Anwendungen – Apps, Fachartikel

IT-Sicherheitsgesetz wird Nutzung starker Authentifizierung unumgänglich machen

IT-Sicherheitsgesetz wird Nutzung starker Authentifizierung unumgänglich machen

Logische Zugangskontrolle (Quelle: HID Global)

Das neue IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, dass sie adäquate „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ ergreifen. Ausdrücklich gefordert wird dabei eine Einhaltung des „Stands der Technik“. Und da liegt bei vielen Behörden und Unternehmen noch einiges im Argen – vor allem im Hinblick auf starke Authentifizierungsverfahren im Umfeld sicherheitskritischer Anwendungsbereiche.

Seit 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es hat wichtige Weichenstellungen hinsichtlich der Notwendigkeit gebracht, umfassende Sicherheitsmaßnahmen zu ergreifen. Das betrifft alle Betreiber kritischer Infrastrukturen. Eine exakte Begriffsdefinition findet sich im Gesetz nicht, allerdings wird hierzu noch eine entsprechende Rechtsverordnung folgen, deren Erarbeitung durch das Bundesministerium des Innern bis Ende 2015 erfolgen soll. Doch der Begriff ist auf jeden Fall sehr weit gefasst, da im Gesetzestext bereits die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen genannt werden. Dass nahezu alle staatlichen Einrichtungen und eine große Anzahl von Unternehmen darunter fallen, liegt auf der Hand. Im Gesetzentwurf der Bundesregierung wird auf aktuelle Schätzungen verwiesen, die von einer Anzahl von 2.000 meldepflichtigen Betreibern kritischer Infrastrukturen ausgehen. Andere Untersuchungen kommen allerdings zu erheblich höheren Werten, die bei weit über 10.000 liegen.

Im neuen Gesetz wird ausgeführt, dass die Betreiber kritischer Infrastrukturen künftig verpflichtet sein werden, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

Die ActivID Appliance von HID Global ist eine vielseitige, einfach zu installierende Lösung für die Multi-Faktor-Authentifizierung zum sicheren Zugriff auf Unternehmensnetzwerke und -anwendungen. (Quelle: HID Global)

Doch was heißt hier konkret „Stand der Technik“? Das BSI (Bundesamt für Sicherheit in der Informationstechnik) meint hierzu: „Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Stan-dards wie DIN oder ISO-Standards (...) ermitteln.“ In Deutschland sind hier vor allem auch die IT-Grundschutzkataloge des BSI zu beachten. In ihnen finden sich viele Standards für die IT-Sicherheit, die gerade für Betreiber von kritischen Infrastrukturen relevant sind und die vielfach noch nicht ausreichend berücksichtigt werden. Das haben zahlreiche Sicherheitsvorfälle und erfolgreiche Cyber-Attacken der letzten Vergangenheit ganz klar gezeigt. IT-Security etwa, die nur auf einer klassischen Perimeter-Sicherheit mit Firewall und Antivirenlösungen sowie einem einfachen Passwortschutz basiert, ist vielfach an ihre Grenzen gestoßen. Vor allem Cyber-Angriffe über passwortgeschützte privilegierte Benutzerkonten von Administratoren konnten damit nicht verhindert werden – selbst wenn ein Unternehmen eine strikte Passwort-Policy verfolgt hat, eventuell sogar mit einer automatischen, regelmäßigen Änderung aller Passwörter. Gerade für Betreiber kritischer Infrastrukturen sind derartige Ansätze völlig unzureichend, denn sie entsprechen weder dem Stand der Technik noch den Mindeststandards für IT-Sicherheit im Sinne des neuen Gesetzes. In den Maßnahmenkatalogen des IT-Grundschutzes heißt es im Hinblick auf die Identifizierung und Authentifizierung der Benutzer von IT-Systemen und -Anwendungen: „Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte.“

 

Die Crescendo C1100 von HID Global ist eine Smartcard im Kreditkartenformat, die sowohl für die starke Authentifizierung als auch für die physische Zutrittskontrolle verwendet werden kann (Quelle: HID Global)

Ein zuverlässiger Schutz für kritische Systeme und Daten sollte somit nach dem BSI mit einer integrierten Sicherheitslösung realisiert werden, die zumindest eine starke Zwei-Faktor-Authentifizierung unterstützt. Die starke Authentifizierung geht deutlich über die Sicherheit eines einzelnen Passworts hinaus. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Der Faktor „Wissen“ (Passwort oder PIN) wird mindestens um den Faktor „Besitz“ (Smartcard, Token etc.) und eventuell noch um den Faktor „Eigenschaft“ (Biometrie) oder „Verhalten“ erweitert.

