Mobile Security: Interview mit Christoph Stoica, NetIQ

Sichere Zugriffskontrolle auf Mobilgeräte

Interview mit Christoph Stoica, Regional Director Central Europe bei NetIQ, über den Balanceakt mobile Sicherheit, bei dem es der Angreifer so schwer wie möglich und der Nutzer so leicht wie möglich haben muss

Christoph Stoica, NetIQ

Christoph Stoica, Regional Director Central Europe bei NetIQ

Herr Stoica, immer öfter erhalten Mitarbeiter über verschiedene Endgeräte einen einfachen Zugriff auf benötigte Unternehmensanwendungen. Wie können IT-Verantwortliche hier für adäquate Zugriffsicherheit sorgen?
Christoph Stoica:
Anstatt etwas völlig neues zu erfinden, sollten Unternehmen bereits erprobte Lösungen auf Mobilgeräte ausweiten: So können alle bestehenden Regelungen auf auch auf den mobilen Zugriff angewendet werden. Die Kontrolle muss jedoch auf den jeweiligen Nutzer abzielen und nicht auf das Gerät – dies ist entscheidend. Wer Richtlinien um Geräte herum aufbaut, wird scheitern; es existieren schlicht zu viele Geräte, die verwaltet werden müssen. Stattdessen gilt es, die Zugriffsberechtigung des Nutzers zu kontrollieren, egal woher er sich verbindet. Das Risiko einer Sicherheitslücke wird so enorm gesenkt.

Zudem kann so einfacher sichergestellt werden, dass die Kontrollen auch greifen: bestehende Zugriffskontrollen auf Mobilgeräte zu erweitern bedeutet auch das Ausschließen einer Fehlerquelle, durch die etwa einem unberechtigten Nutzer Zugriff gewährt wird, lediglich weil er sich von einem Mobilgerät aus verbindet.  

Welche Rolle spielt in diesem Zusammenhang die Technologie des Single Sign-on?
Stoica: Single Sign-on spielt eine wichtige Rolle, denn dadurch wird der Prozess, Mitarbeitern mit Mobilgeräten den benötigten Zugang zu ermöglichen, enorm vereinfacht. Wenn ein Mitarbeiter sich vom PC aus mehrfach einloggen muss, so kann das nervig sein; das gleiche Prozedere vom Smartphone aus dagegen wäre ein wahrer Produktivitätskiller. Dies würde Mitarbeiter außerdem dazu ermutigen, um die Sicherheitskontrollen herum zu arbeiten, um sich den Zugang zu erleichtern – etwa, indem sie die Passwörter direkt auf dem Gerät speichern. Single Sign On bietet daher nicht nur dem Nutzer Vorteile, sondern verbessert auch die Sicherheit.  
Wie funktioniert ein mobiler Single Sign-on überhaupt? Wo liegen die Risiken bzw. wo lauern mögliche Gefahren?
Stoica: Um Single Sign-on auf Mobilgeräten zu implementieren, sollte am besten ein zentraler Dienst im Unternehmen eingerichtet werden, mit dem sich die Geräte verbinden. So kann die Verwaltung der Zugangsrechte zentralisiert werden. Der Nutzer authentifiziert sich mit einem Passwort und kann dann über eine einzige App auf dem Mobilgerät auf alle verfügbaren Geschäftsanwendungen zugreifen. Diese können gleichfalls im unternehmenseigenen Rechenzentrum oder in der Cloud liegen. Diese Zugangsart ist weitaus sicherer, als jede denkbare Verbindung direkt vom Mobilgerät aus zu verwalten. Wenn der Nutzer auf sensible Informationen zugreift, so können zusätzliche Authentifizierungsschritte eingebaut werden, etwa biometrische Faktoren.

Das größte Risiko besteht generell darin, dass das Gerät leicht verloren gehen oder sogar gestohlen werden kann. Wenn dann keine zentralisierten Zugangskontrollen bestehen, könnte ein Eindringling Zugang zu einigen Systemen erhalten, bevor die Sicherheitsverantwortlichen den Zugriff abschalten können – falls sie dazu überhaupt in der Lage sind. Daher ist ein einziger, zentral verwalteter Zugangspunkt für Mobilgeräte die weitaus sicherere Alternative, denn diese eine Tür kann beim Geräteverlust viel einfacher geschlossen werden.

Nicht selten setzen IT-Verantwortliche im Rahmen der mobilen Sicherheit auf spezielle Authentifizierungslösungen. Worauf kommt es bei einem unternehmensweiten Einsatz solch mobiler Authentifizierungssysteme vor allem an?
Stoica: Die besten Ansätze schaffen zweierlei: Zuerst muss der Zugriff für das Unternehmen leicht zu verwalten sein. So kann er einfach überwacht und schnell verwehrt werden, sollte das Gerät kompromittiert worden sein. Zweitens muss der Zugriff auf Geschäftsanwendungen vom Gerät aus so einfach wie möglich gestaltet werden. Single Sign-on ist daher im mobilen Kontext besonders effektiv, da es die Nutzung mobiler Plattformen für den Business User wesentlich vereinfacht – und damit die Reaktionsfähigkeit von Unternehmen erhöhen kann.

