Menü

Einheitliche Multi-Faktor-Authentifizierung für unternehmenseigene Ressourcen erzwingen

Geschäftsproblem

Gehackte und manipulierte Passwörter sind eine Hauptursache von Datenschutzverletzungen. Mit einem gehackten Passwort hat ein Hacker die gleichen Berechtigungen für den Zugriff auf Unternehmensdaten wie ein Mitarbeiter.

Die Multi-Faktor-Authentifizierung (MFA) ist ein wichtiges Tool zum Schutz von Unternehmensressourcen. Eine MFA wird auch als "Bestätigung in zwei Schritten" (2-Step-Verification, 2SV) bezeichnet. Der Nutzer muss hierbei seine Identität durch ein Element, das nur er kennt (wie ein Passwort), sowie ein weiteres Element (wie einen physischen Schlüssel oder Zugangscode) verifizieren.

Zum Schutz von Nutzerkonten und -daten hat Ihr Unternehmen festgelegt, dass sich alle Nutzer mit der 2SV-Methode authentifizieren müssen, um auf Unternehmensressourcen zugreifen zu können.

Lösungen

Wenn Sie Cloud Identity als Identitätsanbieter (Identity Provider, IdP) verwenden, können Sie die 2SV-Methode auf verschiedene Weise implementieren. Bei Verwendung eines externen IdPs müssen Sie mit diesem sein 2SV-Angebot klären.

Sie haben die Wahl zwischen verschiedenen Ebenen der 2SV-Erzwingung:

  • Optional – der Mitarbeiter entscheidet, ob die 2SV-Methode genutzt wird
  • Obligatorisch – der Mitarbeiter wählt die 2SV-Methode aus
  • Obligatorischer Sicherheitsschlüssel – der Mitarbeiter muss einen Sicherheitsschlüssel verwenden

Sicherheitsschlüssel

Sicherheitsschlüssel bieten die stärkste 2SV-Methode.

Die Verwendung von Sicherheitsschlüsseln bietet die größte Sicherheit bei 2SV-Methoden. Nutzer stecken diesen physischen Schlüssel in der Regel in einen USB-Anschluss eines Computers. Wenn der Nutzer dazu aufgefordert wird, muss er den Schlüssel berühren. Es wird dann eine kryptografische Signatur generiert.

Betrüger richten oft Phishing-Websites ein, die sich als Google ausgeben und zur Eingabe von 2SV-Codes auffordern. Da für Google-Sicherheitsschlüssel eine Verschlüsselung verwendet und die Legitimität der von den Nutzern besuchten Websites überprüft wird, sind Sicherheitsschlüssel weniger anfällig für Phishing-Angriffe.

Zur Verwendung eines Sicherheitsschlüssels auf Android-Mobilgeräten muss der Nutzer auf den Sicherheitsschlüssel auf seinem NFC-Gerät (Near Field Communication) tippen. Nutzer können für Android-Geräte eventuell auch USB- und BLE-Optionen (Bluetooth Low Energy) verwenden. Apple-Mobilgeräte benötigen Bluetooth-fähige Sicherheitsschlüssel.

Aufforderung von Google

Die Aufforderung von Google ist eine alternative 2SV-Methode.

Statt einen 2SV-Code zu generieren und einzugeben, können Nutzer ihre Android- oder Apple-Mobilgeräte so einrichten, dass bei beabsichtigter Nutzung eine Anmeldeaufforderung angezeigt wird. Wenn sie sich auf ihrem Computer bei ihrem Google-Konto anmelden, wird dann die Frage "Versuchen Sie, sich anzumelden?" auf ihrem Mobilgerät eingeblendet. Die Bestätigung erfolgt einfach durch Tippen auf das Mobilgerät.

Google Authenticator-App

Google Authenticator ist eine alternative 2SV-Methode.

Google Authenticator generiert einmalige 2SV-Codes auf Android- oder Apple-Mobilgeräten. Die Nutzer erzeugen auf ihrem Mobilgerät einen Bestätigungscode und geben diesen ein, wenn sie auf ihrem Computer dazu aufgefordert werden. Sie können diesen Code zur Anmeldung bei einem Desktop-PC, einem Laptop oder beim Mobilgerät selbst eingeben.

Ersatzcodes

Ersatzcodes sind eine alternative 2SV-Methode.

Wenn ein Nutzer sich nicht in der Nähe seines Mobilgeräts befindet oder in einem Hochsicherheitsbereich arbeitet, in dem keine Mobilgeräte zugelassen sind, kann er einen Ersatzcode für 2SV verwenden. Nutzer haben die Möglichkeit, Ersatzcodes zu generieren und vorab auszudrucken.

Textnachricht (SMS) oder Telefonanruf

Textnachrichten (SMS) oder Telefonanrufe sind alternative 2SV-Methoden.

Google sendet einen 2SV-Code an mobile Geräte in Form einer Textnachricht (SMS) oder eines Sprachanrufs.

Empfehlungen

Zur Auswahl der für Ihr Unternehmen am besten geeigneten 2SV-Optionen müssen Sie Sicherheitsanforderungen, Kosten und Bedienungskomfort gegeneinander abwägen. Für welche Option Sie sich auch entscheiden, wir empfehlen auf jeden Fall, die 2SV-Erzwingung zu aktivieren. Damit wird die Verwendung der 2SV-Methode obligatorisch.

Sicherheitsschlüssel verwenden

Wir empfehlen die obligatorische Verwendung von Sicherheitsschlüsseln für die Mitarbeiter, die Daten mit der höchsten Sicherheitsstufe erstellen und darauf zugreifen. Für alle anderen Mitarbeiter sollte die Verwendung der 2SV-Methode obligatorisch sein und die Nutzung von Sicherheitsschlüsseln empfohlen werden.

Sicherheitsschlüssel sind die sicherste Form der 2SV-Methode. Sie basieren auf dem offenen Standard, der von Google im Rahmen der Fast Identity Online (FIDO) Alliance entwickelt wurde. Für Sicherheitsschlüssel ist auf den Nutzergeräten ein kompatibler Browser erforderlich.

Weitere Optionen

Wenn für Ihre Entscheidung Kosten und Verteilung eine Rolle spielen, ist eine Aufforderung von Google oder die Google Authenticator-App eine gute Alternative. Eine Aufforderung von Google bietet eine komfortablere Bedienung, da Nutzer nur auf ihr Gerät tippen müssen, wenn sie dazu aufgefordert werden, statt einen Bestätigungscode einzugeben.

Wenn Ihre Nutzer in Hochsicherheitsbereichen keine Mobilgeräte verwenden dürfen, besteht für sie die Möglichkeit, portable druckbare Ersatzcodes zu generieren.

Wir empfehlen, auf Textnachrichten (SMS) zu verzichten. Das National Institute of Standards and Technology (NIST) empfiehlt SMS-basierte 2SV-Codes aufgrund des Missbrauchsrisikos für GSE-Finanzunternehmen (Government-Sponsored Enterprises) nicht mehr.

Beispiel

Unternehmen A ist ein großes, etabliertes Unternehmen, das lokale Anwendungen und eine lokale Authentifizierung verwendet. Zur Erhöhung der Sicherheit, Reduzierung der Supportkosten und Verbesserung der Skalierbarkeit möchte es Cloud Identity als primären Identitätsanbieter (IdP) nutzen.

Das Unternehmen verwendet eine IDaaS-Infrastruktur zur Verwaltung seiner Cloudpräsenz. Dazu sind die 2SV-Methode und der Abschluss der Compliance zu einem bestimmten Zeitpunkt erforderlich. Für das Infosec-Team ist die 2SV-Methode für alle Nutzer erforderlich.

Unternehmen A entscheidet sich für Cloud Identity zur Implementierung der 2SV-Methode. Es plant die verpflichtende Verwendung von Sicherheitsschlüsseln durch Nutzer, die an sensiblen und unternehmenskritischen Projekten arbeiten, sowie durch Personen, die auf Mitarbeiterinformationen zugreifen. Dazu gehören die Führungskräfte in allen Abteilungen sowie Personen in der Technik-, Finanz- und Personalabteilung. Alle anderen Mitarbeiter müssen eine 2SV-Methode verwenden. Sie können dabei diejenige 2SV-Methode auswählen, mit der sie am besten zurechtkommen. Außerdem wird die Verwendung von Sicherheitsschlüsseln empfohlen.

Die Erzwingung von Sicherheitsschlüsseln variiert je nach Abteilung.

Wenn Sie Sicherheitsschlüssel nur für bestimmte Gruppen verbindlich machen möchten, muss die IT-Abteilung Untergruppen von Nutzern in größeren Abteilungen erstellen. Diese werden als "Ausnahmegruppen" bezeichnet. Beispielsweise kann für die gesamte Marketingabteilung die Verwendung der 2SV-Methode verbindlich sein, Sicherheitsschlüssel aber nur für die Führungskräfte. Die IT-Abteilung erstellt dann in jeder Abteilung wie Marketing, Vertrieb und Support eine Führungsgruppe und erzwingt die Verwendung von Sicherheitsschlüsseln in diesen Führungsgruppen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: