Serg Nvns - Fotolia
Passwortlose Authentifizierung für den modernen Arbeitsplatz
Smartphones, Tablets und die Cloud lösen die traditionellen IT-Grenzen auf. Eine flexible Sicherheitsbarriere am Endpunkt ist notwendig, meint Peter Machat von MobileIron.
Mobilgeräte und Cloud Computing machen es möglich: Der moderne Arbeitsplatz ist flexibel, und nicht auf lokale Grenzen reduziert. Kaum ist er irgendwo digital etabliert, ist er auch schon wieder umgezogen. Ob wir im Zug Mails bearbeiten, im häuslichen Garten Kundendaten analysieren oder in einem uns zur Verfügung gestellten fremden Büro Reiseanträge von Mitarbeitern freigeben: in allen Fällen definieren wir einen virtuellen Arbeitsplatz, der im wahrsten Wortsinn auf Knopfdruck wieder verschwindet und an anderer Stelle wiederauftaucht.
Mobilgeräte und Cloud Computing revolutionieren indes nicht nur klassische Büroarbeitsplätze, sondern betreffen auch den industriellen Bereich, etwa bei der Vermarktung von Investitionsgütern. So lassen sich durch die digitale Transformation der Arbeitswelt Maschinen aller Art, seien sie nun stehend, fahrend oder fliegend, kostengünstig, ortsunabhängig und zeitnah als komplettes Servicepaket anbieten. Warum soll man beispielsweise einen nackten Gabelstapler verkaufen, wenn man Wartung und Reparatur auch aus der Ferne bequem mitliefern kann? Defekte Teile lassen sich per Videoübertragung und Augmented-Reality-Mechanismen identifizieren und analysieren, Ersatzteile an einem 3D-Drucker produzieren, zum defekten Gerät bringen und mit einem Roboter einbauen. Und all dies wird über entsprechende Apps auf dem Tablet ferngesteuert.
Grenzlinien direkt am Gerät und an den Apps
Diese örtliche und zeitliche Unabhängigkeit birgt nicht nur ein großes Produktivitätspotenzial, sondern hat auch einen Preis. Der temporäre digitale Arbeitsplatz kommt nicht nur weitgehend ohne den traditionellen Kontext in Form von Gebäuden und eigens angeschafften Bürorequisiten aus, sondern passt auch nicht in den traditionellen IT-Sicherheitsrahmen mit genau definierten Grenzen (Firewall, DMZ). Im traditionellen Grenzregime für Desktops und Laptops konnte sich die IT auf die Kontrolle des Datenflusses konzentrieren; sie schottete das Netzwerk mit einem ganzen Arsenal von Sicherheitsmechanismen gegen verdächtige Operationen ab. Darüber hinaus mussten alle Geräte einer Domain nach Gruppenrichtlinien (Group Policy) klassifiziert sein, damit die jeweiligen Benutzerrechte auf dem System kontrolliert werden konnten. Entsprechende Richtlinien bestimmten beispielsweise die Passwortarchitektur oder Zugriffsrechte auf bestimmte Ordner. Ein solches Modell funktioniert indes nur, wenn alle Geräte permanent mit einem LAN verbunden sind. In einem Umfeld, bei dem die Endgeräte nur hin und wieder eine Verbindung mit dem Netzwerk haben, ist es nicht flexibel genug.
Die Konsequenzen, die sich aus dem sich ausbreitenden Einsatz von mobilen Endgeräten und Cloud-Technologie in unserer Arbeitswelt ergeben, sind klar: in diesem Kontext müssen Authentifizierungs- und Berechtigungsmechanismen anders definiert und garantiert werden. Wenn die alten Grenzlinien obsolet und wirkungslos geworden sind, müssen neue Grenzlinien definiert werden, letztlich direkt am Endgerät, direkt an den verwendeten Apps und direkt beim jeweiligen Nutzer. Einige der Fragen, die in diesem Zusammenhang zu beantworten sind, lauten: Ist der Nutzer derjenige, der er vorgibt zu sein? Stammen die eingesetzten Apps aus einem vertrauenswürdigen App Store? Ist das Endgerät sauber, das heißt wurde es nicht manipuliert beispielsweise mittels Jailbreak oder Rooting?
