MFA-Grundlagen: Die Top-Produkte für Multifaktor-Authentifizierung im Vergleich

Wir zeigen was Sie bei der Auswahl der richtigen MFA-Lösung beachten sollten. Außerdem untersuchen wir die Produkte von CA, RSA, Symantec und VASCO.

Produkte für Multifaktor-Authentifizierung (MFA) können für ein Unternehmen sehr vorteilhaft sein. Allerdings ist die Technologie komplex und die Tools unterscheiden sich von Anbieter zu Anbieter stark. Die drei hauptsächlichen Anwendungsfälle für Multifaktor-Authentifizierung sind:

  • Active Directory oder ähnliche Anwender-Login-Prozeduren für lokale Netzwerk-Ressourcen bereichern. Dazu gehören Dateiserver, VPNs oder Remote-Zugriffs-Controller.
  • Starke Identitätsverifikation für Web-Services von Dritten zur Verfügung stellen. Darunter befinden sich Salesforce.com oder Google Docs. Man verwendet dafür SAML-Standards (Security Assertion Markup Language).
  • Direkte Verstärkung der Webserver-Logins wie zum Beispiel bei Websites oder webaktivierten Anwendungen. Dazu gehören unter anderem Outlook Web App (OWA) oder Microsoft SharePoint.

Außerdem ist es hilfreich, wenn man Beispielanwendungsfälle für spezielle Tools untersucht. Damit lässt sich zeigen, wie das Produkt eines Anbieters die Unternehmensanforderungen bezüglich Multifaktor-Authentifizierung erfüllen kann. Nachfolgend finden Sie vier führende Produkte aus der MFA-Welt:

Alle vier Angebote sind solide MFA-Tools, die es seit Jahren gibt und die mit einer breiten Vielfalt an Situationen, Token-Arten und Applikationen umgehen können. Alle gibt es als Cloud- und On-Premise-Versionen.

CA hat zwei verschiedene MFA-Produkte mit unterschiedlichen Namen im Portfolio. Die Windows-Version nennt sich Strong Authentication und der Cloud-Service Secure Cloud. RSA ist lediglich für On-Premises-Zwecke, auch wenn einige der Partner durch virtuelle Maschinen (VM) gemanagte gehostete Versionen im Angebot haben. Symantec wird nur als cloudbasierter Service verkauft, auch wenn es Add-On-Agenten gibt, die man am Standort installieren muss. Nur so kann man sich zu bestimmten lokalen Ressourcen verbinden.

Keines der vier großen MFA-Produkte kann alle drei Authentifizierungsfälle, Active Directory, Web-Services-Verifizierung und Webserver-Augmentation in einem einzelnen Produkt abdecken. Jedes Produkt benötigt Add-On-Module für entweder SAML- oder Active-Directory-Unterstützung (mehr dazu in der Tabelle weiter unten). Zum Beispiel funktioniert der RSA Authentication Manager zusammen mit dem Produkt Adaptive Federation Manager, um SAML-Web-Services-Integration zur Verfügung zu stellen. Symatec VIP benötigt das VIP Enterprise Gateway der Firma, um sich in Active Directory integrieren zu lassen.

Das ist typisch für die MFA-Produktwelt. Daher ist es so wichtig, zu verstehen, welche Anwendungen sich unter welchen Umständen am besten für das jeweilige Unternehmen eignen und welche zusätzlichen Faktoren es einsetzen will.

Bevor Sie ein MFA-Produkt basierend auf der Unterstützung für die Anwendungen auswählen, sollten Sie unbedingt verstehen, in welcher Form diese Unterstützung geliefert wird. Alle vier Produkte der Top-Anbieter enthalten mehrere Server-Software-Komponenten oder Agenten, die man installieren muss. Erst dann werden Logins von Komponenten wie zum Beispiel Outlook- oder SharePoint-Servern gestärkt. Sie erhalten weitere Informationen in der dritten Spalte in der Tabelle.

Das hilft bei der allgemeinen Verbreitung, allerdings erhöht es auch das Niveau der Komplexität hinsichtlich Installation und Betrieb. Es sind nun mehrere Komponenten zu konfigurieren und zu managen. Wie bei Symantec VIP gibt es bei einigen Produkten sowohl cloudbasierte als auch On-Premises-Komponenten, die zusammenarbeiten müssen, damit sich Anwender bei Servern und Services anmelden können. Zusätzlich sollten sich Unternehmen überlegen, unter bestimmten Umständen sie ein Single Sign-On (SSO) anstelle eines MFA-Produkts einsetzen.

SSO oder MFA: Welche Authentifizierungsmethode ist besser?

