Zwei-Faktor-Authentifizierung mit Open-Source-Komponenten

Ein Whitepaper der Working Group Security Autoren: Kalman Cinkler, Cornelius Kölbel

716

Download:
White Paper: Zwei-Faktor-Authentifizierung mit Open-Source-Komponenten

Dieses Dokument zeigt, dass sich mit Hilfe von Open Source-Software und offenen Standards eine vertrauenswürdige, zuverlässige Authentifizierungsinfrastruktur nutzen lässt. Diese ermöglicht es Unternehmen, schnell, kostenschonend und nachhaltig bestehende Applikationen mit der Einführung eines zweiten Faktors besser abzusichern. Denn schließlich ist der Schutz der Kunden- und Personaldaten per Gesetz gefordert und damit Chefsache.

Management Summary
Zwei-Faktor-Authentifizierung mit Open-Source-Komponenten

Mit der immer stärkeren Vernetzung erhöht sich zugleich die Bedrohung durch Cyberkriminelle, fremde Geheimdienste und Wirtschaftsspionage. Neben dem unmittelbaren Schaden und den Folgekosten haben sich wiederholt weitere negative Konsequenzen beobachten lassen. Das Bekanntwerden eines Angriffs auf ein Unternehmen kann einen Image-Schaden verursachen sowie dessen Marktwert und weitere Entwicklung erheblich beeinflussen. Wenn es um die Sicherung der Handlungsfähigkeit des Unternehmens geht, spielen folglich präventive Maßnahmen der IT-Sicherheit eine Schlüsselrolle.

Das klassische Passwort, seit den ’60er Jahren des vergangenen Jahrhunderts für Anmeldevorgänge in der IT praktisch unverändert in Gebrauch, genügt den heutigen Anforderungen in keiner Weise. Dies hat seinen Niederschlag in diversen Institutionen und Standards gefunden; einige Beispiele:

  • Der IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) setzt die Zwei-Faktor-Authentifizierung als effiziente Abwehrmaßnahme voraus.
  • Vertrauen durch Sicherheit (VdS) ist eine Institution, die Versicherungsunternehmen Anhaltspunkte zur Einschätzung der Schadenswahrscheinlichkeit liefert und somit maßgeblich die Höhe der festzulegenden Versicherungsprämie beeinflusst. Im Bereich Cyber Security hat VdS im Juli 2015 die Richtlinie VdS 3473 veröffentlicht. Diese richtet sich an kleine und mittlere Unternehmen, die sich gegen Cyber-Angriffe versichern wollen. Darin wird für den Fernzugriff eine Zwei-Faktor-Authentifizierung dringend empfohlen („SOLL“).
  • Der Standard PCI-DSS, den alle Unternehmen, die Kreditkartendaten verarbeiten, befolgen müssen, macht in der Version 3.1 vom April 2015 für den Fernzugriff ebenfalls eine Zwei-Faktor-Authentifizierung zwingend erforderlich.

Die Zwei-Faktor-Authentifizierung gibt ein einfach zu implementierendes, bewährtes und effizientes Schutzsystem zur Hand, die nach heutigen Maßstäben in keinem IT-Abwehrmaßnahmenkatalog eines Unternehmens fehlen darf.


Ein Whitepaper der Working Group Security
Autoren: Kalman Cinkler, Cornelius Kölbel