Authentifizierung in der Cloud
Cloudsicherheit ist ein komplexes und wichtiges Thema, das niemals genug Beachtung bekommen kann. Dennoch ist falsche Scheu aufgrund vor etwaigen Risiken gegenüber Cloud Computing unangebracht – sofern der Cloud-Anbieter seriös und verantwortlich handelt. Dazu gehört zum Beispiel die Integration einer verlässlichen Authentifizierung.
Für verlässliche Cloudanbieter hat die Sicherheit ihrer Daten oberste Priorität. Das führt in der Regel dazu, dass Daten in der Cloud sicherer aufbewahrt sind, als auf einem internen Server. Ein Grund: Die Cloud unterscheidet in der Regel nicht zwischen internen und externen Anfragen. Das Maß der Authentifizierung ist bei beiden Anfragen also gleich hoch, was die Sicherheit der Daten verbessert. Zur Authentifizierung gibt es verschiedene Prozesse und Maßnahmen.
Zwei-Faktor-Authentifizierung
Noch immer weit verbreitet bei allen Formen von mobilen Diensten und Internetdiensten jeder Art ist die Zwei-Faktoren-Authentifizierung, kurz 2FA. Am bekanntesten ist hierbei wohl die Zusendung eines Einmalpasswortes via SMS oder per E-Mail. Die Nachteile dieser Form der 2FA ist die fehlende Sicherheit.
Ist bei einem Smartphone etwa das Anzeigen von Nachrichten trotz Sperrbildschirm aktiviert, könnten auch Unbefugte schnell an ein entsprechendes Einmalpasswort gelangen. Des Weiteren sind SMS in der Regel auf einem Device gespeichert und so auch nach einem Austausch der SIM-Karte auslesbar. Nicht zuletzt können SMS durch Schwachstellen bei der Übertragungsverschlüsselung abgegriffen werden.
E-Mail Authentifizierungen sind ähnlich problematisch. Auch hier sind Einmalpasswörter schnell am Bildschirm auch von Unbefugten unbemerkt erfasst. Außerdem ist das Kapern von E-Mail-Konten leider keine Seltenheit. Viel zu schwache Passwörter und nur vermeintlich schwer zu beantwortende Sicherheitsfragen öffnen vielen Tür und Tor. Das gilt umso mehr, wenn die eigenen E-Mail-Passwörter am Arbeitsplatz aus Bequemlichkeit via Erinnerungsfunktion gespeichert werden.
Die 2FA hat jedoch trotzdem Vorteile. Der wohl größte Vorteil ist dabei, dass keine weiteren Tokens zur Authentifizierung verwendet werden müssen, der Prozess für jeden einfach zu verstehen ist und trifft daher bei Mitarbeitern eines Unternehmens auf eine große Akzeptanz. Eine sicherere Alternative der genannten 2FA-Maßnahmen ist die Nutzung einer Authenticator-App. Diese generiert in der Regel alle 30 Sekunden ein Einmalpasswort, das bei Bedarf genutzt werden kann. Der Algorithmus dahinter ist der OATH TOTP (Time-based One-Time Password).
Die Codes werden auf Basis eines Schlüssels generiert, der nur dem Nutzer und dem Server bekannt ist und der im Falle des Verlustes des Smartphones auch der Reactivation dient. Durch den schnellen, zeitlichen Verfall der Einmalpasswörter ist ein Abgreifen durch Unbefugte kaum möglich. Allerdings muss auch hier sichergestellt werden, dass kein Fremdzugriff auf dem Smartphone erfolgt.
Multi-Faktor-Authentifizierung
Ein sehr großer Prozentsatz an Sicherheitsvorfällen sind auf zu schwache, ausspionierte oder gestohlene Passwörter zurückzuführen. Die Multi-Faktoren Authentifizierung, die inzwischen bei vielen Cloud-Anbietern zum Sicherheitsstandard gehört, soll diese Sicherheitslücke verlässlich schließen.
Kennzeichnend für die Multi-Faktoren Authentifizierung, abgekürzt MFA, ist, dass sie nicht nur Faktoren heranzieht, die leicht austauschbar und von anderen replizierbar sind, wie etwa ein Passwort oder eine Einmal-Authentifizierung. Sie bezieht auch Faktoren ein, die nicht replizierbar sind und einen Zugriff Unbefugter beinahe unmöglich machen.
An einem Beispiel werden die Unterschiede zwischen 2FA und MFA deutlicher: Gehen wir von einer 2FA aus, bei dem der User einen Nutzernamen und ein relativ sicheres, über ein Device vermitteltes Einmalpasswort eingibt und so Zugriff auf die Cloud bekommt. Bei der MFA überprüft das System zusätzlich, ob physische Besonderheiten ebenfalls zutreffen.
Diese können sein:
- Die Tippgeschwindigkeit beim eingeben des Passworts, die relativ einzigartig ist.
- Ein Fingerabdruckscan oder andere biometrische Faktoren in Kombination mit entsprechender Hardware
- Ein technischer Token wie etwa ein USB Stick oder eine Identity Card
- Eine Überprüfung der IP oder des genutzten Devices im Hintergrund.
Tauchen hier verdächtige Unregelmäßigkeiten auf, kann der Zugang zur Cloud automatisch gesperrt werden, bis der Nutzer seine Identität für etwa den neuen Laptop und den neuen Standort bestätigt.
Vor allem der Einbezug biometrischer Faktoren macht die MFA zu einem der sichersten Authentifizierungsverfahren überhaupt, weswegen sie sogar für sehr sensible Daten geeignet ist.
Single-Sign-on gut für schnellen Zugriffsentzug
Single Sign-on, kurz SSO, kommt zusätzlich zu den genannten Authentifizierungsverfahren zum Einsatz. Mit diesem System hat ein Nutzer nur noch ein Passwort für alle Anwendungen und Bereiche, auf die er Zugriff erhält. Da er sich nicht mehr viele verschiedene Passwörter merken muss, stößt dieses Verfahren auf viel Anerkennung bei Mitarbeitern. Gleichzeitig ist es im Fall eines Verlassens der Firma für die Sicherheitsverantwortlichen einfach, alle Zugriffe sofort und gleichzeitig zu sperren. Vor allem beim Wechsel zur Konkurrenz ist dies von deutlichem Vorteil.
Ein weiterer Vorteil von SSO ist, dass die Gefahr von Phishing deutlich reduziert wird. Die Anmeldeoberfläche ist für den Benutzer immer die gleiche. Unregelmäßigkeiten werden in der Regel sofort erkannt, sodass es weniger zu einer versehentlichen und unvorsichtigen Eingabe auf Phishingseiten kommt.
Der größte Nachteil von Single Sign-on liegt jedoch ebenfalls auf der Hand. Wird das Passwort geklaut, hat der Dieb auf alle Anwendungen und Bereiche auf einmal Zugriff. Um dem entgegenzuwirken ist es daher sinnvoll SSO mit MFA zu koppeln. Für die größtmögliche Sicherheit mit biometrischen Authentifizierungs-Faktoren.
Hardware-Lösungen zur Authentifizierung
Die vorangegangenen Kapitel haben das Thema Hardware bei der Authentifizierung bereits gestreift. Hardware kann bei allen Formen der Authentifizierung (2FA, MFA, SSO) zum Einsatz kommen. Hierbei wird ein Hardware Token wie etwa ein USB-Stick, eine Identity Card oder ein Chip zur Authentifizierung genutzt und ist ein stützender Faktor. Ein Vorteil dieser Lösung ist, dass er als eine Art Schlüssel fungiert und somit sicherer ist, als eine reine auf Software gestützte Authentifizierung. Auch Biometric Scanner zählen zu den unterstützenden Hardware Lösungen.
Der Nachteil bei allen Hardware Lösungen ist der teilweise hohe Anschaffungspreis und die Manipulations- und Diebstahlgefahr. Gerade USB-Sticks und Identity Cards sollten zu keinem Zeitpunkt offen und frei zugänglich herumliegen und Mitarbeiter dahingehend geschult werden.
MFA, 2FA, SSO, Token
Welche Lösung für ein Unternehmen die Richtige ist, hängt stark von den technischen Gegebenheiten im Unternehmen und der Beurteilung der Daten ab. Cloud Anbieter ermöglichen in der Regel eine sehr hohe Datensicherheit und bieten verschiedene Authentifzierungsmaßnahmen an, je nach den Anforderungen und Bedürfnissen des Kunden. Zu beachten ist hier natürlich, dass der Cloud Anbieter nur gegen Zugriff über seine Systeme die Verantwortung tragen kann und jeder einzelne Mitarbeiter eine Sorgfaltspflicht in Hinsicht auf die Datensicherheit hat.