Frau Steinacker, was ist Ihnen während Ihrer langjährigen Beschäftigung mit IT-Security besonders aufgefallen?
Als ich mit IT-Sicherheit begann, war dies noch eher ein Randthema. Es war die Zeit, als Kryptografie anfing, kommerziell zu werden, zuerst im Banken- und Finanzsektor. Das gab mir zugleich die Chance, bedeutende Persönlichkeiten der Security-Szene wie Diffie Hellman oder Bruce Schneier auf Kongressen in den USA persönlich kennenzulernen. Als Frau war es nicht immer leicht, in diesem Fachgebiet akzeptiert zu werden, aber das hat mich nicht davon abgehalten, weiterzumachen. Ich wäre nie bei der IT-Sicherheit geblieben, wenn es langweilig geworden wäre.
Rückblickend erstaunt mich, dass der Mensch sich über all die Jahre nicht geändert hat. Probleme, mit denen wir vor 35 Jahren schon konfrontiert waren, sind immer noch präsent, zum Beispiel die Haltung, man werde von Angriffen nicht betroffen sein. Viele glauben, was Anderen passiert, könne ihnen selbst nicht widerfahren und sie müssten deshalb keine Vorkehrungen treffen.
Eine der wesentlichen Vorkehrungen sind wirkungsvolle Zugangsschutzmechanismen. Als solche gilt insbesondere die Multifaktor-Authentifizierung (MFA). Welche verschiedenen MFA-Verfahren gibt es und worin unterscheiden sie sich?
Grundsätzlich wird unterschieden zwischen etwas, dass man besitzt wie ein Token oder ein Smartphone, etwas, dass man weiß, klassischerweise ein Passwort oder etwas, dass man ist, was biometrische Verfahren wie Fingerabdruck oder Stimme umfasst. Als Standardverfahren verwenden wir bei IBM das Passwort plus einen weiteren Faktor über einen anderen Kanal, zum Beispiel ein Einmal-Passwort. Wichtig ist, dass es sich um zwei unabhängige Faktoren handelt, die über verschiedene Kanäle laufen; sie dürfen also beispielsweise nicht auf dem gleichen Gerät laufen. Zu den Besitzvarianten zählen Smartcards, Yubikeys oder andere Token, aber auch das Smartphone mit einer speziellen App, etwa um Fingerabdrücke über das Smartphone mit einzubinden.
Die Angebotspalette umfasst verschiedene Token-Lösungen – was sind deren jeweilige Vor- und Nachteile?
Das technisch Coole ist nicht immer das, was im Alltag auch sinnvoll ist. Yubikeys sind eine schöne Lösung, von der Technik und von der Standardisierung her sehr ansprechend. Auch das Smartphone liefert attraktive Möglichkeiten, es macht viele Dinge leichter, aber es ist aus Sicherheitsperspektive suboptimal. Denn dabei nutzt man interne Funktionen des Geräte- oder Betriebssystemherstellers, die man nicht vollständig kontrollieren kann.
Wenn es sich jedoch um Dienstgeräte handelt, die vom Unternehmen gemanagt werden, sieht das anders aus. Auf privaten Endgeräten weiß man jedoch nie, was darauf läuft, oftmals leider auch Schad-Software. Allerdings müssen Vorkehrungen für den Verlust eines Gerätes getroffen werden, das trifft aber ebenso auf Token zu, die kann man ebenso verlieren, vielleicht sogar noch eher als das Smartphone.
Unbedingt zu berücksichtigen ist, dass einige Varianten Export-Restriktionen unterliegen. Das betrifft insbesondere Unternehmen, die auch in anderen Ländern arbeiten. Yubikey liefert beispielsweise nicht nach China. Aber wenn Mitarbeiter nach China reisen, sollte man ihnen sowieso ein frisches Laptop und Smartphone mitgeben, auf denen keinesfalls sensible Daten liegen sollten. RSA-Tokens sind in China hingegen erlaubt, die können dann eine Alternative darstellen.
Wie erwähnt, ist es entscheidend, dass zwei Verfahren verwendet werden, die über verschiedene Kanäle laufen. Im Finanzbereich kommt durch entsprechende Regularien wie PCI-DSS als erschwerende Anforderung hinzu, dass beide Faktoren zeitgleich angewendet werden müssen. Das heißt, ein Nutzer erfährt erst nach der Eingabe beider Faktoren, ob der Login funktioniert hat, es wird also nicht eins nach dem anderen abgefragt und bestätigt.
Lässt sich mit einer Multifaktor-Authentifizierung der ersehnte Abschied vom Passwort realisieren?
Theoretisch wäre das möglich, aber praktisch sehe ich das eher nicht. Viele IT-Systeme erlauben nichts anderes als Passwörter. In vielen Unternehmen müsste man dazu die IT-Infrastruktur gravierend ändern.
Wenn man mit einem risikobasierten Ansatz arbeiten würde und wenig Benutzerinteraktion haben will, kann man verhaltensbasiert arbeiten. Dabei analysiert das System das Verhalten des Nutzers am Rechner, wie etwa die Tippgeschwindigkeit. So etwas ist aber in Deutschland datenschutzrechtlich schwierig. Alternative Lösungen sind größtenteils sehr teuer oder erfordern massive Anpassungen der Infrastruktur. In vielen Unternehmen sind einfach zu viele ältere IT-Komponenten mitzudenken.
Biometrische Verfahren machen es uns technisch am leichtesten, das Passwort aufzugeben, aber da gibt es hohe Sicherheits- und Datenschutzanforderungen. Viele dieser Verfahren werden deshalb oft nur für privilegierte Zugriffe wie Admin-Konten eingesetzt.
Ein wichtiger Punkt, der bedacht werden sollte, ist die kontinuierliche Authentifizierung: Woher weiß ich, dass sich nicht jemand ins System einloggt, dann vom PC weggeht und ein Unbefugter kommt und nutzt den eingeloggten PC? Man sollte Authentifizierung permanenter denken, mit verhaltensbasierten Methoden ließe sich so etwas erkennen. Kontinuierlich heißt nicht unbedingt permanent, aber immer wieder mal zwischendurch. Die User andauernd aufzufordern, das Passwort erneut einzugeben, wäre allerdings die schlechteste Form, da finden Menschen schnell Umgehungsmöglichkeiten.
Bei der Einführung einer MFA-Lösung lauern also einige Stolpersteine, was gibt es noch zu bedenken?
Die gesetzeskonforme Umsetzung ist wichtig. Wer international tätig ist, hat viele verschiedene Gesetze zu beachten. Datenschutzgesetze stehen dabei im Vordergrund. Eines der strengsten Datenschutzgesetze hat Singapur. Da kommt man häufig nicht herum, einen eigenen Server für den Datenaustausch mit Singapur anzuschaffen, weil dort inländische nicht mit ausländischen Daten vermischt werden dürfen.
Aber auch die eigene Infrastruktur setzt oft Grenzen. Entscheidend ist, ob man alle Mitarbeiter mit MFA ausstatten will oder nur einige? Meiner Meinung nach braucht man es für alle. Wenn man jedoch so ein Projekt für 20.000 Mitarbeiter ausrollt, gehen schnell zwei Jahre ins Land. Besonders viel Zeit kosten dabei alte IT-Systeme.
Außerdem muss ein Unternehmen seine Prozesse anpassen. Etwa wie damit umzugehen ist, wenn jemand seinen Token verliert. Dafür muss es Fallback-Optionen geben. So lange ein Mitarbeiter einfach ins Büro kommen kann, ist das kein Problem. Das ist die übliche Methode, denn den Token mit der Post schicken, ist keine gute Option. Aber in Corona-Zeiten ist das schwierig und für Mitarbeiter im Ausland auch. Das Smartphone ist dann manchmal die bessere Option.
Wie bekommt man MFA möglichst benutzerfreundlich gestaltet? Nutzer möchten zumeist nur einen Zugangsschlüssel mit sich führen, nur eine Komponente für alle Unternehmens-Software und -Plattformen benötigen.
Man muss die Mitarbeiter mit ins Boot holen, Kommunikation ist dabei das Wichtigste. Nutzer sollten so wenig wie möglich selbst machen müssen, es sollten so wenig wie möglich Interaktionen nötig sein. Wird es zu kompliziert, finden Anwender Umgehungsmöglichkeiten, dann belassen sie etwa den Yubikey oder die Smartcard permanent im Rechner. Viel spricht für biometrische oder verhaltensbasierte Verfahren, die müssen allerdings mit Betriebsräten abgestimmt werden. Man muss nachweisen, dass keine Arbeitsüberwachung stattfindet und die Daten nicht für jedermann zugänglich sind.
Die eine Lösung für alle möglichen Fälle sehe ich jedoch nur bei einer sehr einfachen IT-Infrastruktur mit wenig Benutzern, die alle gleich wichtig sind und vergleichbare Tätigkeiten ausführen. Ansonsten sind Differenzierungen unumgänglich. Beispielsweise benötigt man für alte Windows-Systeme andere Verfahren als für aktuelle Windows-Versionen.