Auswahlkriterien für neue Authentifizierungsmechanismen
Bei lediglich traditioneller Absicherung mit Benutzername und Passwort können sensible Unternehmensdaten relativ leicht in unbefugte Hände geraten. Das diesbezügliche Szenario ist ebenso häufig und trivial wie gefährlich: Ein Unternehmensmitarbeiter nutzt am Wochenende das nicht über ein EMM-System (Enterprise Mobility Management) gemanagte Smartphone oder Tablet der Lebenspartnerin oder eines Freundes (Benutzername werden ihm dafür mitgeteilt), um sensible Salesforce-Daten herunterzuladen, die er am Montag für eine Besprechung benötigt. Sein verwaltetes Mobilgerät hat er gerade nicht zur Hand. Die Salesforce-Daten lädt er dann auf einen öffentlichen Cloud-Speicher hoch, wo sie relativ offen für unbefugte Einblicke sind. Keine Frage: Ein solches Problem-Szenario kann nur dann erfolgreich vereitelt werden, wenn für die genannten Operationen mehr notwendig ist als die Eingabe der traditionellen Authentifizierungsdaten.
Die Authentifizierungsmechanismen müssen für moderne, mobile Arbeitswelten komplett überarbeitet und deutlich verschärft werden. Dabei sollte die Benutzerfreundlichkeit aber nicht auf der Strecke bleiben. Die Prioritäten bei der Vorgehensweise sind klar: zunächst müssen ausreichende Sicherheitsfeatures implementiert werden, die im Nachgang dann benutzerfreundlich ausgestaltet werden.
Der oben definierte Raum mit den Vektoren „Nutzer – Apps – Endgerät“, die in der neuen mobilen Arbeitswelt gleichermaßen und gleichwertig abzusichern sind, gibt dabei die Richtung vor. Die Ergänzung der klassischen Anmeldedaten durch einen zweiten oder auch dritten Authentifizierungsfaktor bietet sich dabei natürlich an, es ist aber darauf zu achten, dass zusätzliche Faktoren den gesamten Raum der Vektoren absichern. Gleichzeitig sind die Komplexität der Implementierung, die zu erwartenden Kosten und nicht zuletzt die Handhabbarkeit der Lösung durch die Nutzer wichtige Auswahlkriterien.
Authentifizierungslösungen mit Schwerpunkt Desktop
Es liegt wohl nicht zuletzt an der beachtlichen Komplexität, dass sich beispielsweise eine Lösung wie Windows Hello for Business mit der Akzeptanz schwertut. Gleichwohl dürfte die Lösung mit der Zeit allein aufgrund der Tatsache, dass sie von Microsoft kommt, an Bedeutung im Markt gewinnen. Das passwortlose Verfahren bindet die Authentifizierung an eine Geräteinstanz, zum Beispiel über ein Hardwareverschlüsselungsmodul, das über eine PIN oder ein biometrisches Merkmal abgesichert ist. Das System setzt eine FIDO1-Infrastruktur und natürlich eine Windows-Umgebung voraus. FIDO steht für Fast IDentity Online. Im Rahmen der FIDO Alliance wurde ein Authentifizierungs-Framework entwickelt, das auf einer Public-Key-Infrastruktur (PKI) und frei wählbaren Zugangsmethoden zu den entsprechenden privaten Schlüsseln (PIN, biometrische Merkmale etc.) aufsetzt.
Für die digitale Arbeitswelt mit mobilen Endgeräten und einer intensiven Nutzung von Cloud-Elementen ist Windows Hello for Business in aller Regel überdimensioniert und vermutlich auch zu unspezifisch. Benötigt man doch in diesem Bereich für das sichere Zusammenspiel von mobilen Endgeräten und Cloud-Speichern ausgeklügelte Access-Systeme, mit denen der Zugang aufgrund bestimmter Kontextbedingungen in fein-granularer Form gewährt oder verwehrt werden kann.
