Multifaktor-Authentifizierung: Warum sie für die hybride Arbeitswelt unverzichtbar ist

Höhere Sicherheit und verbesserter Benutzerkomfort: Moderne Verfahren für die Multifaktor-Authentifizierung schützen Daten und Netzwerke in hybriden Arbeitsumgebungen und erleichtern gleichzeitig den Zugang zu unterschiedlichsten IT-Anwendungen. Damit sind sie ein wichtiger Baustein für den Aufbau einer Zero-Trust-Architektur.

Inhalt

Was ist Multifaktor-Authentifizierung?
Passwortlose Multifaktor-Authentifizierung entlastet Anwender*innen
Warum Identity Provider immer wichtiger werden
Vorteile eines Identity Providers für das Unternehmen und die IT
Multifaktor-Authentifizierung und Analytics als Teil einer Zero-Trust-Strategie

Gestohlene oder geknackte Passwörter sind nach wie vor eines der größten IT-Sicherheitsrisiken. Aus Security-Sicht ist es daher fahrlässig, Remote-Zugriffe auf Unternehmensnetzwerke nur mit Benutzernamen und Passwort abzusichern. Stattdessen sollten Unternehmen heute unbedingt auf eine moderne Multifaktor-Authentifizierung setzen, wenn sie mobilen Anwender*innen oder Mitarbeiter*innen im Homeoffice den Zugang zu internen IT-Ressourcen ermöglichen wollen.

Was ist Multifaktor-Authentifizierung?

Bei einer Multifaktor-Authentifizierung wird die Zugangsberechtigung von Anwender*innen durch mindestens zwei unabhängige Merkmale überprüft – also beispielsweise durch etwas, das die Anwender*innen wissen (wie beispielsweise ein Passwort) und etwas, das sie besitzen (wie etwa ein Mobiltelefon). Erst nach der erfolgreichen Authentifizierung erhalten sie Zugriff auf die Ressourcen, die für sie freigegeben sind. Das können zum Beispiel virtuelle Desktops, Cloud Services wie Microsoft 365, Web-Anwendungen oder andere IT-Dienste des Unternehmens sein.

Zu den ersten Lösungen für die Zweifaktor-Authentifizierung gehörten Hardware-Token, die am Schlüsselbund getragen wurden und Einmal-Codes für die Benutzeranmeldung generierten. Mittlerweile gibt es eine Vielzahl unterschiedlicher Verfahren für die Benutzerauthentifizierung, darunter SMS, Push-Benachrichtigungen, mobile Soft-Token, Zertifikate, biometrische Merkmale und vieles mehr. 

Nicht alle diese Verfahren gelten heute noch als „State of the Art“. So sind Cyberkriminelle mittlerweile in der Lage, SMS-Nachrichten unbemerkt abzufangen und so eine Multifaktor-Authentifizierung auszuhebeln. IT-Verantwortliche sollten daher unbedingt darauf achten, dass ihre Strategie neuesten Technologiestandards entspricht.

Passwortlose Multifaktor-Authentifizierung entlastet Anwender*innen

Neben dem Sicherheitsniveau spielt auch die User Experience bei der Konzeption einer Multifaktor-Authentifizierung eine wichtige Rolle. Ziel sollte sein, den Anmeldevorgang für die Benutzer*innen so einfach und intuitiv wie möglich zu gestalten. Unternehmen setzen daher zunehmend auf passwortlose Verfahren. Insbesondere drei Ansätze sind dabei heute verbreitet:

• Mobile Push-Authentifizierung: Bei diesem Verfahren werden die Anwender*innen aufgefordert, die Anmeldung am Firmen-Desktop mit ihrem Mobiltelefon zu bestätigen. Sie erhalten eine Push-Nachricht auf ihrem mobilen Endgerät, entsperren das Gerät und bestätigen, dass sie tatsächlich gerade versucht haben, sich anzumelden. Der Desktop wird dann sofort geöffnet, ohne dass die Eingabe eines Passwort notwendig ist. Ein Vorteil aus Sicht der IT: Sie kennt alle Mobilgeräte, die für den Empfang der Push-Benachrichtigungen genutzt werden – und kann einzelne Geräte sehr einfach sperren, wenn diese beispielsweise verloren gegangen sind.
  