Zuletzt muss eine gute Plattform für mobile Authentifizierung flexibel genug sein, um sich auf verschiedene Nutzer und deren Datenzugriffe einstellen zu können. So werden manche Nutzer nur die geringste Stufe der Authentifizierung benötigen, da sie lediglich auf unkritische Daten zugreifen. Andere dagegen benötigen zusätzliche Authentifizierung, etwa Einmalpasswörter oder biometrische Identifizierung.    

In welchen Fällen sollten die Verantwortlichen auf eine softwarebasierte Authentifizierung setzen, wann passt eine hardwarebasierte bzw. biometrische Autorisierung?
Stoica: Smartphones werden mehr und mehr als Authentifizierungsgeräte genutzt, besonders mit Einmalpasswörtern oder Codes. Dies resultiert aus der Tatsache, dass sie so allgegenwärtig sind und die Nutzer sie bereits mit dem Firmennetz verbunden haben. Softwarebasierte Authentifizierung wird daher immer gebräuchlicher – der Ansatz ist günstiger und leichter zu managen als spezialisierte Hardware. Zudem sehen wir neben Single Sign-on zusätzliche Authentifizierungsschritte, die die Nutzererfahrung und die Sicherheit gleichermaßen steigern.

Biometrische Identifizierung behält in einigen Bereichen jedoch ihren Reiz. Smartphones und andere Mobilgeräte können auch diese Schritte implementieren, obwohl dies langsamer geschieht als etwa die Annahme von Out-of-band-Einmal-Passwörtern.

Wann kann sich generell eine Multi-Faktor-Authentifizierung lohnen? Wann wäre diese zu überdimensioniert?

Stoica: Die Art der benötigten Authentifizierung hängt von zwei Dingen ab: von der Klassifizierung der angefragten Information und vom Kontext des Zugriffs. Unternehmen jeder Branche verfügen über Informationen, die es zu schützen gilt – ein börsennotiertes Pharmaunternehmen ebenso wie ein Ministerium oder auch ein mittelständischer Hersteller von Autoteilen. Wichtig ist, die sensiblen Informationen zu identifizieren – Geschäftszahlen, Patientendaten oder Patente – und für diese dann eventuell eine Mehrfaktorauthentifizierung einzurichten.

Zusätzlich ist der Kontext des Zugriffs relevant: bei einer bestimmten Risikoeinstufung werden so möglicherweise Zugriffe aus dem internen Netzwerk ohne zusätzliche Authentifizierung ermöglicht, wohingegen Zugriffe vom Mobilgerät aus eine zweite Authentifizierung erfordern können.

Will man sich über verschiedene Wege authentifizieren: Die Kombination welcher Zugangslösungen ist am sinnvollsten?
Stoica:Hier gibt es keine richtige Antwort. Die Authentifizierung sollte sich an den Nutzern, der Situation und den zu schützenden Daten orientieren. Dennoch ist es wichtig, dass auch bei verschiedenen Typen von Authentifizierung zwei Dinge umgesetzt werden: es muss eine Integration und soweit möglich, eine zentrale Verwaltung umgesetzt werden. Geschieht das nicht, läuft ein Unternehmen Gefahr, falsche Entscheidungen zu fällen, Regulierungen nicht korrekt umzusetzen und die Kosten und den Umfang der Verwaltung gefährlich hoch zu treiben.  

Wie lautet Ihre Einschätzung: Welche mobile Authentifizierungsmaßnahme – sowohl softwarebasiert als auch biometrisch – gilt als die sicherste?
Stoica: Sicherheit ist stets ein Balanceakt: Der Angreifer muss es so schwer wie möglich haben, der Nutzer so leicht wie möglich. Authentifizierung ist ein Paradebeispiel dafür – obwohl einige biometrische Verfahren sehr sicher sein mögen, können sie für den Nutzer große Hindernisse darstellen, mehrfache Authentifizierungsversuche erfordern, schwierig zu verwalten und einzusetzen sein, etc.

Zurzeit arbeitet man mit einigem Eifer an einfacheren biometrischen Authentifizierungsmethoden, die Finger-, Retina- und Iris-Scan übersteigen. Was aber vermutlich wichtiger ist: der Einsatz mobiler Technik macht es um einiges leichter, zusätzliche Authentifizierung einzusetzen, etwa Out-of-band-Passwörter. Das bedeutet, das mobile Authentifizierungsmethoden generell mehr Sicherheit für viel mehr Nutzer bedeuten, und den Zugriff auf Informationen von Mobilgeräten mindestens so sicher gestalten wie andere Zugriffsarten.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok