Multifaktor-Authentifizierung: Beispiele und Anwendungsfälle für MFA

Szenario Eins: Identity Stores mit Enhance RADIUS oder Active Directory (AD)

Der erste Grund für die Einführung von Multifaktor-Authentifizierung ist die Verbesserung herkömmlicher RADIUS oder Active Directory Identity Stores. Damit lassen sich Anwender besser validieren und die Anmeldeprozeduren sind abgehärtet. In diesem Szenario wird die Identitätsanfrage von einem AD oder einem VPN an den Multifaktor-Server weitergeleitet. Damit ist ein zusätzlicher Schritt für die Authentifizierung gegeben, bevor der Anwender auf das Netzwerk zugreifen kann.

Weil das der ursprüngliche Anwendungsfall für Multifaktor-Tools war, bieten nahezu alle Anbieter Unterstützung für diese Methode an. Sollte das Passwort eines Anwenders kompromittiert sein, stellen zusätzliche Faktoren sicher, dass sich der legitime Nutzer gerade anzumelden versucht. Gibt es in einem Unternehmen bereits AD und man ist sich sicher, dass die Informationen darin exakt sind (was eine komplett eigene Diskussion ist), dann ist die Einführung von Multifaktor-Authentifizierungs-Tools oftmals ein kleiner und relativ einfacher Schritt für verbesserte IT-Sicherheit.

Hinzu kommt, dass viele VPNs in irgendeiner Form Multifaktor-Services eingebaut haben. Somit sollte der Aufwand für eine Integration nicht allzu schwierig sein. Können Unternehmen mehrere LDAP- oder RADIUS-Server betreiben, dann ist der Einsatz der zusätzlichen Authentifizierungsfaktoren normalerweise nicht zu kompliziert.

Szenario Zwei: Authentifizierung bei Web Services

Der zweite Anwendungsfall für den Einsatz von Multifaktor-Authentifizierung ist, es als Identitäts-Provider für einen Web Service zu nutzen. Wir sprechen hier zum Beispiel von Google Docs oder den Cloud Apps von Salesforce. In diesem Fall verwendet eine Login-Anfrage SAML (Security Assertion Markup Language) und vertrauenswürdige Zertifikate zwischen der App und dem Multifaktor-Server als zusätzlichen Schritt für die Authentifizierung. Das ist die Methode, die Google und Apple als zweiten Faktor für Gmail beziehungsweise iTunes einsetzen.

Verwenden Unternehmen bereits irgendeine Form von Software as a Service (SaaS) für den Geschäftsbetrieb, sollten sie den Einsatz von Multifaktor-Authentifizierung in Erwägung ziehen. Damit sichern Sie die Daten der Cloud-Anwendungen besser ab. Bei diesen Arten von Cloud-Services finden jedoch oft Einbrüche statt, die Passwörter werden gestohlen und dann in kriminellen Netzwerken verteilt.

Man kann diese Methode auch einsetzen und damit die Anmeldungen im Zusammenhang mit der wachsenden BYOI-Bewegung (Bring Your Own Identity) besser abzusichern. Hier wird die Cloud genutzt, um die Identitäten zu vereinen und zu managen. Das Bündeln bezieht sich auf einen gemeinsamen Authentifizierungsprozess über mehrere Server oder Services verteilt. BYOI erleichtert es den Anwendern, sich an mehreren Websites anzumelden. Allerdings ist man dadurch auch angreifbarer. Sobald eine Anmeldung geknackt ist, hat der Angreifer Zugriff auf alle damit verbundenen Websites. Um dieses Problem zu adressieren, müssen Unternehmen Multifaktor-Tools einsetzen.

Multifaktor ist ebenfalls eine wichtige Überlegung, wenn es zum Einsatz von SSO-Tools (Single Sign-On) kommt.

Nehmen wir eine Beispielfirma, die ein Single-Sing-On-Produkt verwendet. Die Firma betreibt ein Portal. Darauf befindet sich eine Liste mit Verbindungen zu all ihren SaaS-Services. Sobald die Firma einen neuen Mitarbeiter einstellt, stellt das Single Sing-On Tool die Anmeldungen für alle dazugehörigen Services zur Verfügung.

In diesem Fall kennen die Anwender ihr Passwort nicht einmal und müssen es auch nicht wissen. Die Tools erstellen ein komplexes und einzigartiges Passwort. Kombiniert man das mit Multifaktor-Authentifizierung, ist die IT-Sicherheit für die Anmeldung nachhaltig gestärkt.

Der Vorteil dieser Authentifizierungsmethode ist, dass die IT-Abteilung die Anwendungen in der Cloud nicht anfassen muss, um die Sicherheit für das Login zu verbessern. Sobald Anwender ihre zusätzlichen Informationen für den entsprechenden Faktor zur Verfügung gestellt haben, werden sie automatisch an die Web-Services angemeldet.

Der Nachteil ist, dass nicht jeder Web-Service-Provider SAML unterstützt - zumindest noch nicht. Das gilt auch für einige Anbieter von Multifaktor-Lösungen. Bei einigen Herstellern können Sie diese SAML-Leistungsmerkmale separat erwerben. Das spiegelt wider, wie neu diese Tools und die dazugehörigen Anwendungsfälle sind.

Szenario Drei: Authentifizierung beim Webserver

Fügt man zu den Seiten eines Webservers HTML-Code wie zum Beispiel durch SOAP, Perl oder JavaScript hinzu, lässt sich Multifaktor-Authentifizierung nutzen, um die Logins zum Server selbst zu schützen. In diesem Fall stellt der Code die Verbindung zwischen dem Server und den Services des Multifaktor-Anbieters her.

Das ist möglicherweise sehr einfach realisierbar, vor allen Dingen wenn es sich um Web-Apps am eigenen Standort handelt. Administratoren können die Seiten schnell anpassen, sofern sie die Art und Weise, sowie die Security-Auswirkungen des hinzugefügten Codes verstehen. Bei der Verwendung eines Managed-Services ist das unter Umständen unmöglich, da Nutzer den Quellcode nicht verändern können.

Diese Methode ist eine praktikable Alternative für Instanzen, bei denen ein Multifaktor-Tool Anmeldungen via SAML noch nicht unterstützt. Denkbar ist es auch bei Web-Apps, bei denen man mit wenigen Zeilen Code das Anmelden sicherer machen kann.

Vorbereitende Schritte für Multifaktor-Authentifizierung: Fragen und Stolpersteine

Bei der Evaluierung eines Multifaktor-Authentifizierungs-Tools sehen Sie sich die Nuancen genau an, inwiefern sie sich im Hinblick auf die drei oben genannten Methoden unterscheiden. Nicht jeder Anbieter ist bei allen drei Szenarien gleich gut. Diese Tatsache spielt bei der Wahl der richtigen Software oftmals eine entscheidende Rolle. Nachfolgend finden Sie einen kleinen Fragenkatalog. Diesen sollten Sie heranziehen, wenn Sie sich nach einem Multifaktor-Authentifizierungs-Produkt für Ihr Unternehmen umsehen:

1. Wie viele persönliche Informationen schwirren in Ihrem Netzwerk herum? Ist die Antwort Nicht so viel, dann kann ein Unternehmen möglicherweise weiterhin auf die etablierten Authentifizierungsmethoden setzen.
2. Wer sieht sich die Berichte an, die von diesen Tools produziert werden? Das Management, die IT-Security oder beide? Einige der Produkte generieren unter Umständen jede Menge Benachrichtigungen und Alarme, wenn etwas schief läuft. Die IT-Abteilungen wollen aber tunlichst vermeiden, beim Management unnötig Panik zu verbreiten.
3. Ist die Notwendigkeit gegeben, dass Ihr Unternehmen nach oben skalieren muss? Die meisten Multifaktor-Produkte können mit mehreren Zehntausend Token und Anwendern umgehen. Aber sie sind auch für kleinere Firmen nützlich. Werfen Sie einen Blick auf die zukünftigen Kosten für die Lizenzierung.
4. Wer ist in der Gruppe für ein Pilotprojekt? Das spiegelt unter Umständen wider, in welche Richtung es bei der Absicherung spezieller Apps und Anwendungsfälle geht.
5. Verwenden Angestellte bereits Zweifaktor-Tools, die bei Verbraucher-Services verfügbar sind? Ist das nicht der Fall, dann sollte eine Firma anfangen, den Leuten diese Methode vorzustellen, damit sie die Option eines zweiten Faktors bei bekannten Cloud-Services wie Google, Facebook, Twitter und so weiter nutzen. Multifaktor-Authentifizierung ist bei diesen Services bereits eingebaut und eine Nutzung kostet keinen Cent extra. Lediglich eine kleine Schulung ist notwendig, wie man sie verwendet. Auf dieses Wissen können Unternehmen dann aufbauen, sollten sie Multifaktor-Authentifizierung auch intern einsetzen.

Bevor Sie sich nun gleich für einen Anbieter einer Multifaktor-Lösung entscheiden, sollten Sie die nachfolgenden Hürden für eine Installation in Betracht ziehen:

1. Hat ein Unternehmen sein Active Directory nicht im Griff, dann wird die Implementierung von Multifaktor eher steinig. Misten Sie zunächst den Directory Store aus und versichern Sie sich, dass hier alles stimmt. Erst danach fangen Sie mit einer Implementierung an.
2. Verwendet ein Unternehmen in erster Linie immer noch Server, die sich am eigenen Standort befinden, ist ein Einsatz der im Windows Server eingebauten Richtlinien zur Stärkung der Passwörter der bessere Ansatz. Überwachen Sie, wie viel Widerstand es von Anwendern gibt, wenn sie die Passwörter regelmäßig ändern müssen und machen sie diese nach und nach komplexer.
3. Sind die Mitarbeiter eines Unternehmens geografisch stark verteilt und es gibt in jeder Stadt nur wenige Angestellte, sind Schulungen schwierig zu organisieren oder das Verteilen von Security Token gestaltet sich problematisch. In solchen Fällen eignen sich Software Token wahrscheinlich besser.

Ein Geschäftsszenario für Multifaktor-Authentifizierung zu erstellen, bedarf umsichtige Planung und Voraussicht. Es gibt diverse Anwendungsfälle für die Technologie, die sich auf verschiedene Weise in unterschiedliche Teile der IT-Infrastruktur einbinden lassen. Wissen Sie bereits im Voraus, wie sie Multifaktor-Authentifizierung einsetzen werden, finden Sie den geeigneten Provider einfacher.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Über den Autor:
David Strom ist freiberuflicher Autor und hält Vorträge zum Thema Security. Er war früher Chefredakteur bei Tomshardware, bei Network Computing und Digitallanding. Sie finden weitere Informationen über Strom bei Strominator.