Ahileos - Fotolia

PCI-DSS: Mehrfach-Authentifizierung wird Pflicht

Die neue Version des Sicherheitsstandards PCI-DSS verpflichtet zur Nutzung von Multifaktor-Authentifizierung. Was bedeutet dies für Unternehmen?

Verbrechen lohnt sich nicht – Rechtschreibung schon. Das war die schmerzliche Lektion, die eine Gruppe Hacker lernen musste, als ihnen ein winziger Schreibfehler den wohlgeplanten Raubzug vermasselte: Im Februar 2016 hatten Hacker versucht, eine Milliarde Dollar von der Zentralbank Bangladeschs zu stehlen und wären fast damit durchgekommen. Vom Konto der Zentralbank bei der Federal Reserve in New York fragten die Kriminellen mit einigen Dutzend SWIFT-Überweisungen das Geld an, von denen einige automatisch abgearbeitet wurden. Doch die Mitarbeiter bemerkten einen Schreibfehler beim Empfänger der Überweisung. Statt „Foundation“ (Stiftung) sollte das Geld an eine „fandation“ gesendet werden. Der Raubzug konnte noch rechtzeitig vereitelt werden.

Ein gewagter Coup, der nur per Zufall scheiterte. Doch es war kein Einzelfall: Die aktuelle KPMG-Studie zu e-Crime zeigt, dass gerade die Finanzbranche zu einem immer lukrativeren Ziel für Hacker wird. Doch wieso? Sicherlich, Räuber sind gemäß ihrem Naturell an Banken interessiert; doch die Finanzbranche gehört zu den Wirtschaftszweigen mit den strengsten Regulierungen, Sicherheitsstandards und Compliance-Forderungen. Der Standard für Kreditkartenunternehmen etwa, der PCI-DSS, ist bereits seit Jahren Pflicht und soll dafür sorgen, dass sensible personenbezogene Daten und Kontozugänge besonders gut geschützt werden.

Es mangelt also nicht an Vorschriften. Bei der Umsetzung jedoch zeigen sich noch immer fatale Lücken. Der PCI Compliance Report 2015 von Verizon etwa zeigt, dass drei von vier Unternehmen die Anforderungen nicht erfüllen. Sie sind damit anfällig für viele Arten von Cyberangriffen auf Kreditkartentransaktions- und Kundendaten. Hinzu kommen neue Bedrohungen wie der Missbrauch privilegierter Accounts in Szenarien mit Advanced Persistent Threats, sowie vermehrt Angriffe über Web-Apps.

Der neue PCI-DSS-Standard

Was bedeutet dies nun für die IT-Sicherheit? Erst einmal mehr Regeln. Das PCI-Konzil hat Ende April 2016 in einer neuen Version seines PCI-DSS-Standards die Sicherheitsanforderungen nochmals deutlich erhöht. Der Zeitpunkt ist passend gewählt – im April verabschiedete die Europäische Union ebenfalls die neue Datenschutz-Grundverordnung. Die neue Version ersetzt die Regelung von 1995 und fordert von Unternehmen in der EU, ihre Sicherheitstechnik „auf den neuesten Stand“ zu bringen. Was das heißt, zeigt wiederum praktisch die neue PCI-DSS-Version. Ein Beispiel für den Einsatz zeitgemäßer Technik ist Multi-Faktor-Authentifizierung (MFA). Obwohl nicht das neueste Mittel zur Kriminalitätsbekämpfung, ist MFA doch eine bewährte und funktionale Sicherungsmethode.

Die neue Forderung nach dem verbindlichen Einsatz von MFA ersetzt damit frühere Zwei-Faktor-Ansätze, sowie den Versuch, mit langen und komplexen Passwörtern ausreichend Sicherheit herzustellen. Dieser Ansatz ist schon länger obsolet, nur die Botschaft scheint noch nicht angekommen zu sein. Ende letzten Jahres veröffentlichte der britische Geheimdienst GCHQ ein Handbuch zum Passwort-Gebrauch, in dem er klarmachte, dass Passwörter alleine in der heutigen Bedrohungslandschaft nicht länger ausreichen.

Unternehmen haben zwar noch bis zum 1. Februar 2018 Zeit, um die neuen Richtlinien umzusetzen, doch sie sind gut beraten, bereits jetzt die ersten Maßnahmen zu ergreifen. Nicht nur, um Strafen zu entgehen – die neue EU-Verordnung sieht Bußgelder in Höhe von bis zu 4 Prozent des Umsatzes vor – sondern auch, um schnell bestehende Sicherheitslücken zu stopfen. Multi-Faktor-Authentifizierungsverfahren gibt es mannigfaltig auf dem Markt, und die Anzahl der Authentifizierungsmethoden steigt dabei von Jahr zu Jahr.

