Geschäftsproblem
Gehackte und manipulierte Passwörter sind eine Hauptursache von Datenschutzverletzungen. Mit einem gehackten Passwort hat ein Hacker die gleichen Berechtigungen für den Zugriff auf Unternehmensdaten wie ein Mitarbeiter.
Die Multi-Faktor-Authentifizierung (MFA) ist ein wichtiges Tool zum Schutz von Unternehmensressourcen. Eine MFA wird auch als "Bestätigung in zwei Schritten" (2-Step-Verification, 2SV) bezeichnet. Der Nutzer muss hierbei seine Identität durch ein Element, das nur er kennt (wie ein Passwort), sowie ein weiteres Element (wie einen physischen Schlüssel oder Zugangscode) verifizieren.
Zum Schutz von Nutzerkonten und -daten hat Ihr Unternehmen festgelegt, dass sich alle Nutzer mit der 2SV-Methode authentifizieren müssen, um auf Unternehmensressourcen zugreifen zu können.
Lösungen
Wenn Sie Cloud Identity als Identitätsanbieter (Identity Provider, IdP) verwenden, können Sie die 2SV-Methode auf verschiedene Weise implementieren. Bei Verwendung eines externen IdPs müssen Sie mit diesem sein 2SV-Angebot klären.
Sie haben die Wahl zwischen verschiedenen Ebenen der 2SV-Erzwingung:
- Optional – der Mitarbeiter entscheidet, ob die 2SV-Methode genutzt wird
- Obligatorisch – der Mitarbeiter wählt die 2SV-Methode aus
- Obligatorischer Sicherheitsschlüssel – der Mitarbeiter muss einen Sicherheitsschlüssel verwenden
Sicherheitsschlüssel
Die Verwendung von Sicherheitsschlüsseln bietet die größte Sicherheit bei 2SV-Methoden. Nutzer stecken diesen physischen Schlüssel in der Regel in einen USB-Anschluss eines Computers. Wenn der Nutzer dazu aufgefordert wird, muss er den Schlüssel berühren. Es wird dann eine kryptografische Signatur generiert.
Betrüger richten oft Phishing-Websites ein, die sich als Google ausgeben und zur Eingabe von 2SV-Codes auffordern. Da für Google-Sicherheitsschlüssel eine Verschlüsselung verwendet und die Legitimität der von den Nutzern besuchten Websites überprüft wird, sind Sicherheitsschlüssel weniger anfällig für Phishing-Angriffe.
Zur Verwendung eines Sicherheitsschlüssels auf Android-Mobilgeräten muss der Nutzer auf den Sicherheitsschlüssel auf seinem NFC-Gerät (Near Field Communication) tippen. Nutzer können für Android-Geräte eventuell auch USB- und BLE-Optionen (Bluetooth Low Energy) verwenden. Apple-Mobilgeräte benötigen Bluetooth-fähige Sicherheitsschlüssel.
Aufforderung von Google
Statt einen 2SV-Code zu generieren und einzugeben, können Nutzer ihre Android- oder Apple-Mobilgeräte so einrichten, dass bei beabsichtigter Nutzung eine Anmeldeaufforderung angezeigt wird. Wenn sie sich auf ihrem Computer in ihrem Google-Konto anmelden, wird auf ihrem Mobilgerät die Frage "Versuchen Sie, sich anzumelden?" angezeigt. Die Bestätigung erfolgt einfach durch Tippen auf das Mobilgerät.
Google Authenticator App
Google Authenticator generiert einmalige 2SV-Codes auf Android- oder Apple-Mobilgeräten. Die Nutzer erzeugen auf ihrem Mobilgerät einen Bestätigungscode und geben diesen ein, wenn sie auf ihrem Computer dazu aufgefordert werden. Sie können diesen Code zur Anmeldung bei einem Desktop-PC, einem Laptop oder beim Mobilgerät selbst eingeben.
Back-up-Codes
Falls ein Nutzer sein Mobilgerät nicht zur Hand hat oder in einem Hochsicherheitsbereich arbeitet, in dem keine Mobilgeräte erlaubt sind, kann er einen Back-up-Code für die Bestätigung in zwei Schritten verwenden. Nutzer können Back-up-Codes generieren und vorab ausdrucken.
SMS oder Anruf
Google sendet einen 2SV-Code an mobile Geräte in Form einer Textnachricht (SMS) oder eines Sprachanrufs.
Empfehlungen
Zur Auswahl der für Ihr Unternehmen am besten geeigneten 2SV-Optionen müssen Sie Sicherheitsanforderungen, Kosten und Bedienungskomfort gegeneinander abwägen. Für welche Option Sie sich auch entscheiden, wir empfehlen auf jeden Fall, die 2SV-Erzwingung zu aktivieren. Damit wird die Verwendung der 2SV-Methode obligatorisch.
