Interview mit Thorsten Rosendahl, Cisco

Security Policies für mobile Endgeräte

Interview mit Thorsten Rosendahl, Security Advisor bei Cisco

Thorsten Rosendahl, Cisco

Thorsten Rosendahl, Security Advisor bei Cisco

Herr Rosendahl, immer öfter erhalten Mitarbeiter über verschiedene Endgeräte einen einfachen Zugriff auf benötigte Unternehmensanwendungen. Wie können IT-Verantwortliche hier für adäquate Zugriffsicherheit sorgen?
Thorsten Rosendahl:
Sie können dafür sorgen, indem sie eine umfassende Lösung für das Richtlinienmanagement einsetzen. Zum Beispiel lassen sich mit der Cisco Identity Services Engine (ISE) die Policies abhängig von der Vertrauenswürdigkeit des Gerätes einrichten. Doch selbst eine strenge Durchsetzung von Richtlinien alleine hilft nicht immer, auch die Schulung, Information und Weiterbildung der Anwender spielt eine wichtige Rolle, damit sie mögliche Gefahren erkennen und vermeiden.

Welche Rolle spielt in diesem Zusammenhang die Technologie des Single Sign-on?
Rosendahl:
Theoretisch stellt Single Sign-On eine Gefahr für die Sicherheit dar, denn bei Verlust des entsprechenden Passworts ist der Zugang zu allen damit verbundenen Anwendungen kompromittiert. Praktisch muss sich der Nutzer aber nur ein Passwort merken, so dass auch eine komplexere Kombination aus Buchstaben, Ziffern und Sonderzeichen möglich ist. Man muss hierbei auch zwischen intra- unter inter- Domain SSO unterscheiden, und dabei eine klare Grenze zwischen dem Unternehmenslogin und Diensten im Internet ziehen.

Wie funktioniert ein mobiler Single Sign-on überhaupt? Wo liegen die Risiken bzw. wo lauern mögliche Gefahren?
Rosendahl:
Dies ist unter anderem abhängig von der verwendeten Applikation. Es gibt sowohl das einfache Verwenden von Benutzername und Passwort als auch zunehmend Security Assertion Markup Language (SAML) sowie Kerberos Constrained Delegation. Eine weitere Möglichkeit besteht darin, Daten aus einem Zertifikat zu extrahieren und dieses für die Autorisierung zu benutzen.

Können Sie uns bitte ein kurzes Anwendungsbeispiel für die mobile Nutzung von Single Sign-on beschreiben?
Rosendahl:
Auf mobilen Geräten werden meist verschiedenartige Anwendungen genutzt, wie native oder webbasierte Apps, Cloud- und Social-Media-Applikationen. Für sämtliche berufliche Anwendungen lässt sich ein SSO-Zugriff verwirklichen. Dazu stehen plattformübergreifende Lösungen bereit, welche die Nutzer auf ihr Smartphone oder Tablet herunterladen, um SSO mobil nutzen zu können.

Nicht selten setzen IT-Verantwortliche im Rahmen der mobilen Sicherheit auf spezielle Authentifizierungslösungen. Worauf kommt es bei einem unternehmensweiten Einsatz solch mobiler Autorisierungssysteme vor allem an?
Rosendahl:
Wichtig ist vor allem, dass vor der Entscheidung alle Anwendungsfälle betrachtet werden. Von welchen Herstellern stammen die eingesetzten Geräte? Wird die favorisierte Lösung auf allen Geräten und in sämtlichen Situationen wie bei Auslandsaufenthalten unterstützt? Zudem sollte die Lösung erprobt und bereit für den Unternehmenseinsatz sein.

In welchen Fällen sollten die Verantwortlichen auf eine softwarebasierte Authentifizierung setzen, wann passt eine hardwarebasierte bzw. biometrische Autorisierung?
Rosendahl:
Speziell im Mobile-Bereich sind hardwarebasierte Lösungen aufgrund der sehr verschiedenartigen Plattformen selten bis gar nicht zu finden. Biometrie ist derzeit meist auf den Fingerabdruck beschränkt und dieser lässt sich mit einem Nutzernamen, aber nicht einem Passwort gleichsetzen, da bereits von Fingerprint-Hacks oder Google Faceunlock mit einem Foto-Hack berichtet wurde. Entsprechend sind softwarebasierte Lösungen derzeit am weitesten verbreitet.

Wann kann sich generell eine Multi-Faktor-Authentifizierung lohnen? Wann wäre diese zu überdimensioniert?
Rosendahl:
Dies hängt von der allgemeinen Security Policy des Unternehmens ab und inwieweit ein Gerät oder Nutzer die Möglichkeit besitzt, auf schützenswerte, sensible Daten zuzugreifen. Es ist auch abhängig von Benutzergruppen sowie Berechtigungen, zum Beispiel genügt möglicherweise für den E-Mail-Zugang SSO, der Zugriff auf CAD-Dateien sollte dagegen nur mit Certificate erfolgen. Cisco kann die gesamte Palette abbilden: SSO, MFA, DoubleAuth, OTP, Certificates.

Will man sich über verschiedene Wege authentifizieren: Die Kombination welcher Zugangslösungen ist am sinnvollsten?
Rosendahl:
Am sinnvollsten ist eine Kombination aus Wissen und Besitz, zum Beispiel eine PIN und ein Zertifikat oder ein Passwort und eine OTP-erzeugende Lösung oder eine mobile TAN und ein SMS-Token. Bei jeder Lösung muss das Unternehmen aber vorab die Verfügbarkeit für die gewünschte Plattform ermitteln.

Wie lautet Ihre Einschätzung: Welche mobile Authentifizierungsmaßnahme – sowohl softwarebasiert als auch biometrisch gilt als die sicherste?
Rosendahl:
Es gibt keine „sicherste Lösung“, jede Maßnahme lässt sich mit mehr oder weniger Aufwand aushebeln. So wurden zum Beispiel sogar schon Herausgeber von Sicherheitszertifikaten (Digital Certificate Authority) gehackt. Daher sollten Unternehmen eine Kombination aus verschiedenen Ansätzen entwickeln, welche die Nutzer nicht überfordern, aber gleichzeitig für eine hohe Sicherheit sorgen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok