).

Die Codes werden auf Basis eines Schlüssels generiert, der nur dem Nutzer und dem Server bekannt ist und der im Falle des Verlustes des Smartphones auch der Reactivation dient. Durch den schnellen, zeitlichen Verfall der Einmalpasswörter ist ein Abgreifen durch Unbefugte kaum möglich. Allerdings muss auch hier sichergestellt werden, dass kein Fremdzugriff auf dem Smartphone erfolgt.

Multi-Faktor-Authentifizierung

Ein sehr großer Prozentsatz an Sicherheitsvorfällen sind auf zu schwache, ausspionierte oder gestohlene Passwörter zurückzuführen. Die Multi-Faktoren Authentifizierung, die inzwischen bei vielen Cloud-Anbietern zum Sicherheitsstandard gehört, soll diese Sicherheitslücke verlässlich schließen.

Kennzeichnend für die Multi-Faktoren Authentifizierung, abgekürzt MFA, ist, dass sie nicht nur Faktoren heranzieht, die leicht austauschbar und von anderen replizierbar sind, wie etwa ein Passwort oder eine Einmal-Authentifizierung. Sie bezieht auch Faktoren ein, die nicht replizierbar sind und einen Zugriff Unbefugter beinahe unmöglich machen.

An einem Beispiel werden die Unterschiede zwischen 2FA und MFA deutlicher: Gehen wir von einer 2FA aus, bei dem der User einen Nutzernamen und ein relativ sicheres, über ein Device vermitteltes Einmalpasswort eingibt und so Zugriff auf die Cloud bekommt. Bei der MFA überprüft das System zusätzlich, ob physische Besonderheiten ebenfalls zutreffen.

Diese können sein:

Die Tippgeschwindigkeit beim eingeben des Passworts, die relativ einzigartig ist.

Ein Fingerabdruckscan oder andere biometrische Faktoren in Kombination mit entsprechender Hardware

Ein technischer Token wie etwa ein USB Stick oder eine Identity Card

Eine Überprüfung der IP oder des genutzten Devices im Hintergrund.

Tauchen hier verdächtige Unregelmäßigkeiten auf, kann der Zugang zur Cloud automatisch gesperrt werden, bis der Nutzer seine Identität für etwa den neuen Laptop und den neuen Standort bestätigt.
Vor allem der Einbezug biometrischer Faktoren macht die MFA zu einem der sichersten Authentifizierungsverfahren überhaupt, weswegen sie sogar für sehr sensible Daten geeignet ist.

Single-Sign-on gut für schnellen Zugriffsentzug

Single Sign-on, kurz SSO, kommt zusätzlich zu den genannten Authentifizierungsverfahren zum Einsatz. Mit diesem System hat ein Nutzer nur noch ein Passwort für alle Anwendungen und Bereiche, auf die er Zugriff erhält. Da er sich nicht mehr viele verschiedene Passwörter merken muss, stößt dieses Verfahren auf viel Anerkennung bei Mitarbeitern. Gleichzeitig ist es im Fall eines Verlassens der Firma für die Sicherheitsverantwortlichen einfach, alle Zugriffe sofort und gleichzeitig zu sperren. Vor allem beim Wechsel zur Konkurrenz ist dies von deutlichem Vorteil.

Ein weiterer Vorteil von SSO ist, dass die Gefahr von Phishing deutlich reduziert wird. Die Anmeldeoberfläche ist für den Benutzer immer die gleiche. Unregelmäßigkeiten werden in der Regel sofort erkannt, sodass es weniger zu einer versehentlichen und unvorsichtigen Eingabe auf Phishingseiten kommt.

Der größte Nachteil von Single Sign-on liegt jedoch ebenfalls auf der Hand. Wird das Passwort geklaut, hat der Dieb auf alle Anwendungen und Bereiche auf einmal Zugriff. Um dem entgegenzuwirken ist es daher sinnvoll SSO mit MFA zu koppeln. Für die größtmögliche Sicherheit mit biometrischen Authentifizierungs-Faktoren.

Hardware-Lösungen zur Authentifizierung

Die vorangegangenen Kapitel haben das Thema Hardware bei der Authentifizierung bereits gestreift. Hardware kann bei allen Formen der Authentifizierung (2FA, MFA, SSO) zum Einsatz kommen. Hierbei wird ein Hardware Token wie etwa ein USB-Stick, eine Identity Card oder ein Chip zur Authentifizierung genutzt und ist ein stützender Faktor. Ein Vorteil dieser Lösung ist, dass er als eine Art Schlüssel fungiert und somit sicherer ist, als eine reine auf Software gestützte Authentifizierung. Auch Biometric Scanner zählen zu den unterstützenden Hardware Lösungen.

Der Nachteil bei allen Hardware Lösungen ist der teilweise hohe Anschaffungspreis und die Manipulations- und Diebstahlgefahr. Gerade USB-Sticks und Identity Cards sollten zu keinem Zeitpunkt offen und frei zugänglich herumliegen und Mitarbeiter dahingehend geschult werden.