Mobiles Arbeiten erhöht das Sicherheitsrisiko

Die Multifaktor-Authentifizierung ist allein schon deshalb unerlässlich, da das mobile Arbeiten im Trend liegt. Kann der einzelne Mitarbeiter von allen Orten aus, auf allen Plattformen und mit Hilfe von allen genutzten Geräten auf Informationen zugreifen, bedeutet dies zunächst einmal eine deutlich gesteigerte Flexibilität, andererseits aber auch ein höheres Sicherheitsrisiko. Es ergibt sich nicht nur durch die Gefahr der Vermischung privater und geschäftlicher Daten, sondern vor allem, weil die digitalen Identitäten der Nutzer ein primäres und äußerst lukratives Angriffsziel sind. Beseitigt werden kann dieses Risiko nur mit einer starken (mehrschichtigen) Authentifizierungslösung.

Sicherung von IT-Systemen erfordert starke Authentifizierung

Im Einzelnen sollte eine zukunftsweisende Authentifizierungslösung die Möglichkeit bieten, verschiedene Authentifizierungsgeräte zu nutzen, beispielsweise Hardware-Einmal-Passwort-Generatoren, Smartcards oder USB-Token. Auch Soft-Token zur Einmal-Passwort-Erzeugung auf mobilen Geräten, die auf iOS, Android, Windows Mobile oder anderen Betriebssystemen basieren, empfehlen sich zur Authentifizierung. Darüber hinaus sollte der Versand von Einmal-Passwörtern per SMS oder E-Mail möglich sein. Zum Aufbau einer adäquaten Authentifizierungsinfrastruktur müssen nicht zuletzt unterschiedliche Zugangskanäle unterstützt werden, zum Beispiel RADIUS für klassische Remote- und VPN-Zugänge und SAML (Security Assertion Markup Language) für Web-SSO (Web-Single-Sign-On) und Cloud-Dienste. Das ist vor allem deshalb von Bedeutung, da sich im Hinblick auf die zunehmende Verbreitung von Cloud-basierten Anwendungen beim Anmeldeverfahren gerade die Verwendung von Federation-Services (zum Beispiel Microsoft ADFS) mit Web-SSO empfiehlt.

Starke Authentifizierung bietet hohe Sicherheit und vereinfachte Administration

Die Vorteile einer integrierten Authentifizierungslösung betreffen vor allem die Aspekte Sicherheit, Administration, Flexibilität und Kosten. Mehr Sicherheit ergibt sich durch die Zwei- oder Mehr-FaktorAuthentifizierung, mit der potenzielle Sicherheitslücken geschlossen und unberechtigte Zugriffe zuverlässig verhindert werden können. Ein wesentlicher Vorteil einer integrierten Gesamtlösung, mit der unterschiedliche Credentials über ihren gesamten Lebenszyklus verwaltet werden können, liegt auch in der vereinfachten, zentralisierten Administration. Beispielsweise können mit Lösungen wie dem ActivID Credential Management System (CMS) von HID Global Smartcards sowie die damit verbundenen Schlüssel und Daten und PKI-Zertifikate zentral und hochsicher administriert werden. Dabei sind Smartcards im gewohnten Kreditkartenformat genauso zu verwalten wie USB-Token. Ergänzt durch die ActivID-Authentifizierungsplattform von HID Global ergibt sich eine hohe Flexibilität, da mit dieser Lösung eine adaptive Authentifizierungsstrategie umgesetzt werden kann, das heißt, es können unterschiedliche Zugangsebenen festgelegt werden, indem definiert wird, welches Credential eine Person für die Authentifizierung benötigt und welche Art von Zugang gewährt wird. Nicht zuletzt kann eine solche Komplettlösung, die unterschiedlichste und neueste Authentifizierungsmethoden unterstützt, auch unter Kostenaspekten punkten. Denn damit vermeiden Unternehmen Investitionen für den Aufbau und die Instandhaltung mehrerer Authentifizierungsinfrastrukturen für unterschiedliche Zwecke.

Konvergenzlösungen sind der nächste Schritt

Wer noch einen Schritt weitergehen möchte, kann auch die Nutzung einer KonvergenzLösung erwägen, das heißt, die Authentifizierungslösung in Richtung physische Zutrittskontrolle erweitern. Konvergenz heißt, dass die Funktionalitäten von Zutritts- und Zugangslösungen wie Schlüssel, Ausweiskarten oder Token auf einer multifunktionalen Smartcard integriert werden, mit der dann Türen geöffnet werden können und gleichzeitig auch ein Zugang zu Rechnern und unterschiedlichsten IT-Anwendungen möglich ist. Dadurch werden Investitionen in separate Infrastrukturen für die physische und logische Authentifizierung überflüssig. Nicht nur das Unternehmen profitiert von einer solchen Lösungsintegration, sondern auch der einzelne Benutzer, für den sich ein erhebliches Plus an Komfort ergibt. So kann er eine einzige Ausweiskarte sowohl für den physischen Zutritt als auch den Zugang zu IT-Ressourcen verwenden, ohne dass er sich zum Beispiel zusätzliche Passworte merken muss.


Die Notwendigkeit zur Integration einer Mehr-Faktor-Authentifizierung für einzelne User sollte für ein Unternehmen heute generell nicht mehr in Frage stehen. Vor allem aber Betreiber kritischer Infrastrukturen müssen sich heute intensiv mit dem Thema auseinandersetzen. Ein Blick in die jüngste Vergangenheit zeigt, dass traditionelle Sicherheitsstrukturen für den Schutz vor Cyber-Attacken nicht mehr ausreichend sind – und auch nicht den Anforde-rungen des neuen IT-Sicherheitsgesetzes genügen.

* Markus Windisch ist Sales Manager Identity Assurance EMEA bei HID Global in Walluf

Diesen Artikel empfehlen

Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN

Problematischer jedoch ist, dass auch sieben Tage danach noch 620 davon anfällig waren. Innerhalb einer Woche haben also nur 33 Service-Anbieter die Sicherheitslücke beseitigt. Verglichen mit den Reaktionen auf andere SSL-Schwachstellen mit ähnlicher Tragweite - beispielsweise Heartbleed oder...

TÜV Süd & IT Sicherheit

Für alle gilt aber, dass sie sich bewusst sein müssen, welche Gefahren durch die Digitalisierung unserer Welt bestehen, was ihre Folgen sind und wie sie ihnen begegnen können. Außerdem ist es gerade für global tätige Firmen und insbesondere für jene aus dem Bereich Critical Infrastructure wichtig,...

Studie: Wahrnehmung und Bedenken von IT-Sicherheitsverantwortlichen

James Carder von LogRhythm fasst die sieben zentralen Punkte der Studie zusammen: 1. Unternehmen sehen Informationssicherheit mittlerweile als geschäftstreibenden Faktor – und damit essenziell für strategische Entscheidungen. In diesem Jahr werden fast 60 Prozent der Unternehmen mehr als 11...

Threat Hunting, Unknown und Shadow Assets, Cybersecurity Framework

Auf der RSA Conference in San Francisco hat Tenable heute drei neue Lösungen vorgestellt, die Kunden dabei helfen, deren Sicherheit zu transformieren und gängige Herausforderungen mittels einer strategischen Vision anzugehen.„Die Branche hat sich seit Jahrzehnten auf das Defense-in-Depth-Modell...

FireEye: mehr Marktpräsenz mit zwei neuen Produkten

FireEye Power richtet sich an Organisationen mit ausgereifter IT-Sicherheit. Mit einem integrierten Security-Workflow und hoher kontextueller Intelligence bietet es umfassenden Schutz und eine hohe Sichtbarkeit über das ganze Unternehmen hinweg. FireEye Essentials ist für Organisationen, die...

Massive Datenschutzbedenken gegen die Begrenzung von Bargeldzahlungen

Datenschutz Aus Sicht des Datenschutzes sind die informationelle Selbstbestimmung und das Grundrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz massiv betroffen. Je mehr Zahlungen (gezwungenermaßen) in den bargeldlosen Zahlungsverkehr verlagert werden, desto mehr entsteht die...

Mehrfaktor-Authentifizierung: Mehr Komfort oder mehr Sicherheit?

Um die Usability bei der Authentifizierung zu verbessern, werden immer mehr  „adaptive“ Mehrfaktor-Verfahren angeboten. Ursprünglich diente dieser Ansatz dazu, bei erhöhten Sicherheitsanforderungen „adaptiv“ eine weitere Sicherheitsschranke vor zuschalten. Einige adaptive Zweifaktor-Lösungen...

Verstecktes Internet

Im White Paper „Das versteckte Internet“ skizzieren die Expertinnen und Experten des Forschungsverbunds „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ die aus Sicht des Privatheitsschutzes problematischen Aspekte smarter Technologien und zeigen mögliche Gestaltungspotenziale...

Fünf größte Irrtümer über DDoS

Als Anbieter von DDoS- und ATP-Lösungen (Advanced Threat Protection) zum Schutz der Netzwerke von Unternehmen und Service-Providern verfügt Arbor Networks über die umfassendsten und aktuellsten Informationen zur internationalen Bedrohungslage des digitalen Datenverkehrs. Das einzigartige Arbor...