Sicherheitsschlüssel verwenden
Wir empfehlen die obligatorische Verwendung von Sicherheitsschlüsseln für die Mitarbeiter, die Daten mit der höchsten Sicherheitsstufe erstellen und darauf zugreifen. Für alle anderen Mitarbeiter sollte die Verwendung der 2SV-Methode obligatorisch sein und die Nutzung von Sicherheitsschlüsseln empfohlen werden.
Sicherheitsschlüssel sind die sicherste Form der 2SV-Methode. Sie basieren auf dem offenen Standard, der von Google im Rahmen der Fast Identity Online (FIDO) Alliance entwickelt wurde. Für Sicherheitsschlüssel ist auf den Nutzergeräten ein kompatibler Browser erforderlich.
Weitere Optionen
Wenn für Ihre Entscheidung Kosten und Verteilung eine Rolle spielen, ist eine Aufforderung von Google oder die Google Authenticator-App eine gute Alternative. Eine Aufforderung von Google bietet eine komfortablere Bedienung, da Nutzer nur auf ihr Gerät tippen müssen, wenn sie dazu aufgefordert werden, statt einen Bestätigungscode einzugeben.
Wenn Ihre Nutzer in Hochsicherheitsbereichen keine Mobilgeräte verwenden dürfen, besteht für sie die Möglichkeit, portable Back-up-Codes zum Ausdrucken zu generieren.
Wir empfehlen, auf Textnachrichten (SMS) zu verzichten. Das National Institute of Standards and Technology (NIST) empfiehlt SMS-basierte 2SV-Codes aufgrund des Missbrauchsrisikos für GSE-Finanzunternehmen (Government-Sponsored Enterprises) nicht mehr.
Beispiel
Unternehmen A ist ein großes, etabliertes Unternehmen, das lokale Anwendungen und eine lokale Authentifizierung verwendet. Zur Erhöhung der Sicherheit, Reduzierung der Supportkosten und Verbesserung der Skalierbarkeit möchte es Cloud Identity als primären IdP nutzen.
Das Unternehmen verwendet eine IDaaS-Infrastruktur zur Verwaltung seiner Cloud-Präsenz. Dazu sind die 2SV-Methode und der Abschluss der Compliance zu einem bestimmten Zeitpunkt erforderlich. Für das Infosec-Team ist die 2SV-Methode für alle Nutzer erforderlich.
Unternehmen A entscheidet sich für Cloud Identity zur Implementierung der 2SV-Methode. Es plant die verpflichtende Verwendung von Sicherheitsschlüsseln durch Nutzer, die an vertraulichen und unternehmenskritischen Projekten arbeiten, sowie durch Personen, die auf Mitarbeiterinformationen zugreifen. Dazu gehören die Führungskräfte in allen Abteilungen sowie Personen in der Technik-, Finanz- und Personalabteilung. Alle anderen Mitarbeiter müssen eine 2SV-Methode verwenden. Dabei können sie diejenige 2SV-Methode auswählen, mit der sie am besten zurechtkommen. Außerdem wird die Verwendung von Sicherheitsschlüsseln empfohlen.
Wenn Sie Sicherheitsschlüssel nur für bestimmte Gruppen verbindlich machen möchten, muss die IT-Abteilung Untergruppen von Nutzern in größeren Abteilungen erstellen. Diese werden als "Ausnahmegruppen" bezeichnet. Beispielsweise kann für die gesamte Marketingabteilung die Verwendung der 2SV-Methode verbindlich sein, Sicherheitsschlüssel aber nur für die Führungskräfte. Die IT-Abteilung erstellt dann in jeder Abteilung wie Marketing, Vertrieb und Support eine Führungsgruppe und erzwingt die Verwendung von Sicherheitsschlüsseln in diesen Führungsgruppen.
Weitere Informationen
- 2SV: Bestätigung in zwei Schritten einrichten
- Sicherheitsschlüssel: Sicherheitsschlüssel für Bestätigung in zwei Schritten verwenden
- Erzwingung des Sicherheitsschlüssels: Erzwingung
- Sicherheitsschlüssel auf der Google Cloud Platform: Google Cloud Platform-Konten mit Sicherheitsschlüsseln sichern
- Google Authenticator: Google Authenticator installieren
- Aufforderung von Google: Durch Smartphone-Aufforderungen schneller mit der Bestätigung in zwei Schritten anmelden
- Ersatzcodes: Mit Ersatzcodes anmelden
- Untergruppe von Nutzern in einer Abteilung: Benutzerdefinierte Sicherheitsrichtlinien anwenden
- NIST-Standard: Digitale NIST-Identitätsrichtlinien