Worum geht es?
Die Wirksamkeit jeglicher Zugangshürde hängt letztlich davon ab, Berechtigte zu erkennen und Unberechtigte abzuweisen. Nur nach Identifikation eines Berechtigten darf eine erfolgreiche Anmeldung an Systemen oder Anwendungen möglich sein, erst recht, wenn an der Benutzerkennung erhöhte Rechte hängen oder wenn kritische Werte erreichbar gemacht werden.
Wie zweifelsfrei der Berechtigte erkannt werden muss, wie stark also das Authentisierungsverfahren sein sollte, hängt von den geschützten Werten bzw. dem Risiko ab. Es ist mittlerweile völlig üblich, dass Organisationen mehrere Stufen der Authentisierung vorsehen, vom Passwort bis hin zu mehreren zwingend notwendigen Faktoren.
Gegebenenfalls kann das notwendige Verfahren auch dynamisch von bestimmten Umständen abhängig gemacht werden, beispielsweise dem Ort, von dem aus eine Anmeldung versucht wird, oder der Uhrzeit. Die Anmeldung vom lokalen PC innerhalb der Geschäftsräume zu Geschäftszeiten ist möglicherweise einfach, der Zugriff vom Urlaubsort aus einer anderen Zeitzone vom Rechner eines Internetcafés aus dagegen schwer oder unmöglich.
Was empfiehlt die ISO 27002?
Entscheidend ist, dass im Ergebnis jede Person, jede Software, jeder Dienst und ggf. auch erhaltene Nachrichten oder Meldungen ausreichend authentisiert werden. Je höher die Klassifizierung der Daten, auf die zugegriffen werden soll, desto stärker der Mechanismus zur Authentisierung. Eingesetzt werden können neben Kennwörtern etwa auch Zertifikate, Token oder biometrische Merkmale. Eine Kombination mehrerer solcher Faktoren kann die Sicherheit wesentlich erhöhen:
- Der benötigte Mechanismus zur Authentisierung sollte immer in Abhängigkeit vom bestehenden Risiko gewählt werden. Die Anmeldung von innerhalb des selbst kontrollierten Bereichs zu den üblichen Geschäftszeiten kann deutlich einfacher ermöglicht werden als der Aufbau einer remote Verbindung von irgendwoher zu beliebigen Zeiten. Es ist möglicherweise sinnvoll, eine Anmeldung aus bestimmten Netzwerken oder geografischen Regionen pauschal zu verbieten.
- Egal welches Anmeldeverfahren genutzt wird: Niemals sollten die eingegebenen Daten während der Eingabe angezeigt werden.
- Bei erhöhten Risiken sollten mehrere Faktoren zur Anmeldung notwendig sein. Brauchbar ist eine solche Multi-Faktor-Authentisierung allerdings nur, wenn geeignete Kombinationen verwendet werden. Statt einem einzelnen Token einfach ein weiteres zu verlangen, brächte wenig. Sinnvoll ist die Kombination von unabhängigen Faktoren, etwa Wissen (Kennwort), Besitz (Smartcard), Ort (inhouse) oder auch einer von der Person untrennbaren Eigenschaft (Fingerabdruck). Besonders vertrauenswürdig sind dabei die letzten beiden Faktoren, da sie nicht leicht weitergegeben oder gestohlen werden können.
- Die Übertragung aller Daten im Rahmen einer Anmeldung muss zudem vollständig verschlüsselt erfolgen. Ein Mitlesen darf an keinem Punkt des Netzwerks möglich sein.
- Ist eine Anmeldung nicht erfolgreich, darf der Grund hierfür nicht erkennbar sein. Rückmeldungen des Systems sollten allgemein gehalten sein und immer erst nach Eingabe aller notwendigen Faktoren erfolgen. Der Rückschluss darauf, dass zumindest die eingegebene Benutzerkennung oder ein anderer Schritt schon mal richtig war, erleichtert es sonst Angreifern.
- Schlägt eine Anmeldung fehl, sollte dies erkannt werden und nach einer angemessenen Häufigkeit dazu führen, dass weitere Versuche automatisch unterbunden werden; wenigstens vorübergehend ggf. aber auch bis zur manuellen Entsperrung. Diese Maßnahme ist sehr sinnvoll, muss aber dennoch mit Bedacht eingesetzt werden. Es sollte auf keinen Fall möglich sein, dass beispielsweise sämtliche Administratorkennungen gesperrt werden, weil nur die systemseitig standardmäßig vorhandenen Konten bestanden und von einem Angreifer gezielt durchprobiert wurden, bis alle unbenutzbar waren.
- Anmeldeversuche sollten auch aufgezeichnet werden und bei Auffälligkeiten zu einer Meldung führen. Andernfalls könnte ein geduldig ausgeführter (Brute Force) Angriff irgendwann Erfolg haben und es kann nur noch nachvollzogen werden, wie lange dieser bereits lief.
- Auf bestehende, aber nicht genutzte Anmeldungen sollte nach einer angemessenen Zeit automatisch reagiert werden. Ob in diesen Fällen lediglich das genutzte Endgerät gesperrt wird oder aber eine echte Abmeldung und Trennung der Verbindung erfolgt, hängt vom bestehenden Risiko ab.
- Bei biometrischer Authentisierung muss darauf geachtet werden, dass diese zumindest im Notfall nicht als einzige Zugangsmöglichkeit besteht. Der verbundene Zeigefinger oder der verdreckte, feuchte oder defekte Scanner können sonst drastische Folgen haben, wenn gar keine Alternative zur Verfügung steht, sich an einem dringend benötigten System anzumelden.
- Die Protokollierung erfolgloser und erfolgreicher Anmeldungen kann noch vor anderem Hintergrund sinnvoll sein. Benutzer wissen in aller Regel zumindest ungefähr, zu welcher Zeit sie sich zuletzt angemeldet haben und ob sie sich zuvor irgendwann vertippten. Werden einem Benutzer diese Informationen bei erfolgreicher Anmeldung angezeigt, erlaubt ihm dies eine Reaktion bei Unstimmigkeiten.
Fazit
Ein kurzer Blick in die jüngere Vergangenheit zeigt, wie kritisch der hier beschriebene Bereich für die Informationssicherheit und teilweise für das Überleben von Organisationen ist. Wie oft irgendwie erbeutete und dann missbrauchte Zugangsdaten der Auslöser für Sicherheitsvorfälle mit teils dramatischen Konsequenzen sind, ist kaum mehr zu zählen.
Der Markt reagiert mit einer Fülle an Angeboten möglicher Gegenmaßnahmen. Was sinnvollerweise angeschafft werden soll, wie dies brauchbar zu implementieren und dann auch korrekt einzusetzen ist, überfordert Verantwortliche oft.