  
• Authentifizierung mit FIDO-Token: Diese Sicherheitstoken ähneln äußerlich einem USB-Stick und nutzen für die Authentifizierung den Standard FIDO2, der von der nichtkommerziellen FIDO-Allianz entwickelt wurde. FIDO steht dabei für „Fast Identity Online“. Auch beim Einsatz von FIDO-Token entfällt die Eingabe eines Passworts. Benutzer*innen müssen den Token nur über den USB-Anschluss mit ihrem Endgerät verbinden, um sich gegenüber dem Sicherheitsdienst zu authentifizieren. Einige FIDO-Token verfügen zudem über einen Fingerabdruckscanner oder erfordern die Eingabe einer PIN. So ist der Zugang zu den IT-Anwendungen durch einen weiteren Faktor abgesichert.
  
  
• Zertifikatsbasierte Authentifizierung: Ein weiteres beliebtes passwortloses Verfahren ist die Authentifizierung auf Basis von Zertifikaten. Die Zertifikate werden auf vertrauenswürdigen Geräten wie etwa firmeneigenen Smartphones installiert. Um sich am Desktop anzumelden, müssen sich Anwender*innen nur mit diesem Gerät ihrem Arbeitsplatzrechner nähern. Via Bluetooth oder NFC werden die User-Berechtigungen dann berührungslos an den Desktop übertragen – und der/die Benutzer*in erhält sofort Zugriff auf alle Applikationen und Dienste. Sehr komfortabel lassen sich Desktops dann auch automatisch wieder sperren, sobald sich Beschäftigte von ihrem Arbeitsplatz entfernen.

Warum Identity Provider immer wichtiger werden

Um die verschiedenen Authentifizierungsverfahren und Benutzerzugriffe zentral zu steuern und zu überwachen, sollten Unternehmen einen zentralen Identity Provider nutzen. Wir setzen bei unseren Kundenprojekten dabei vor allem auf Microsoft Azure AD, VMware Workspace ONE Access oder die IAM-Plattform von Entrust.

Der Identity Provider speichert und verwaltet die digitalen Identitäten der Benutzer*innen und ermöglicht als vertrauenswürdige Instanz auch eine sichere Authentifizierung bei extern bereitgestellten Geschäftsanwendungen wie etwa SaaS-Diensten. Benutzer*innen können sich dadurch mit den vertrauten Verfahren auch bei neuen Diensten anmelden, die das Unternehmen für sie freigegeben hat. 

Der Einsatz eines Identity Providers bietet damit enorme Vorteile – sowohl für die Anwender*innen als auch für die IT. Anwender*innen müssen sich nicht für jeden zusätzlichen Service neue Kombinationen aus Benutzernamen und Passwörtern merken. Stattdessen nutzen sie stets die bekannten Authentifizierungsmethoden, die idealerweise bereits passwortlos funktionieren. Zudem unterstützen Identity Provider meist auch einen Single Sign-On – so müssen sich Beschäftigte nur einmal anmelden, um alle freigegebenen Dienste nutzen zu können.

Vorteile eines Identity Providers für das Unternehmen und die IT

• Höhere Sicherheit: Unternehmen können über alle Geschäftsanwendungen hinweg einheitlich hohe Standards bei der Benutzerauthentifizierung etablieren. Zudem besteht nicht mehr die Gefahr, dass Anwender*innen Spickzettel oder Listen mit Passwörtern anlegen und an unsicheren Orten aufbewahren. Das Risiko von unbefugten Zugriffen wird dadurch erheblich verringert.
  
  
• Entlastung der IT-Abteilung: Die zentrale Verwaltung aller Benutzeridentitäten und die föderierte Authentifizierung bei externen Diensten erleichtern den Administrator*innen die Arbeit. Sie müssen keine individuellen Benutzerlisten für unterschiedliche Anwendungen pflegen und aktuell halten, sondern können alles über eine Lösung managen.
  