MFA, 2FA, SSO, Token

Welche Lösung für ein Unternehmen die Richtige ist, hängt stark von den technischen Gegebenheiten im Unternehmen und der Beurteilung der Daten ab. Cloud Anbieter ermöglichen in der Regel eine sehr hohe Datensicherheit und bieten verschiedene Authentifzierungsmaßnahmen an, je nach den Anforderungen und Bedürfnissen des Kunden. Zu beachten ist hier natürlich, dass der Cloud Anbieter nur gegen Zugriff über seine Systeme die Verantwortung tragen kann und jeder einzelne Mitarbeiter eine Sorgfaltspflicht in Hinsicht auf die Datensicherheit hat.

Cookie	Dauer	Beschreibung
_ga	2 years	Das _ga-Cookie, das von Google Analytics installiert wird, berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen.
_ga_YXMZ98M2VB	2 years	Dieses Cookie wird von uns zu Analysezwecken installiert.
_gid	1 day	Das von uns installierte _gid-Cookie speichert Informationen darüber, wie Besucher eine Website nutzen, und erstellt einen Analysebericht über die Leistung der Website. Zu den gesammelten Daten gehören die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen.
cookielawinfo-checkbox-advertisement	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers für die Cookies der Kategorie "Werbung" zu erfassen.
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Functional" zu speichern.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Andere" zu speichern.
CookieLawInfoConsent	1 year	Speichert den Standard-Schaltflächenstatus der entsprechenden Kategorie & den Status von CCPA/DSGVO. Es funktioniert nur in Koordination mit dem primären Cookie.
mautic_device_id	1 year	Dieser Cookie wird von dem Anbieter Mautic gesetzt und dient der Identifizierung von Besuchern über Besuche und Geräte hinweg. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mautic_referer_id	30 minutes	Dieses Cookie wird von dem Anbieter Mautic gesetzt. Dieses Cookie wird für Marketingzwecke verwendet. Es hilft bei der Verfolgung von Personen, die Formulare einreichen.
mtc_id	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mtc_sid	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.

Cookie	Dauer	Beschreibung
_gat_UA-64546682-1	1 minute	Eine Variante des _gat-Cookies, das von Google Analytics und Google Tag Manager gesetzt wird, um Website-Besitzern zu ermöglichen, das Besucherverhalten zu verfolgen und die Leistung der Website zu messen. Das Musterelement im Namen enthält die eindeutige Identitätsnummer des Kontos oder der Website, auf die es sich bezieht.
_gcl_au	3 months	Wird von Google Tag Manager zur Verfügung gestellt, um die Werbeeffizienz von Websites zu testen, die deren Dienste nutzen.
AnalyticsSyncHistory	1 month	Mit diesem Cookie speichert LinkedIn, wann eine Synchronisierung mit dem Cookie „lms_analytics cookie“ stattgefunden hat.

Cookie	Dauer	Beschreibung
_fbp	3 months	Dieses Cookie wird von Facebook gesetzt, um nach dem Besuch der Website entweder auf Facebook oder auf einer digitalen Plattform, die von Facebook-Werbung unterstützt wird, Werbung anzuzeigen.
_uetsid	1 day	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
_uetvid	1 year 24 days	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
bcookie	1 year	LinkedIn setzt dieses Cookie aufgrund LinkedIn-Share-Buttons und Anzeigen-Tags, um die Browser-ID zu erkennen.
bscookie	1 year	LinkedIn setzt dieses Cookie, um auf der Website durchgeführte Aktionen zu speichern.
fr	3 months	Facebook setzt dieses Cookie, um Nutzern relevante Werbung zu zeigen, indem es das Nutzerverhalten im gesamten Web auf Websites verfolgt, die mit dem Facebook-Pixel oder dem Facebook Social Plugin ausgestattet sind.
lang	session	LinkedIn setzt dieses Cookie, um sich die Spracheinstellung eines Nutzers zu merken.
li_gc	5 months 27 days	Mit diesem Cookie wird von LinkedIn die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.
lidc	1 day	LinkedIn setzt das lidc-Cookie, um die Auswahl des Rechenzentrums zu erleichtern.
MUID	1 year 24 days	Bing setzt dieses Cookie, um einzelne Webbrowser zu erkennen, die Microsoft-Seiten besuchen. Dieses Cookie wird für Werbung, Website-Analysen und andere Vorgänge verwendet.
test_cookie	15 minutes	Der test_cookie wird von doubleclick.net gesetzt und dient dazu, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
UserMatchHistory	1 month	LinkedIn setzt dieses Cookie für die Synchronisierung der LinkedIn Ads ID.

Cookie	Dauer	Beschreibung
_chatwoot_session	session	Wird von Chatwoot verwendet, um die Benutzersitzung zu erhalten.
cw_conversation	1 year	Dieses Cookie ermöglicht es Chatwoot, die Konversation aufrechtzuerhalten, wenn der Kontakt durch die Webseiten navigiert / die Website später erneut besucht.

Cookie	Dauer	Beschreibung
csrf_token	10 years	No description available.
new_session	session	Keine Beschreibung verfügbar.
session_data	10 years	Keine Beschreibung verfügbar.
show_cookie_banner	session	Zeigt das Cookie als Banner.

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

Authentifizierung in der Cloud

Zwei-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung

Single-Sign-on gut für schnellen Zugriffsentzug

Hardware-Lösungen zur Authentifizierung

MFA, 2FA, SSO, Token

Mehr zum Thema:

Lösungen

Compute

Dev Tools

Storage

Netzwerk

Community