2FA: Starke Nutzer-Authentifizierung wird immer wichtiger

Reaktion auf die COVID-19-Pandemie und bessere Erfüllung von Richtlinien

[datensicherheit.de, 30.06.2020] Durch eine erhöhte Anzahl an Fernzugriffen auf Unternehmensnetzwerke wird eine starke Authentifizierung der Nutzer immer wichtiger. Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) hat sich deshalb mit Marc Bütikofer (MB), Head of Innovation Security Solutions bei Airlock, zusammengesetzt und über das Thema Zwei-Faktor-Authentifizierung (2FA) gesprochen.

Marc Bütikofer , Head of Innovation Security Solutions bei Airlock, Bild: Airlock

ds: Wiese sollten Zugänge über eine 2FA gesichert werden?

MB: Einerseits verlangen das staatliche Regulierungen, wie die PSD-2 für Zahlungsdienstleister, andererseits hilft es dabei, andere Richtlinien, wie die EU-DSGVO, besser zu erfüllen. Außerdem schafft es ein höheres Vertrauen der Kunden in die Dienste und damit das Unternehmen, weil jene sicher sein können, dass personenbezogenen Daten doppelt geschützt werden. Außerdem erlaubt eine Sicherung der Zugänge über 2FA es, komfortable Angebote, wie Single-Sign-On für alle Web-Services eines Unternehmens oder den Zugriff auf User-Self-Services sicher zur Verfügung zu stellen. Auch für den Zugriff von Mitarbeitern auf das Firmennetzwerk lässt sich Airlock 2FA gut einsetzen, etwa zur Absicherung von VPN-Fernzugriffen in Zeiten des Home Offices.

ds: Welche Form der Zwei-Faktor-Authentifizierung offeriert der Airlock-Secure-Access-Hub und warum?

MB: Der Zugang wird über eine App abgewickelt, die auf Bordmittel der Smartphones zurückgreift, wie FaceID für die Gesichtserkennung oder TouchID für den Fingerabdruck. Diese sind einerseits bewährt und andererseits geht damit die Implementierung schnell und günstig über die Bühne. Prinzipiell gibt es vier Methoden: One-Touch schickt bei der Anmeldung am Desktop eine Push-Nachricht auf das Smartphone, die bestätigt werden muss. Zero-Touch greift zur Bestätigung auf Umgebungs-Informationen zurück, wie Hintergrundgeräusche; eine umständliche Interaktion des Nutzers fällt weg. Fehlt die Datenverbindung des Smartphones, kann eine Offline-Anmeldung mittels QR-Code erfolgen. Außerdem lässt sich Offline auch ein Passcode verwenden, der alle 30 Sekunden automatisch geändert wird. Das entspricht beispielsweise der Funktion des bereits gängigen Hardware-Tokens, den viele Firmen für den Zugriff auf ihr VPN-Netzwerk einsetzen. Die Kommunikation zwischen Airlock 2FA und Smartphones findet über einen Cloud-Dienst statt.

Wer auf das Smartphone verzichten möchte, kann auch den Airlock 2FA Hardware Token verwenden, der, wie ein Smartphone, über Display und Kamera verfügt.

ds: Wie implementieren Sie 2FA/ den Secure Access Hub in Unternehmen?

MB: Bislang haben wir externe 2FA Lösungen für unsere Kunden auf Wunsch für diese eingebaut. Nun haben wir auf die starke Nachfrage nach 2FA mit einer eigenen Lösung reagiert und sie als Komponente unseres bewährten Secure Access Hubs gestaltet. Damit können wir sie besser auf die Bedürfnisse unserer Kunden und die anderen Komponenten des Hubs abstimmen. Airlock 2FA lässt sich bei neuen Kunden zusammen mit dem Secure Access Hub oder als Erweiterung bei Bestandskunden einführen.

ds: Gibt es besondere Hürden in den IT-Infrastrukturen, welche die Implementierung erschweren?

MB: Natürlich ist es stets einfacher, wenn keine Legacy-Systeme eingebunden werden müssen oder direkt mit 2FA zusammenarbeitende Komponenten, wie ein cIAM, von uns kommen und aufeinander abgestimmt sind. Aber Airlock 2FA lässt sich tatsächlich sehr einfach integrieren und mit bestehenden Systemen verknüpfen. Die zugehörige App wird über die bekannten App-Stores heruntergeladen und kann völlig generisch an Branding und Bedürfnisse des Kunden angepasst werden. Ein SDK erlaubt es außerdem, die 2FA-Funkionen in eigene Anwendungen zu integrieren.

ds: Wie schnell lässt sich 2FA integrieren?

MB: Je nach Anforderungen innerhalb weniger Stunden oder Tage. Monatelange Projekte entfallen dank der einfachen Integrationsmöglichkeiten und nahtloser Integration mit den anderen Komponenten vom Secure Access Hub.

ds: Stehen sich Sicherheit und Usability bei Zwei-Faktor-Authentifizierung im Weg?

MB: Ein Spannungsfeld liegt in der Natur der Sache, aber das ist ja die Herausforderung, diesen Spagat zu schaffen. Es geht darum, IT-Sicherheit einfach zu machen, sodass sie zum Beschleuniger von Innovationen wird, nicht zur Bremse.

ds: Wie optimieren Sie die Usability ohne die Sicherheit der 2FA zu kompromittieren?

MB: Wir setzen auf komfortable Methoden, um den zweiten Faktor abzufragen, wie Zero-Touch und One-Touch, statt der umständlichen und teuren SMS-Codes oder beispielsweise OTP-Eingaben. Außerdem haben wir bestimmte Prozesse so einfach wie möglich gestaltet, damit sie nicht nur technisch versierte Nutzer ausführen können. Neue Mitarbeiter lassen sich so schnell einbinden, die Angestellten können die Art des zweiten Faktors selbst auswählen und ein Wechsel des Smartphones kann dank der durch uns optimierten Prozesse ohne Helpdesk sehr einfach vonstatten gehen.

ds: Was macht die Herangehensweise des Secure Access Hubs einzigartig?

MB: Der Secure Access Hub ist eine Plattform, die verschiedene Komponenten zentral steuert und unter einem Dach vereint – ein Sicherheitspaket sozusagen. Dazu gehören Web Application Firewall (WAF), Customer Identity and Access Management (cIAM), API Gateway und nun eben 2FA. Alle Sicherheitslösungen stammen aus einer Hand und sind daher aufeinander abgestimmt. Es kommt also nicht zu den üblichen Kommunikationsproblemen zwischen den Produkten verschiedener Hersteller, die wiederum zu Sicherheitslücken führen können. Wir haben das Experten-Wissen vieler Absolventen der ETH Zürich und stehen mit der Universität in engem Kontakt. Wir sitzen in Zürich und bauen alles bei uns im Haus. Das ist echte Schweizer Qualität. Sogar der Support wird von uns persönlich geleistet.

ds: Wie werden die Daten der Mitarbeiter geschützt (besonders bei einer Authentifizierung über Kamera oder Audio)?

MB: Biometrische Daten – also Daten aus Fingerabdrücken oder Gesichtserkennung – verlassen das Mobiltelefon nicht, sie werden also nie zum Server geschickt. Sie werden ausschließlich verwendet, um auf dem Mobile kryptografisches Schlüsselmaterial freizuschalten. Die Zero-Touch-Authentisierung kann auf dem Vergleich von Hintergrundgeräuschen basieren. Audiodaten werden ans Mobiltelefon geschickt und dort verglichen. Die dabei verwendete Datenverbindung ist Ende-zu-Ende verschlüsselt und ist damit für den Server nicht sichtbar. Die Privatsphäre des Benutzers ist damit immer gewährleistet.

ds: Wie sieht das Lizensierungsmodell des SAH und der 2FA aus?

MB: Die meisten Kunden entscheiden sich für ein Mietmodell – also monatliche/jährliche Kosten anstatt von einmaligen Lizenzzahlungen mit einem Wartungsvertrag. Für einen Neukunden mit 100.000 Usern belaufen sich die jährlichen Kosten auf ca. 100.000 Euro – also 1 Euro pro User pro Jahr.

Weitere Informationen zum Thema:

Airlock
Unternehmenswebsite

datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden