Security rückt immer mehr in den Fokus der Unternehmen. Seit Schadsoftware wie WannaCry oder Emotet regelmäßig einen Platz in den großen Nachrichtensendungen finden, ist auch das Bewusstsein gestiegen, eigene Daten und Systeme zu schützen. Die Anforderungen erscheinen umfangreich und komplex. Dabei ist schon viel gewonnen, wenn man sauber kontrolliert, wen man auf seine Systeme lässt und wen nicht.
Zu den ältesten Konzepten der Einlasskontrolle zählen Türhüter, die den Besucher kennen, und geheime Passworte, die man dem Türhüter sagen musste. Im Prinzip enthalten diese archaischen Methoden bereits alle Grundelemente eines modernen IAM (Identity And Access Management), Natürlich sind viele Details heute in aktueller Technik implementiert und es gibt auch wesentliche Erweiterungen, aber der Kern dieser grundlegenden Sicherheitstechnik ist sehr alt.
Zugangskontrollen
Schauen wir uns das Grundkonzept moderner Zugangskontrollen doch einmal an. Wer Zugang zu einem Computer, Raum, Gebäudekomplex oder sonstigen Systemen haben will, der muss zunächst einmal sagen, wer er ist. Diesen Vorgang nennt man – kaum überraschend – Identification. Der Zugang wünschende beansprucht eine Identität, in der Regel eine Benutzerkennnung wie Usernamen, nummerische ID oder ähnliches.
„Das kann ja jeder behaupten.“ Genau! Es ist nicht damit getan, meinen Namen zu nennen. Ich muss auch beweisen, dass ich derjenige bin, der zu sein ich vorgebe. Ich muss mich ausweisen.
Der nächste Schritt ist also die Authentifizierung oder Authentication. Hier muss ich etwas vorweisen, an dem der Türhüter (heute Loginroutine, Userverwaltung, Wachdienst, Biometrieleser, …) erkennt, dass ich die Wahrheit gesagt habe. Ist das bewiesen, kann das System mir die Rechte und Privilegien im System zuweisen, die für meinen Account im System hinterlegt sind. Dieser dritte Schritt ist die Authorisierung (Authoriztion), die mich in die Lage versetzt, an oder in dem System meine legitimen Arbeiten zu verrichten.
Kommen wir zurück zur Authentifizierung. Den Nachweis der Identität kann man auf unterschiedliche Art führen. Der Klassiker schlechthin ist natürlich das Passwort. Aber auch die Kreditkarten-PIN und der Fingerabdrucksensor am Smartphone oder Notebook dürfte heutzutage jedem geläufig sein.
Authentifizierungsmethoden
Typischerweise teilt man die verschiedenen Authentifizierungsmethoden in Klassen ein:
- Etwas, was ich weiß: Hierunter fallen Passwörter/Passphrasen, PINs, Muster und ähnliches. Diese Zugangsmittel sind sehr einfach zu handhaben, aber leider auch recht einfach zu stehlen oder zu kopieren. Weil sie nicht in physischer Form existieren müssen, sind sie besonders anfällig für Social Engineering. Allerdings können sie durchaus in physischer Form existieren – man denke an den berühmten Zettel unter der Tastatur – und deshalb gestohlen oder in einem unbeobachteten Moment kopiert werden. Die schnellste Art der Passwortkopie ist übrigens ein Handyfoto.
- Etwas, was ich habe: Damit sind Smartcards, Tokens und Keycards gemeint, aber auch herkömmliche Schlüssel oder Mitarbeiterausweise. Diese Zugangsmittel sind schon schwieriger zu kopieren. Man benötigt zumindest eine Zeitlang ungestörten Zugriff auf die Keycard (Magnetstreifen kopieren) oder den Schlüssel (Wachsabdruck!). Natürlich kommt auch Diebstahl in Frage, aber das hat für den Angreifer den Nachteil, dass die Tat schnell entdeckt wird.
- Etwas, was ich bin: Hier sind wir im Bereich der Biometrie, also der individuellen persönlichen Eigenschaften. Auch diese Technologien haben mittlerweile Einzug in den Alltag gehalten: Fingerabdruckleser oder Gesichtserkennung hat heute jedes neu auf den Markt kommende Smartphone, und in sensiblen Bereichen sind auch Iris-Scans, Handgeometrie, Venenmuster oder Bewegungsmuster beim Schreiben (von Hand und auf der Tastatur) auf dem Vormarsch.Diese Klasse der Authentifizierungsmechanismen bietet heute die größte Sicherheit, was aber weniger an der prinzipiellen Nicht-Knackbarkeit liegt, sondern eher an dem vergleichsweise hohen Aufwand, den der Angreifer betreiben muss, um eine funktionierende Kopie des Schlüssels zu bekommen. Kann der „Sammlungsvorgang“ (Fingerabdruck von der Tasse, Irismuster von Fotos) noch recht einfach sein, so muss diese Information in einem zweiten Schritt noch in eine Form gebracht werden, die der Sensor akzeptiert: eine künstliche Fingerkuppe mit Eigenschaften einer echten Hand, eine Iriskopie in Form einer Kontaktlinse).Aber auch diese Sicherheit ist nicht absolut. Mit schöner Regelmäßigkeit führen findige Bastler vor, wie die neuesten biometrischen Systeme zu überlisten sind. Der alljährliche Chaos Computer Congress (CCC) bietet hier hervorragendes Anschauungsmaterial.
- Etwas, wo ich bin: Zugegeben, der Name dieser Kategorie ist ein wenig sperrig. Gemeint ist, dass es Systeme gibt, die in die Authentifizierung auch die Geolocation des Zugangsuchenden einbeziehen. Die Plausibilisierung von Kreditkartenzahlungen ist ein gutes Beispiel dafür. Wenn ich meine Kreditkartenzahlungen in der Regel aus Deutschland oder einem für deutsche Urlauber typischen Urlaubsziel (Mallorca …) tätige, dann werden diese Zahlungen in aller Regel anstandslos akzeptiert. Vielleicht werden auch Urlaubsregionen im weiteren Ausland wie USA oder Thailand noch akzeptiert. Aber eine Buchung, die unvermittelt aus Russland oder Kolumbien eingereicht wird, dürfte zurückgewiesen werden.Ebenfalls in diese Kategorie fallen Systeme, die Zugang nur von bestimmten, vorher festgelegten Geräten erlauben, zum Beispiel dem IP-Adressbereich, der dem eigenen Unternehmen zugeordnet ist. In Zeiten der „Bring your own device“ Politik in vielen Unternehmen wird dies aber auch immer schwerer durchsetzbar.
Eine Anmerkung zur Einordnung: Natürlich kann man die Mechanismen aller Kategorien sicherer machen. Hochwertige Passwörter beispielsweise sind auch heute noch recht sicher, wie ein Artikel auf Heise Security kürzlich zeigte. Ein Passwort von vor 39 Jahren, auf acht Zeichen begrenzt und mit damals aktueller Verschlüsselungstechnik gesichert, hielt den Entschlüsselungsversuchen immerhin noch rund fünf Jahre lang stand.
Aber dafür muss natürlich auch jeder User solche sicheren Passwörter verwenden. Und man muss sich vor der größten Gefahr hüten: dem Social Engineering. Im Smalltalk verrät man nur allzu leicht den Namen der Freundin oder Frau, des Hundes, das Geburtsdatum … wenn diese Daten nicht sowieso öffentlich (ich sage nur Facebook!) sind.
Dabei sind sichere Passwörter noch recht einfach und können durch Passwortrichtlinien (Mindestlänge, Mindestzeichenvorrat, keine Wörter aus Wörterbüchern) auch in gewissem Maße erzwungen werden. Aber bei Fingerabdrücken ist die Sache schon schwieriger. Um keine Spuren zu hinterlassen, ist man gezwungen, jede Tasse im Cafe, jeden Stift, jede Tastatur, jeden Fingerabdrucksensor(!), jedes Smartphone – im Prinzip jeden Gegenstand, den man anfasst – abzuwischen, bevor man die Kontrolle darüber abgibt. Irgendwann vergisst man mal einen …
Man kommt einfach nicht um die Erkenntnis herum, dass im Prinzip jeder Authentifizierungsmechanismus angreifbar ist und angegriffen wird!
Also was tun?
Als sinnvoller Weg, die Sicherheit im Bereich der Zugangskontrollen zu erhöhen, hat sich die Kombination zweier Methoden erwiesen. Die großen Anbieter wie Apple, Google, PayPal etc., aber auch viele kleinere, bieten bereits an, den Zugang zu ihren Systemen über einen zweiten Faktor abzusichern. In der Regel durch einen Code, der per SMS oder (bei Apple) über interne Verbindungen an andere Geräte, die in demselben Account registriert sind, zugestellt wird.
Banken müssen seit kurzem, von der EU über die PSD2-Richtlinie erzwungen, den Zugang zu GIRO-Konten sowie verschiedene Vorgänge auf diesen Konten (Kontostand abrufen, Überweisung tätigen) über einen zweiten Faktor absichern.
Die Einwahl in Firmennetze vom eigenen Gerät (z.B. aus dem immer weiter verbreiteten Home Office) wird oft über eine Kombination aus Passwort und einem per Security Token erzeugten Code abgesichert.
Das Konzept der Kombination mehrerer Methoden ist immer gleich: es mag (zu) einfach sein, einen einzelnen Mechanismus auszuhebeln. Aber um an einem Mehrfachmechanismus vorbei zu kommen, muss man als Angreifer den mehrfachen Aufwand betreiben. Und das Maß für die Sicherheit ist ja letztlich immer der Aufwand, den man für einen Einbruch betreiben muss. Immer kombiniert mit dem Wert der Daten, die nach dem Einbruch zu erwarten sind.
Es gibt allerdings (mindestens) zwei Fallstricke, die bei der Implementierung von Multi Factor Authentication zu berücksichtigen sind.
Der erste leitet sich schon aus dem Namen ab. „Multi Factor“ bedeutet, dass die beiden (wir bleiben der Einfachheit halber mal bei zwei Mechanismen) Sicherungsmechanismen aus unterschiedlichen der oben beschriebenen Kategorien – eben den Faktoren – kommen müssen. Wenn ich mir ein Passwort aufschreibe, dann wahrscheinlich auch eine PIN. Wenn ich mein Security Token verliere, wie sicher verwahre ich dann die Keycard? Die angestrebte Aufwandsmultiplikation für den Angreifer ergibt sich nur, wenn er für jeden Faktor etwas anderes tun muss und immer wieder von vorne anfängt.
Ebenso wichtig ist es, darauf zu achten, dass die Informationen für beide Faktoren über vollständig getrennte Kommunikationskanäle laufen und man keinen Single Point of Weakness schafft. Eine Mobile TAN beispielsweise erhöht die Transaktionssicherheit nicht wesentlich, wenn sie auf demselben Gerät (Smartphone) ankommt, auf dem sie zur Verifikation eingegeben werden muss. Sitzt der Angreifer (also häufig eine Schadsoftware) auf genau diesem Gerät, dann hat er potenziell Zugriff auf beides und kann die Transaktion hinter Ihrem Rücken (d.h. für Sie unsichtbar) fälschen.
Im Zusammenhang mit der schon erwähnten PSD2-Richtlinie tun Banken da im Augenblick erstaunliche Dinge. Nicht nur, dass sich ein ganzer Zoo von bankspezifischen Authentifizierungs-Apps auf dem Smartphone ansammelt, sondern letztlich wird jedes Konto, jede Kreditkarte, die sich nur noch über eine Smartphone-App authentifizieren lässt, auf diesem Smartphone unbrauchbar.
Fazit
Es ist noch viel zu tun. Naja – alles andere wäre auch überraschend, ist doch die Security ein ständiger Wettlauf zwischen Jäger und Gejagtem, zwischen Angreifer und Verteidiger.
Aber mit den hier vorgestellten Konzepten haben Sie eine solide Werkzeugkiste in der Hand, mit der sie eines der größten Einfallstore für böswillige Zeitgenossen absichern können.
Bildnachweise: Titelbild © Fotolia By bluebay2014; Bild im Text: ©devenorr/AdobeStock