Wäre also ein SSO-Tools für Ihren Einsatzweck besser geeignet? SSO ist kein neues Konzept und Produkte dafür gibt es schon seit einem Jahrzehnt. Genau wie bei MFA gibt es auch hier Dutzende von Anbietern.

Derzeit orientieren sich SSO-Anbieter in Richtung Cloud und in die MFA-Welt. Dort unterstützen Sie eine Reihe an Token und Zugriffsmethoden. SecureAuth und Ping Identity sind typische Produkte für dieses Genre. Warum sollte ein Unternehmen SSO anstelle eines reinen MFA-Tools verwenden? Nachfolgend finden Sie einige Gründe:

Setzt ein Unternehmen auf sehr viele cloudbasierte Services, will es wahrscheinlich einen besseren Mechanismus für die Anwender, um sich damit zu verbinden. Korrekt eingesetzt kann sich ein SSO-Tool zu diesen Services automatisch verbinden. Die Anwender müssten sich dann nicht einmal mehr ihr Passwort merken. Zum Booten des Computers ist natürlich ein starkes Passwort notwendig.

Viele der populären Cloud-Services unterstützen SAML-Standards v2.0. Genau das verwenden die meisten SSO-Tools, um eine Verbindung aufzubauen. Unterstützen Enterprise-Services SAML noch nicht, dann sind für das Unternehmen womöglich weder SSO- noch MFA-Tools sinnvoll.

Befinden sich die meisten Unternehmens-Apps im eigenen Data Center, dann will die Firma höchstwahrscheinlich MFA-Tools einsetzen, die dedizierte Hardware- oder Software-Appliances zur Verfügung stellen. Diese setzt man dann ein, um die entsprechenden Ressourcen zu schützen.

Sorgen sich Unternehmen weniger um zusätzliche Authentifizierungsfaktoren als um allgemeine Identitätserhaltung und -Integrität, ist SSO möglicherweise die bessere Wahl. Gibt es in der Firma allerdings eine oder zwei interne Apps, die man mithilfe multipler Faktoren absichern muss, sind Sie mit MFA wohl besser bedient.

Führende MFA-Produkte
Produktname Art der Anwendung Zusätzlich notwendige Komponenten Produktname, der die adaptive Risiko-Unterstützung zur Verfügung stellt
RSA Authentication Manager (SecurID) A, V*, W Adaptive Federation Manager wird für SAML-Unterstützung benötigt. Adaptive Authentication
Symantec VIP A*, V, W Für Active-Directory-Unterstützung brauchen Sie VIP Enterprise Gateway. Enthalten, kostet pro Monat und Anwender zusätzliche drei US-Dollar.
CA Strong Authentication A*, V, W Identity Manager Risk Authentication
VASCO Identikey A, V*, W Identikey Federation Services sind für SAML-Unterstützung notwendig. RBA
Verwendungsschlüssel: A – Active Directory, V – Verifizierung von Web-Services-Identität, W – Webserver-Unterstützung, * - Für diesen Anwendungsfall benötigen Sie die zusätzliche Komponente aus der dritten Spalte.

Stärken und Schwächen von MFA-Produkten: Workflow-Komplexität

Ein Teil des Evaluierungsprozesses bei MFA-Produkten ist das Beobachten, was passiert, wenn Sie diese Tools im Tagesgeschäft einsetzen. Wir sprechen hier von der Registrierung neuer Token und Anwender, Aufsetzen von Schutz für neue Anwendungen und Modifizieren von Security-Richtlinien. Weiterhin müssen Sie dann und wann herausfinden, warum sich ein Anwender nicht an Unternehmensanwendungen anmelden kann.

Einige der Produkte von zum Beispiel von RSA und VASCO bieten wesentlich mehr Flexibilität bei den Token-Workflow-Prozessen. Dadurch lassen sich zum Teil Rückschlüsse ziehen, wie lange die Firmen bereits im Multifaktorgeschäft sind.

Beispielsweise können Unternehmen zusätzliche Authentifizierungsschritte an verschiedenen Orten oder den Login-Dialogen bei beiden Produkten hinzufügen. Bei den anderen Lösungen gibt es diverse Einschränkungen, oder Anwender werden zu einem Selbstbedienungsportal weitergeleitet, auf dem sie ihre Multifaktor-Authentifizierungs-Personalien hinterlegen können.

Stärken und Schwächen von MFA-Produkten: Reporting

Alle vier genannten Produkte bringen viele verschiedene Reporting-Methoden und Format-Export-Optionen mit sich.

Die MFA-Tools von RSA und CA sind an dieser Stelle wohl am schwächsten. Beide befinden sich auf Log-Dateiniveau. Die anderen stellen verglichen dazu robustere Reporting-Tools zur Verfügung. Das könnte für den Gelegenheitsanwender ein Problem darstellen, der keine Zeit hat, sich durch Log-Dateien zu wühlen.

MFA-Tools und die zunehmende risikobasierte Authentifizierung

Die Top-Multifaktor-Anbieter fügen Leistungsmerkmale hinzu, um die Authentifizierungsmethoden mithilfe eines relativ neuen Mechanismus zu stärken. Dieser nennt sich RBA oder risikobasierte Authentifizierung, auch als adaptive Zugriffskontrolle oder Context-aware bezeichnet. Dieser Mechanismus erlaubt es den Kunden, die Login-Anfragen unter die Lupe zu nehmen und diese anhand eines bestimmten Verhaltens im Unternehmensnetzwerk zu bewerten.

Wie funktioniert RBA?

Zugriff zu bestimmten Geschäftsanwendungen gibt es nur dann, wenn eine Reihe an Vertrauensprüfungen überstanden sind. Riskantere Situationen benötigen dabei zusätzliche Security, damit die Anwender nicht unbedingt wissen, dass ihre Logins genauer geprüft werden. Hinzu kommt noch, dass alles in Echtzeit passiert. Das ist genau wie bei den typischen Multifaktor-Methoden. Diese Methode ist vergleichbar mit vielen Next-Generation Firewalls, die Ihre eigenen Risikobewertungs-Tools hinsichtlich des Verhaltens interner Netzwerkpakete verwenden.

Risikobasierte Authentifizierung verwendet Elemente wie zum Beispiel:

  • Rollenbasiert: Ist der Anwender ein Mitglied einer privilegierten Klasse, wie zum Beispiel System-Administrator oder Kontenverantwortlicher? Ist das der Fall, muss es an dieser Stelle einen strikteren Authentifizierungsdialog geben.
  • Standortbasiert: Entweder erkennt das System hier das physische Endgerät oder einen speziellen geografischen Standort. Hat sich der Anwender zum Beispiel vor zehn Minuten aus Kanada angemeldet und versucht es nun gerade aus China, kann man dies definitiv als sehr riskante Transaktion einstufen. Andere Attribute können zur gesamten Risikopunktzahl ebenfalls beitragen.
  • Aktivitätenbasiert: Zum Beispiel haben Transaktionen von großem Wert ein höheres Risiko als lediglich eine Auskunft zum Kontostand.
  • Änderungen bei gewöhnlichen Transaktionsmustern: Führt ein Anwender einen Einkauf durch, der nicht zu seinen normalen Verhaltensmustern passt, wird das als riskante Transaktion eingestuft. In diesem Fall werden Authentifizierungsanfragen und Logins mit zusätzlichen Authentifizierungshürden versehen. Reagiert das System auf diese unüblichen Ausgabemuster, erschafft es damit eine Barriere für böswillige Hacker oder Betrüger, die sie nicht so einfach umgehen können. Man müsste sich hier schon auf irgendeine Weise die Authentifizierung des Kunden als eine Art Blankodienst ergaunern.

Die Preisgestaltung kann bei RBA-Mechanismen kompliziert sein, wenn man diese zur MFA-Rechnung hinzufügt. Beim Multifaktor-Authentifizierungs-Produkt Symantec VIP werden für RBA zusätzlich drei US-Dollar pro Umstand aufgeschlagen, bevor es einen Anwender-pro-Monat-Preis für den Kunden gibt. Somit ist die Berechnung der Gesamtkosten wesentlich komplexer.

Symantec VIP bietet auf der anderen Seite eine Vielfalt an Reporting-Möglichkeiten, plus interaktive Graphen auf dem Dashboard der Homepage. Dazu gehören auch Reports über Anwender, Anmeldeinformationen und Audits. VASCO stellt zum Beispiel mehr als 35 verschiedene Reports zu unterschiedlichen Themengebieten zur Verfügung.

Jedes der führenden MFA-Produkte bietet die Option, spezielle Berichte zu planen. Echtzeit-Monitoring von Alarmen und anderen Aktivitäten sind ebenfalls möglich.

Stärken und Schwächen von MFA-Produkten: Unterstützung für Mobile

Immer mehr Anwender verwenden Ihre mobilen Geräte für das Tagesgeschäft. Somit müssen MFA-Anbieter Logins von mobilen und webbasierten Anwendungen unterstützen. Unternehmen wollen mehrere Faktoren womöglich auch auf den Smartphones und Tablets der Anwender speichern, damit sie diese nicht zusätzlich herumtragen müssen. Weiterhin muss das Unternehmen keine herkömmlichen hardwarebasierten Sicherheitstoken unterstützen und ausgeben.

Jedes vier Produkte unterstützt die meistgenutzten vier mobilen Betriebssysteme: Android, Apple iOS, Windows Phone und BlackBerry. Das gilt für die meisten MFA-Anbieter heutzutage und sollte somit kein Problem darstellen. Es kann sein, dass ältere Betriebssysteme für Smartphones oder ungewöhnliche Android-Geräte vom einen oder anderen Anbieter nicht unterstützt sind.

Lesen Sie sich unbedingt das Kleingedruckte für die entsprechend unterstützten Betriebssystemversionen durch, wenn Sie MFA-Produkte unter die Lupe nehmen.

Stärken und Schwächen von MFA-Produkten: Unterstützung für multiple Token

RSA, Symantec und VASCO sind ganz oben, wenn wir über Token sprechen. Jedes dieser Produkte bietet eine große Sammlung an Hardware- und Software-Token an, die als zusätzliche Authentifizierungsfaktoren eingesetzt werden können. 

Unterstützen Enterprise-Services SAML noch nicht, dann sind für das Unternehmen womöglich weder SSO- noch MFA-Tools sinnvoll.

Somit sind sie hinsichtlich der Absicherung spezieller Logins und Services am flexibelsten. Sie kommen praktisch mit jeder Situation zurecht.

Produkte von zum Beispiel VASCO und Symantec bieten zu den mobilen Apps zusätzlich Desktop-Software an, um die Generatoren für die Einmal-Passwörter (OTP / One-Time Password) laufen zu lassen. Das ist ein ganz netter Zusatz. Solange die meisten Unternehmensanwender nicht exklusiv auf ihren Desktops arbeiten, gibt es möglicherweise keinen Grund, dem einen oder anderen MFA-Produkt deswegen den Vorzug zu geben.

Symantec VIP bietet verglichen zu den anderen Produkten eine nette Funktion. Es handelt sich hier um die Möglichkeit, Einmal-Passwörter auf mobile Geräte zu übertragen.

Bevor Sie sich für einen Token entscheiden, beachten Sie den Abschnitt MFA-Tools und die zunehmende risikobasierte Authentifizierung. Danach können Sie sich entscheiden, ob Sie den relativ neuen Authentifizierungsmechanismus in einem MFA-Paket haben möchten.

Stärken und Schwächen von MFA-Produkten: Unterstützung für FIDO

RSA, CA, Ping Identity, Dell, Safenet und VASCO sind alles MFA-Anbieter, die Mitglieder der FIDO Alliance sind. Das ist zwar großartig, hat allerdings nicht viel Bedeutung. Zumindest gilt das für den Moment.

Das Versprechen von FIDO ist, die Authentifizierung über so viele webbasierte Ressourcen wie möglich zu konsolidieren. Außerdem soll es nicht mehr notwendig sein, die digitale Identität auf einer bestimmten Seite speichern zu müssen. Allerdings ist das zumindest derzeit mehr ein Versprechen und weniger Realität.

Zum Beispiel bietet keiner der vier großen MFA-Anbieter derzeit Unterstützung für FIDO in seinen Produkten. Andere Authentifizierungsanbieter wie zum Beispiel Nok Nok Labs haben dagegen Produkte mit FIDO-Unterstützung veröffentlicht.

Sollte das für Sie von Interesse sein, dann nehmen Sie dieses Unternehmen oder ein anderes mit FIDO-Unterstützung unter die Lupe.

Fazit

Jedes der hier angesprochenen vier Produkte ist bezüglich MFA-Schutz sehr solide. Jede Lösung unterstützt mobile Token-Methoden und bringt flexible Authentifizierungsmethoden mit sich. Einige Tools gehen sogar in Richtung risikobasierter Mechanismen.

Die Unterschiede liegen mehr bei den Paketen, Preisen und ob die Mitarbeiter einer Firma mit den unterschiedlichen Reports und Prozeduren zurechtkommen. Hier geht es allerdings mehr um die Form und weniger um den Inhalt. Liebäugeln Sie mit dieser Technologie und einem Pilot-Projekt, sollten die vier hier vorgestellten Produkte auf jeden Fall mit auf der Liste stehen.

Über den Autor:
David Strom ist freiberuflicher Autor und hält Vorträge zum Thema Security. Er war früher Chefredakteur bei Tomshardware bei Network Computing und Digitallanding. Sie finden weitere Informationen über ihn bei Strominator.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Identity and Access Management (IAM)