FIDO- und Tokey-Authentisierung
Die Sicherheit liegt im Prozess
Die IT-Branche reagiert mit der Entwicklung völlig neu konzipierter Authentisierungsprozesse. Erst kürzlich forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen deutsche E-Mail-Nutzer auf, ihre E-Mail-Accounts auf Verseuchung zu überprüfen und gegebenenfalls zu ändern. Der Data Breach Investigations Report 2013 des Mobilfunkanbieters Verizon erfasste 621 verifizierte Dateneinbrüche. Sogar das Mobil-TAN-Verfahren der Sparkassen, bei dem ein Einmal-Passwort während der Transaktion auf das Mobiltelefon geschickt wird, wurde gehackt.
Damit Internet- und Mobile-Business langfristig die erhofften Wachstumstreiber bleiben, müssen die Geschäfte im Cyberspace sicherer werden. "Das Problem sind die Authentisierungsverfahren", meint Phillip Dunkelberger, einst Mitentwickler des Verschlüsselungsverfahrens Pretty Good Privacy (PGP) und Gründer des gleichnamigen Unternehmens. Inzwischen gehört es Symantec.
- Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern. - Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind. - Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren. - Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren. - Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.
Dunkelberger suchte sich ein anderes Betätigungsfeld: die sichere Authentisierung. Er gründete im November 2011 Nok Nok Labs, ein Startup, in dem vor allem hochkarätige Sicherheitsexperten tätig sind. "Niemand kann sich mehr die vielen Passworte merken, außerdem arbeiten die meisten Menschen an mehreren mobilen Geräten", argumentiert er. "Wir brauchen etwas, das für den Anwender extrem einfach ist und gleichzeitig Datendiebstähle in großem Maßstab verhindert."
Woanders reiften ähnliche Ideen: Ramesh Kesanupalli, Technologiechef vom Fingerabdruck-Sensorspezialisten Validity Sensors, schlug dem Paypal-Sicherheitsverantwortlichen Michael Barrett 2009 vor, Paypal solle mit Fingerabdrücken authentisieren. Barrett fand das prinzipiell gut, beharrte aber auf einer standardisierten, herstellerneutralen Lösung. Die beiden Manager begannen mit den Vorarbeiten zur Gründung der FIDO Alliance, die dieses Verfahren entwickeln sollte. Sie gewannen auch Dunkelberger für die Idee. Als die FIDO Alliance im Sommer 2012 startete, gehörten ihr Paypal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio an, inzwischen sind fast alle Authentisierungsspezialisten und noch viele andere Unternehmen dazugestoßen.
- Leitlinie zur Zugangskontrolle
Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten. - Mitarbeiterschulung (Security Awareness)
Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt. - Netzwerksicherheits-Management
Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen. - Informationssicherheit mit Externen
In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein. - Transparentes Risikomanagement
Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Vor einigen Wochen gab die FIDO Alliance den ersten Entwurf ihres Standards zur Kommentierung frei. Das Verfahren ist für den Endanwender kostenlos, basiert auf mindestens zwei Authentisierungsfaktoren (Zwei-Schlüssel-Authentisierung plus biometrisches Merkmal oder Dongle) und ist einfach anwendbar. Passworte muss sich der Anwender damit nicht mehr merken. Auf dem Authentisierungs-Server von Unternehmen, die FIDO nutzen, liegen nur noch öffentliche Schlüssel der Anwender, mit denen niemand etwas anfangen kann.
FIDO hat Schwachstellen: Die zur Anmeldung am Handy benutzten biometrischen Daten liegen irgendwo, Dongles können gestohlen werden. Zudem ist FIDO eine zwar internationale, aber deutlich US-lastige Initiative - derzeit nicht gerade vertrauensfördernd.
Sechs-Personen-Firma
Interessant ist daher ein Berliner Startup, das mit seinem zum Patent angemeldeten Verfahren ebenfalls das Authentisierungsproblem lösen will. Tokey ist derzeit eine Sechs-Personen-Firma auf der Suche nach Venture Capital. Die Firmengründer Jürgen Simon und Rüdiger Baumann haben jeweils mehrere Jahrzehnte DV-Erfahrung. Baumann, in den Achtzigern deutscher Vertriebschef bei Philips, war zuletzt drei Jahre lang CEO bei Zimory, einem Anbieter von Cloud-Management-Software. Der technikaffine Simon beschäftigt sich seit 1996 mit dem Thema Datenschutz. "Irgendwann habe ich begriffen, dass man dieses Thema ins Rechenzentrum zurückholen muss", sagt er. Das leuchtete Baumann ein, dem schon zweimal die Kreditkarte gehackt worden war. Sie gründeten Tokey und entwickelten zwei Jahre lang das Tokey-Verfahren. "Bei uns liegen nirgendwo Authentisierungsdaten, die man stehlen könnte, die Sicherheit steckt im Prozess", erklärt Simon. Der Nachteil: Der Benutzer braucht ein Smartphone, sonst funktioniert das Verfahren nicht.
Den Tokey-Dienst kann man über die Website www.tokey.net testen. Um die Infrastruktur mit Leben zu füllen, sucht das Unternehmen jetzt renommierte Partner, die Sicherheits-Server aufstellen würden, beispielsweise Sparkassen, oder auch Hersteller wie Wincor-Nixdorf, die sich auf Bankautomaten und Kassensysteme spezialisiert haben. Geld will Tokey mit geringen Cent-Beträgen pro Transaktion verdienen, die Shop- oder Servicebetreiber bezahlen, die den Dienst nutzen. "Wir setzen hier aufs Massengeschäft", sagt Baumann.
Vor FIDO ist dem Tokey-Management nicht bange. Bauman: "Unser Verfahren ist absolut sicher, typisch Made in Germany eben."