nd3000 - stock.adobe.com
Wenn gemeinsam genutzte Systeme ein Sicherheitsrisiko werden
Ob in Krankenhäusern, in der Fertigung oder im Handel – gemeinsam genutzte Arbeitsplätze sind allgegenwärtig. Das beschleunigt Abläufe und spart Kosten, kann aber ein Risiko sein.
Shared Workstations, also gemeinsam genutzte Arbeitsplätze, sind dadurch gekennzeichnet, dass sich mehrere Personen täglich am selben Endgerät authentifizieren, wie es unter anderem in Call-Centern oder an Kiosken im Einzelhandel der Fall ist. Diese Praxis ist besonders in Branchen gang und gäbe, in denen Mitarbeiter in verschiedenen Schichten arbeiten, in denen Positionen im Laufe des Tages wechseln oder in denen stundenweise, zeitlich befristet oder saisonal gearbeitet wird. So unerlässlich diese Shared Workstations für manche Betriebe sind, so risikoreich sind sie auch. Denn diese Systeme sind oftmals unmittelbar mit kritischen Systemen und Daten verbunden, wie etwa Kundendaten, Zahlungsinformationen, Betriebsgeheimnissen oder anderen geschützten Informationen.
Das Problem bei dieser Praxis ist vielmehr der Insider selbst als Dritte, die Angriffe von außen lancieren. Denn gerade die Tatsache, dass Shared Workstations in hoch frequentierten Bereichen eingesetzt werden, führt zu unsicheren Praktiken bei deren Nutzung. So werden Zugangsdaten geteilt oder Passwörter auf sichtbar platzierte Haftzettel notiert. Dabei sind Passwörter nach wie vor eines der präferierten Ziele für Cyberkriminelle – und ein leichtes: Dem 2023 Data Breach Investigations Report von Verizon zufolge werden 81 Prozent der Datenschutzverletzungen durch gestohlene oder schwache Passwörter verursacht.
Gemeinsam genutzte Arbeitsplätze erhöhen die Risiken im Zusammenhang mit Geräten, Benutzerzugriff, Authentifizierung oder Insider-Bedrohungen, die zum Diebstahl oder Verlust von Zugangsdaten, geschäftskritischen Daten oder geistigem Eigentum führen. Wenn eine Shared Workstation aufgrund eines Cyberangriffs nicht verfügbar ist, kann dies Geschäftsausfälle nach sich ziehen und weitere Auswirkungen auf den Umsatz, die Reputation und die Einhaltung gesetzlicher Vorschriften haben.
Die Anforderungen an die Authentifizierung
Bei der Prüfung von Authentifizierungslösungen für gemeinsam genutzte Arbeitsplatzumgebungen sollten Unternehmen neben der Effektivität der Lösung beim Schutz vor externen Cyberangriffen und Insider-Bedrohungen auch berücksichtigen, wie sich die Lösung auf die Produktivität der Nutzer auswirkt, wie zuverlässig sie in verschiedenen Umgebungen und Anwendungsfällen ist, welche externen Variablen, wie etwa Funksignale oder Batterien, sich negativ auf die Leistung auswirken können und wie hoch die langfristigen Gesamtbetriebskosten anzusetzen sind.
Die wichtigsten Authentifizierungsanforderungen, die Unternehmen für jede gemeinsam genutzte Arbeitsumgebung berücksichtigen sollten, sind:
Sicherheit
Wie lassen sich gemeinsam genutzte Geräte, interne Anlagen mit mehreren sich abwechselnden Nutzern und deren Konten schützen, und wie kann bewerkstelligt werden, dass Mitarbeiter nur auf die Anwendungen, Dienste und Daten zugreifen können, die sie für die Verrichtung ihrer Tätigkeiten benötigen? Administratorkonten oder gemeinsam genutzte Workstations mit Zugriff auf privilegierte Informationen sollten mit einem Authentifizierungsmechanismus versehen werden, der gegen Nachahmung geschützt ist. Es empfiehlt sich außerdem, gemeinsam genutzte Arbeitsstationen stark auf Benutzerrechte und Zugriffskontrollen zu stützen (keine gemeinsamen, Gast- oder anonymen Anmeldungen) und Beschränkungen zu implementieren, die das Speichern von Kennwörtern verhindern. Administratorkonten sollten individuell und nicht gemeinsam genutzt werden, um die Fehlerbehebung vor Ort oder aus der Ferne zu unterstützen.
Effizienz
Wie kann sichergestellt werden, dass sich der Nutzer schnell und komplikationslos authentifizieren kann? Jeder Authentifizierungsmechanismus, der für gemeinsam genutzte Arbeitsplätze eingesetzt wird, muss eine schnelle und einfache Authentifizierung für die Mitarbeiter ermöglichen, um Unterbrechungen des Arbeitsablaufs und unzulässige Umgehungen zu vermeiden. Allerdings bieten nicht alle Formen der Multifaktor-Authentifizierung (MFA) das optimale Gleichgewicht zwischen starker Sicherheit und einer schnellen und einfachen Benutzererfahrung, die eine hohe Produktivität ermöglicht. Einige mobile Authentifikatoren verlangen von Nutzern, dass sie auf OTP- (One Time Password) oder Push-App-Codes warten, was unter Umständen zu viel Zeit in Anspruch nimmt, wenn ein Mitarbeiter diesen Prozess im Laufe des Tages mehrfach durchlaufen muss. Je höher die Effizienzanforderungen, desto mehr sollten Unternehmen die passwortlose Authentifizierung in Erwägung ziehen.