Sogenannte Cloud Access Security Broker (CASB) sind dafür in erster Näherung gute Kandidaten. Sie überwachen und analysieren den Datenverkehr zwischen Anwender und Cloud-Diensten sowie Apps und überprüfen auf Anomalien ähnlich den Netzwerkkontrollsystemen (Network Access Control, NAC) beim Netzwerkzugang. Beispiele für solche Broker sind der IBM Cloud Security Enforcer oder Adallom (jetzt Microsoft Cloud App Security). Insgesamt sind diese Systeme aber immer noch stark auf das traditionelle Desktop-Computing-Modell zugeschnitten und überprüfen primär browserbasierten Traffic, weshalb sie im Mobilbereich eher schlecht skalierbar sind; und sie verfügen überdies kaum über ausgereifte Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinienkonformität (sind sie unter Kontrolle der IT oder nicht?) und ihrem Sicherheitszustand (ist das mobile Betriebssystem manipuliert?) zu beurteilen. Sie überwachen insofern nicht die gesamte Gestik eines mobilen Endgeräts, sind also ebenso wie Windows Hello for Business eher für traditionelle Desktop-Endpoints geeignet und für mobile Endpunkte einerseits zu unspezifisch oder andererseits oft überdimensioniert.
Sicherer Workflow mit minimaler Nutzerinteraktion
Inzwischen gibt es Systeme, die speziell auf die mobilen Cloud-Arbeitswelten zugeschnitten sind. Beispielsweise setzt das Cloudzugangs-Gateway MobileIron Access auf einem EMM-System auf und ist auf das Zusammenspiel von mobilen Endpoints und Cloud-Services ausgerichtet. Die Zugriffsversuche eines Endgeräts auf Unternehmensdaten werden dabei über den ohnehin schon vorhandenen Proxy des EMM-Systems geleitet. Erst wenn dieser sein OK gibt, wird der Zugriff gestattet. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel die Security Assertion Markup Language (SAML) sollen dafür sorgen, dass dabei keine Anpassungen der Cloud Apps erforderlich sind, um ein nahtloses Single-Sign-On (SSO) durchzuführen.
„Bei lediglich traditioneller Absicherung mit Benutzername und Passwort können sensible Unternehmensdaten relativ leicht in unbefugte Hände geraten.“
Peter Machat, MobileIron
In manchen Fällen können aufgrund ungünstiger Umgebungsbedingungen derartige Systeme aber nicht greifen. Entweder sind die verwendeten Endgeräte für den beschriebenen Prozess ungeeignet oder die Umgebung ist nicht vertrauenswürdig. In solchen Situationen kommt dann explizit wieder die Multifaktor-Authentifizierung ins Spiel. Wenn bei der Überprüfung des Geräteverhaltens Zweifel an der Sicherheit des Vorgangs auftreten, wird kein nahtloses SSO durchgeführt, sondern ein Zwischenschritt mit minimaler Nutzerinteraktion eingeschaltet, sprich: der Nutzer wird gefragt, ob er oder sie tatsächlich Zugang zu einem bestimmten Cloud-Dienst wollen. Die Antwort besteht aus einer simplen Ja-Nein-Entscheidung, die ein einmaliges Klicken erfordert.
Nach einem Ja wird der SSO-Prozess ausgelöst. Der zweite Faktor ist dabei beispielsweise bei dem MobileIron Authenticator ein Smartphone, bei dem entsprechende Zertifikate für die Authentifizierung aufgespielt sind. Wenn der Nutzer online ist, erfolgt die Authentifizierung durch eine Push-Nachricht, ist er offline, wird ein Einmal-Passwort verwendet.
Dieser Prozess läuft in wenigen Sekunden ab. Durch die automatische, einmalige Aktivierung bleiben die Nutzer unbehelligt von den technischen Details der Multi-Faktor-Authentifizierung.
Über den Autor:
Peter Machat ist Vice President Central EMEA bei MobileIron. Der studierte Wirtschaftsinformatiker ist durch die jahrelange Zusammenarbeit mit den Vertriebsteams der Carrier, lokalen und globalen Systemhäusern sowie den gemeinsamen Aufbau der mobilen Infrastrukturen bei Kunden ein geschätzter Partner und Experte auf vertrieblicher und technischer Ebene.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!