  
• Granulare Zugriffskontrolle: Technologien wie Microsoft Azure Conditional Access beziehen Faktoren wie den Sicherheitszustand des Endgeräts oder den Benutzerstandort in den Anmeldevorgang ein. So lässt sich beispielsweise richtlinienbasiert festlegen, dass Endgeräte, denen wichtige Security-Patches fehlen, keinen Zugriff auf interne Ressourcen erhalten. Bei Zugriffen aus unsicheren Netzwerkumgebungen können zusätzliche Authentifizierungsschritte vorgeschrieben werden. So ist die IT in der Lage, für jedes Zugriffsszenario die passenden Schutzmaßnahmen umzusetzen.
  
  
• Zentrales Logging: Nicht zuletzt hilft ein zentraler Identity Provider der IT-Abteilung, alle Zugriffe auf die unterschiedlichen Ressourcen im Blick zu behalten und zu dokumentieren. Für Audit-Zwecke oder zur Aufklärung von Sicherheitsvorfällen lässt sich jederzeit abrufen, welche Anwender*innen zu einem bestimmten Zeitpunkt auf welche Dienste zugegriffen haben – und welche Authentifizierungsverfahren dafür genutzt wurden.

Multifaktor-Authentifizierung und Analytics als Teil einer Zero-Trust-Strategie

Moderne, mehrstufige Authentifizierungsverfahren sind einer der wichtigsten Bausteine einer Zero-Trust-Strategie. Bei diesem Ansatz wird nicht mehr grundsätzlich zwischen Anwender*innen und Endgeräten innerhalb und außerhalb des Firmennetzes unterschieden. Stattdessen geht man davon aus, dass auch interne Zugriffe von berechtigten Benutzer*innen eine mögliche Gefahr darstellen können.

Für echte Zero-Trust-Sicherheit ist es wichtig, die Multifaktor-Authentifizierung mit weiteren Security-Technologien zu kombinieren. Lösungen wie Citrix Analytics können beispielsweise mit Hilfe von Machine Learning selbstständig verdächtiges Anwenderverhalten erkennen. Meldet sich etwa ein Benutzer innerhalb kürzester Zeit von zwei ganz unterschiedlichen Standorten aus an, ist die Gefahr eines unbefugten Zugriffs relativ hoch. In diesem Fall werden dann automatisch die notwendigen Schutzmaßnahmen ergriffen. Bei einem untypischen Benutzerverhalten, beispielsweise durch den Zugriff eines Hackers, kann dies erkannt und der Schaden abgewendet werden.

Citrix Analytics liefert in den Bereichen Security und Performance wertvolle Vorarbeit. Im Bereich Security werden nicht nur externe Gefahrenquellen beobachtet, die Ihr Netzwerk bedrohen, sondern der Fokus liegt auch auf den Aktivitäten innerhalb Ihrer IT-Infrastruktur. Mit der Entwicklung von individuellen Risikobewertungen für jedes Userprofil mittels Machine Learning haben Malware und Cyberattacken keine Chance Schäden anzurichten. Dadurch wird das Benutzererlebnis für Mitarbeiter*innen in keiner Form eingeschränkt.

Der Einsatz der passenden Multifaktor-Authentifizierung für Ihre IT-Infrastruktur rundet Ihre Zero-Trust-Strategie ideal ab. Das Resultat: eine höhere IT-Sicherheit und ein verbesserter Benutzerkomfort. Um mögliche Risiken frühzeitig zu erkennen und Schaden abzuwehren, sollten aber auch beim Einsatz modernster Technologien Endgeräte und Benutzer*innen immer wieder validiert werden. 

Nehmen Sie Kontakt mit uns auf, wenn Sie mehr über die Möglichkeiten von Multifaktor-Authentifizierung erfahren möchten. Gemeinsam mit unseren Technologiepartnern unterstützen wir Unternehmen bei der Umsetzung sicherer Zugriffslösungen und beim Aufbau moderner Zero-Trust-Architekturen.