„Die Umstellung von der klassischen MFA auf eine Phishing-resistente MFA ist ein wichtiger Schritt zur Sicherung gemeinsam genutzter Arbeitsumgebungen.“
Alexander Koch, Yubico
Verlässlichkeit
Wie lässt sich eine konsistente Authentifizierung sicherstellen, die reibungslos selbst unter schwierigsten Bedingungen funktioniert? Authentifizierungslösungen sind unternehmenskritisch und dürfen nicht von Fehlerquellen wie Konnektivität oder Hard-Token-Batterie abhängig sein. Sie sollten auch über Funktionen wie NFC verfügen, die für Umgebungen ohne Funkenanforderungen geeignet sind. Lösungen, die sich auf „bekannte Faktoren“, wie etwa Passwörter, stützen, können menschlichen Fehlern unterliegen, die das Authentifizierungserlebnis erschweren und Nutzer so möglicherweise ausschließen. Mobilbasierte Authentifizierungslösungen sind nicht immer zuverlässig in Umgebungen mit gemeinsam genutzten Arbeitsplätzen, in denen die Mobilfunkabdeckung nur sporadisch oder gar nicht vorhanden ist, in OT-Umgebungen oder in abgelegenen Gebieten, oder in denen sich die Nutzer bei der mobilen Authentifizierung auf die Batterie ihres Geräts verlassen müssen.
Kosten
Wie lässt sich die Anzahl der Support-Tickets im Zusammenhang mit der Authentifizierung reduzieren? Klassische Authentifizierungsmethoden, wie die Kombination aus Benutzername und Passwort, sowie die mobile Authentifizierung, erfordern eine kontinuierliche Durchsetzung von Richtlinien, Benutzerschulungen und IT-Support. Hinzu kommt, dass alle Formen der mobilen Authentifizierung, wie SMS, OTP und Push-Benachrichtigungen, einen enormen Supportaufwand verursachen, wenn sich Codes verzögern, Nutzer aus ihren Konten ausgesperrt werden oder neue Geräte registriert werden müssen. Jedes Mal, wenn Probleme mit der mobilen Authentifizierung auftreten, leidet die Produktivität. Je schneller sich ein Nutzer authentifizieren und seiner Arbeit weiter nachgehen oder bei Bedarf ein Self-Service-Passwort zurücksetzen kann, desto besser ist die Rendite.
Absicherung gemeinsam genutzter Arbeitsplätze mit Phishing-resistenter MFA
Die klassische mobile Authentifizierung ist anfällig für fortschrittliche Cyberbedrohungen, wie Phishing, Brute-Force-Angriffe, Man-in-The-Middle Attacken (MiTM), Malware und SIM-Austausch (SIM Swapping). Abgesehen von den massiven Sicherheitslücken bringt die veraltete mobile Authentifizierung auch viele versteckte Kosten mit sich, die mit Produktivitätsverlusten, Geräteinvestitionen, erhöhtem IT-Support und Reibungsverlusten in der Benutzererfahrung verbunden sind.
Die Umstellung von der klassischen MFA auf eine Phishing-resistente MFA ist ein wichtiger Schritt zur Sicherung gemeinsam genutzter Arbeitsumgebungen. Der nächste Schritt in der modernen MFA ist die Einführung der passwortlosen Authentifizierung. Ein SMS-OTP ist zwar bereits eine Form der kennwortlosen Authentifizierung, die jedoch unter Sicherheitsaspekten als schwach gilt. Herkömmliche Smartcards sind eine weitere Form der passwortlosen Authentifizierung, die zwar hohe Sicherheit bietet, aber in der Regel auch hohe Investitionskosten für Smartcard-Lesegeräte, Karten und Backend-Verwaltungsplattformen erfordert. Darüber hinaus bietet sie nicht die beste Benutzererfahrung auf Endgeräten wie Smartphones und Tablets. Aus diesem Grund bewegt sich alles in Richtung eines modernen passwortlosen Anmeldevorgangs, der auf FIDO2/WebAuthn basiert.
FIDO (Fast IDentity Online) ist ein moderner Authentifizierungsstandard, der die traditionelle Kombination aus Benutzername und Passwort durch eine starke Zwei-Faktor-, Multi-Faktor- und passwortlose Authentifizierung ersetzt. Der FIDO-Standard wurde von der FIDO Alliance entwickelt, einem offenen Industrieverband, dessen Ziel es ist, die Abhängigkeit von Passwörtern zu verringern. FIDO2/WebAuthn ist der neueste FIDO-Standard und verwendet Public-Key-Kryptografie für hohe Sicherheit, wobei die privaten Schlüssel den Authentifikator nie verlassen. FIDO2-Hardware-Sicherheitsschlüssel bieten Multifaktor- und passwortlose Authentifizierung mit hoher Sicherheit und einem außergewöhnlichen Benutzererlebnis. Als tragbare Vertrauensbasis eignen sie sich hervorragend für gemeinsam genutzte Arbeitsumgebungen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.