Ein Beispiel für den vorbildlichen Einsatz von MFA ist die HSBC Bank in Großbritannien. Sie wird ab Sommer 2016 auf eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren setzen, um ihre 15 Millionen Kunden für eBanking-Angebote zu authentifizieren. Der Zugriff auf das eigene Konto wird dann per Smartphone, Stimmen-ID und Fingerabdruck authentifiziert. Neue Hard- und Software macht es möglich, die menschliche Stimme ähnlich wie einen Fingerabdruck eindeutig einem Individuum zuzuweisen. Dafür werden mehr als 100 Merkmale herangezogen, beispielsweise Sprechgeschwindigkeit, Rhythmus und Betonung. Das Besondere: diese Technik funktioniert sogar, wenn der Sprecher erkältet ist! Noch ist die Grenze dessen, was als Teil eines MFA-Verfahrens eingesetzt werden kann, noch lange nicht erreicht. Micro Focus und Nymi sind zwei der vielen Anbieter, die eine weitere Funktion des Menschen als Authentifizierung erkunden. Ein Armband misst den Herzschlag des Nutzers per EKG; der Herzschlag wird ausgewertet und auf individuelle Muster hin geprüft, die sich nachher wiedererkennen lassen.

Authentifizierungsverfahren auswählen

Die Anforderungen und Voraussetzungen, die Unternehmen an Authentifizierungsmethoden haben, sind ebenso breit gefächert wie das Angebot an Lösungen. Bei MFA gilt: es gibt keine „Eine-für-alle“-Lösung. Gerade bei der Integrationsfähigkeit mit Systemen für den Remote-Zugriff und Cloud-Anwendungen zeigen sich die Unterschiede in den Unternehmen. Die passende Lösung muss ein Unternehmen also individuell bestimmen – doch es gibt drei Kernpunkte, die bei der Auswahl des passenden Authentifizierungsverfahrens beachtet werden sollten.

Als erstes sollte ein Unternehmen darauf achten, seine Unternehmensrichtlinien in modularen Richtlinien abzubilden. Das bedeutet, die vorhandenen Richtlinien sollten aktualisierbar, wiederverwendbar und auf Mobilgeräte erweiterbar sein. So kann die Zugriffskontrolle für die IT-Sicherheit besser verwaltet werden. Denn wenn es zum Vorfall kommt, lässt sich der Zugriff auf das Gerät schnell entziehen. Mobile spielt generell eine immer wichtigere Rolle. Mobile Plattformen sollten daher besser nutzbar gemacht werden. Es gibt zwar Legacy-Applikationen, die ein Web-Interface nutzen, doch sie sind oft nicht für den mobilen Zugriff ausgelegt – von regelmäßigen Aktualisierungen ganz zu schweigen. Hier kann Single-Sign-On helfen, sowohl für native wie auch für Web-Applikationen.

„Ohne Multi-Faktor-Authentifizierung geht es nicht mehr. Nicht nur, weil es dem Stand der Technik entspricht, sondern weil auch die Regulierungsbehörden immer mehr auf die Verwendung dieser multiplen Methode drängen.“

Thomas Hofmann, Micro Focus

Der dritte Kernpunkt betrifft das Gleichgewicht zwischen Sicherheitsanforderungen, Benutzerfreundlichkeit und betrieblicher Handlungsfähigkeit. Hier kann es helfen, verschiedene Authentifizierungsmethoden und -mechanismen flexibel einzusetzen, um das gesamte Verfahren genau an das geforderte Schutzniveau anzupassen. Benutzer und Situationen ändern sich und erfordern jeweils unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Situation als auch zur Rolle des Benutzers passen.

Ohne MFA geht es nicht

Zusammenfassend kann man feststellen: Ohne Multi-Faktor-Authentifizierung geht es nicht mehr. Nicht nur, weil es dem Stand der Technik entspricht, sondern weil auch die Regulierungsbehörden immer mehr auf die Verwendung dieser multiplen Methode drängen – egal ob PCI im Finanzbereich oder die EU-Datenschutz-Grundverordnung, die für alle Unternehmen gilt. Die gute Nachricht: MFA ist ein weites Feld und bietet durch seine Vielzahl an einzelnen Authentifizierungsmethoden für nahezu jedes Bedürfnis eine passende Lösung. Bei der Planung und Zusammenstellung des Verfahrens sollten Unternehmen nur noch beachten, sich nicht nur für heutige, sondern auch für zukünftige Anforderungen auszurichten. Werden sie die Steuerung von Benutzern und Endpunkten weiter zentralisieren? Wie und wo kommt die Cloud zum Einsatz? Wie will das Unternehmen mit Mobilgeräten umgehen? Diese Fragen sollten im besten Falle beantwortet werden, bevor eine MFA-Lösung angeschafft wird. Sie wird immerhin das Unternehmen einige Zeit begleiten – denn bis zur nächsten EU-Regulierung wird es eine Weile dauern.

Über den Autor:

Thomas Hofmann ist Sytems Engineer bei Micro Focus.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close