Authentifizierungsfehler

Des CISOs größter Pain

Authentifizierung bereitet Sicherheitsentscheidern immer noch größte Kopfschmerzen. Digitalisierung, der Hang zu Agile, und Remote-Arbeit verschärfen die Situation zusätzlich.
Von 
CSO | 01. April 2022 05:00 Uhr
Authentifizierung ist und bleibt für Security-Entscheider einer der größten Schmerzpunkte. So steuern Sie gegen.
Authentifizierung ist und bleibt für Security-Entscheider einer der größten Schmerzpunkte. So steuern Sie gegen.
Foto: Stokkete - shutterstock.com

Für CISOs in großen und kleinen Unternehmen ist die Authentifizierung nach wie vor eine der größten Herausforderungen. Dieses grundlegende Element der IT-Sicherheit bereitet vor allem Kopfzerbrechen, wenn es darum geht, Benutzer und Geräte zu identifizieren und zu autorisieren, die oft über verschiedene Länder, Grenzen und Zeitzonen verteilt sind. Gleichzeitig werfen ineffektive Authentifizierungsstrategien und -prozesse in Unternehmen persistente Risiken auf. Sicherheitsentscheider und ihre Teams sollten daher ihre Authentifizierungs-Ansätze überdenken.

Moderne Authentifizierung, neue Hürden

Authentifizierung stellt CISOs gleich aus mehreren Gründen auf die Probe, erklärt Lamont Orange, CISO von Netskope: "Wir verwenden eine Vielzahl von Begriffen, um zu beschreiben, was mit den Authentifizierungs- und Autorisierungsmethoden gemeint ist, die für Geräte, Anwendungen und Systeme erforderlich sind - zusätzlich zur Unterstützung von Sicherheitsrichtlinien, die diese Interaktionen regeln. In der Vergangenheit haben wir die Authentifizierung in einem sehr einfachen Konstrukt implementiert: Wenn ich Zugang benötige, muss ich für jede Benutzer-/Dienstanfrage einen Berechtigungstest (Login/Passwort) bestehen, ohne dass - in den meisten Fällen - MFA zum Einsatz kommt." Moderne Authentifizierung müsse jedoch neben MFA-Funktionen auch API- und Token-basierte Prozesse berücksichtigen. "Das führt zu Komplikationen", meint der CISO.

Dazu komme, dass das Feld der Authentifizierung ein bewegliches Angriffsziel darstelle, da neue Bedrohungen und Schwachstellen eine ständige Neubewertung erforderten, um Benutzer und Geräte sicher zu authentifizieren, meint Chris Hickman, CSO bei Keyfactor: "Die kontinuierliche Expansion über das traditionelle Netzwerk hinaus und die Verlagerung in die Cloud spielen hier eine wichtige Rolle. CISOs sehen sich entweder mit einem Mangel an Transparenz und Skalierbarkeit in diesen Umgebungen konfrontiert oder mit der Notwendigkeit, Authentifizierungs-Gateways und Identitätsanbieter ständig neu zu konfigurieren, um mit den sich ändernden Anforderungen Schritt zu halten."

Die zunehmend strengen Regularien, die bei der Identitätsprüfung zum Einsatz kommen, ist laut Sammy Migues, Principal Scientist bei der Synopsys Software Integrity Group, ebenfalls ein großes Problem: "Ab einem bestimmten Punkt wird der Aufwand, um solche Authentifizierungsprozesse zu bewältigen, zu hoch, was den Zugewinn in Sachen Sicherheit zunichtemacht."

Authentifizierungs-Challenges

Die Herausforderungen, die moderne Authentifizierung für CISOs und ihre Unternehmen aufwirft, sind zahlreich und umfassen Interoperabilität, Benutzerfreundlichkeit, technische Einschränkungen und Schwachstellen. "Viele Unternehmen kämpfen immer noch mit User Identities - nun kommen neue Möglichkeiten für das Management von Maschinen, Systemen und Geschäftsgeheimnissen dazu. "Allerdings sind nicht alle Technologien ausgereift genug, um sich anzupassen, daher gibt es unterschiedliche Governance-Modelle und manchmal eine implizite Unterstützung von Legacy-Protokollen, die zu Sicherheitslücken führen. Die Verwendung von APIs und die Verwaltung von Zugriffsmethoden können sich je nach Reifegrad und Fähigkeiten der APIs unterscheiden", meint Orange.

Für Greg Day, Global Field CISO bei Cybereason, stellt hingegen die Benutzererfahrung die größte Herausforderung dar: "Niemand merkt sich gerne hundert verschiedene, komplexe Passwörter und wird gerne alle fünf Minuten zu deren Eingabe aufgefordert. Für jede Transaktion eine eigene PIN eingeben zu müssen, erhöht zwar das Sicherheitsniveau, verlängert aber den Zeitaufwand für den Abschluss von Transaktionen."

Keyfactor-CSO Hickman ist davon überzeugt, dass der Paradigmenwechsel in Sachen Authentifizierung Security- und Technologie-Teams abverlangt, ihre Ansätze - etwa in Sachen Zero Trust - zu überdenken: "Neue Strategien wie Zero Trust erfordern eine starke Authentifizierung der Maschine oder des Geräts, um eine Autorisierung zu erteilen. Die meisten Unternehmen beginnen erst jetzt mit einer Strategie für die Maschinenidentität und der Verwaltung von Anmeldeinformationen für Maschinen - und auch hier gibt es viele verschiedene Formen und Faktoren. Es kann eine Herausforderung sein, alle maschinenbasierten Authentifizierungen effektiv zu verwalten."

Auch biometrische Authentifizierungskonzepte würden erhebliche Hürden aufwerfen, wie Migues hinzufügt: "Die menschliche Biometrie bietet mehr Sicherheit, ist aber viel schwieriger in großem Maßstab einzusetzen - und selbst diese Systeme können überlistet werden. Zwar ist es schnell gesagt, die Methoden einsetzen zu wollen, die nötig sind - aber das kann schnell teuer werden. Die Frage ist: Wo fängt man an und wo hört man auf? Ich hoffe nur, dass wir noch einige Zeit davon entfernt sind, biometrische Daten von Bots erfassen zu lassen."

Die Risiken ineffektiver Authentifizierung

Eine ineffektive Autorisierung birgt erhebliche Risiken für Unternehmen. Diese könnten sich beispielsweise in überprivilegierten Benutzern, Systemen/Maschinen, Diensten und Geräten manifestieren, was wiederum zu unberechtigtem Zugriff und der Offenlegung von Daten führen könne, so Orange. "Im DevOps-Ökosystem können sich API-Komponenten für verschiedene Schwachstellen und Exploits öffnen, wie zum Beispiel nicht funktionierende Berechtigungen auf Objektebene. Ineffektive Autorisierungen führen auch zu leakenden APIs, die die Gefahr von Bußgeldern für Datenschutzverletzungen sowie Anfälligkeiten für Angriffe mit sich bringen können."

"In der Tat sind Daten eines der wertvollsten Güter, die jedes Unternehmen besitzt, und wenn Sie nicht kontrollieren können, wer darauf Zugriff hat, setzen Sie Ihr Unternehmen einem Risiko aus", erklärt Cybereason CISO Day. "Wir sehen die Auswirkungen in der realen Welt häufig durch Ransomware und die ständig wachsenden Lösegeldforderungen, die mit diesen Angriffen einhergehen. Die Kontrolle darüber, wer Zugriff auf Daten hat und mit wem diese Daten geteilt werden, ist für den Erfolg eines jeden Unternehmens von grundlegender Bedeutung."

Authentifizierungs-Best-Practices

"Best Practices für die Authentifizierung sind leicht aufzuzählen, aber nicht unbedingt leicht umzusetzen - vor allem in großen Unternehmen", weiß Migues. "Versuchen Sie nicht, Ihr eigenes System zu erfinden. Das können Sie nicht. Denken Sie nur daran, wie viele Sicherheitshinweise Sie von Unternehmen erhalten, die damit buchstäblich ihren Lebensunterhalt verdienen."

Migues plädiert für eine Passwordless Authentication und empfiehlt Entscheidern, sicherzustellen, dass der API-zu-API-Authentifizierung der gleiche Stellenwert eingeräumt wird, wie Mitarbeitern, die auf sensible Dateien zugreifen. "Bei der Planung Ihrer Authentifizierungsstrategie sollten Sie NIST 800-63B und ähnliche Richtlinien verwenden. Außerdem sollten Sie sich darüber im Klaren sein, dass es Angriffe auf Authentifizierungsdienste geben wird. Darum sollten Sie überall Geschwindigkeitsüberprüfungen einbauen, um automatisierte Angriffe zu verlangsamen."

Die Einbeziehung von Governance-, Risiko- und Compliance-Teams (GRC), die bei der Festlegung von Anforderungen für moderne Authentifizierungen helfen, kontinuierliche Tests zur Identifizierung von Schwachstellen, die Wiederherstellung der Transparenz und kontextbezogene Analysen sowie die intensive Aufklärung und Schulung der Mitarbeiter über entsprechende Bedrohungen sind für Orange ebenfalls wichtige Best Practices, die es umzusetzen gilt.

Day appelliert an CISOs, die User Experience nicht zu vernachlässigen und warnt davor, dass die Mitarbeiter Wege finden, vorhandene Authentifizierungswerkzeuge zu umgehen, wenn die Prozesse zu schwierig oder zu komplex sind: "Das langfristige Ziel muss es sein, einen Weg zu finden, ein risikobasiertes, konsolidiertes Zugriffsmanagement für alle Informationssysteme zu haben." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.