Jrgen Flchle - Fotolia

Identitäts-Management ist für die IT-Sicherheit unverzichtbar

Ohne eine Lösung zum Identitäts-Management und zur Authentifizierung, lässt sich eine IT-Infrastruktur nur schwerlich vor Eindringlingen schützen.

Ein modernes Identitäts-Management oder auch Identity and Access Management (IAM) leistet weit mehr als Anwendern nur den Zugang zu einem System oder Netzwerk zu ermöglichen. Identitäts-Management ist eines der wichtigsten Elemente, mit denen Unternehmen ihre IT-Systeme schützen können.

IAM-Systeme gehören zu den Maßnahmen, mit denen sich nicht nur die Sicherheit und Produktivität erhöhen, sondern auch Redundanzen und Kosten reduzieren lassen. Identitäts-Management mag auf den ersten Blick wie ein vergleichsweise einfaches Konzept erscheinen, es gibt aber einige komplexe Bereiche und Ebenen, die zunächst verstanden werden müssen, um IAM-Lösungen effektiv einzusetzen.

Identifizierung und Authentifizierung

Die wichtigsten Komponenten einer jeden IAM-Lösung sind Identifizierung und Authentifizierung. Mittels einer Identifizierung kann sich eine Person gegenüber einem System ausweisen. Eine sehr einfache Identifizierung erfolgt, wenn etwa ein Benutzername eingegeben wird, um sich an einem Netzwerk anzumelden. Vorher sollte jedoch die Identität der Person auf eine vertrauenswürdige Weise überprüft worden sein. Die Authentifizierung ist dann der zweite Schritt. Sie erfolgt, sobald die Person ihre Identität bewiesen hat. Der Nachweis einer bestimmten Identität kann zum Beispiel durchgeführt werden, indem der Benutzername zusammen mit dem zugehörigen Passwort eingegeben wird.

Einfache Systeme zum Identitäts-Management basieren häufig auf dieser Kombination von Benutzername und Passwort. Entsprechende Lösungen werden auch als Systeme mit einer Single-Factor-Authentication (Ein-Faktor-Authentifizierung) bezeichnet. Der Benutzername und das Passwort sind dabei ein Faktor, der für etwas steht, was der Benutzer weiß. Diese recht einfachen Systeme zum Management von Identitäten sind weit verbreitet, weil sie kostengünstig sind und wie binäre Systeme funktionieren. Entweder sind ein Benutzername und das zugehörige Passwort bekannt oder eben nicht.

Solche simplen Systeme haben aber keine Möglichkeit, um überprüfen zu können, wer sie benutzt und wer die Zugangsdaten wirklich eingibt. Am ehesten kann ihre Vorgehensweise noch so beschrieben werden: „Jemand, der im Besitz der Zugangsdaten von Max Mustermann ist, hat sich soeben eingeloggt.” Es erfolgt dabei aber weder eine Verifizierung noch eine echte Überprüfung der Frage, wer die Zugangsdaten bei dieser Single-Faktor-Authentifizierung tatsächlich eingegeben hat. Auch Versuche, die Zuverlässigkeit dieser Systeme zu erhöhen, indem lange und komplexe Passwörter verlangt werden, haben keinen Einfluss auf die Frage, wer die Daten eingibt. Es macht sie nur schwieriger zu benutzen. Die Frage, wer die Zugangsdaten tatsächlich eingetippt hat, können auch komplizierte Passwörter nicht beantworten.

Komplexere und in der Regel auch teurere Systeme mit einer Multifaktor-Authentifizierung werden also benötigt, um eine genauere Beziehung zwischen einem Nutzer und seinen Zugangsdaten herstellen zu können.

Multifaktor-Authentifizierungen

Eine leistungsfähige Authentifizierungslösung muss die Identität überprüfen können und dabei verhindern, dass sich jemand anderes als eine Person ausgeben kann, die zu einem bestimmten System Zugang hat. Zu diesem Zweck wurden Systeme mit einer so genannten Multifaktor-Authentifizierung entwickelt, die eine höhere Vertrauenswürdigkeit bieten, als es einfache Ein-Faktor-Lösungen vermögen.

Gängige Multifaktor-Authentifizierungslösungen kombinieren zusätzliche Identifizierungsmerkmale wie zum Beispiel:

  • Was der Anwender kennt (Passwort)
  • Was der Anwender hat (Security Token)
  • Was der Anwender ist (biometrische Verifizierung)

Token

Ein Token-basiertes System verbindet eine Identität mit einem physischen Gegenstand, den nur Sie besitzen – dem Token – mit einer persönlichen Identifizierungsnummer (PIN) oder einem Passwort, das wiederum nur Sie kennen. Die Sicherheit vergleichbarer Systeme hängt also von der physischen Sicherheit des Tokens und dem Wissen über das Passwortes oder die PIN ab. Ein typisches Beispiel für Token-basierte Systeme sind Geldautomaten, bei denen Sie Ihre EC-Karte plus die PIN benötigen, um Geld abheben zu können. Ähnlich funktionieren Smartcard-Systeme, bei denen eine bestimmte Karte vorhanden sein muss, um Zugang zu einem System zu erlangen. Token können auch dazu verwendet werden, um in einem so genannten Challenge-/Response-Verfahren Einmal-Passwörter zu generieren.

Biometrie

Biometrische Identifizierungssysteme verwenden eine körperliche Eigenschaft, also etwas, das nur eine bestimmte Person besitzt, als ein Zugangsmerkmal.

Typische Beispiele für biometrische Eigenschaften sind:

Anders als bei Passwort-basierten Systemen, bei denen ein Kennwort entweder bekannt ist oder nicht, funktionieren biometrische Systeme etwas anders. Hier kommt es immer wieder zu Fehlern, bei denen eine Anmeldung der richtigen Person nicht erkannt wird oder umgekehrt eine Anmeldung einer anderen Person als legitim eingestuft wird. Aus diesem Grund werden biometrische Systeme meist nur als ein Faktor in einer umfangreicheren Multifaktor-Authentifizierung verwendet. So kann etwa eine Drei-Faktor-Identifizierung und -Authentifizierung aus der Überprüfung des Fingerabdrucks zusammen mit dem Vorlegen einer Smartcard und dem Eingeben einer PIN bestehen. Außerdem ist es wichtig zu wissen, dass biometrische Daten so genannte statische Daten sind, die nicht so einfach verändert werden können wie ein Passwort. Sobald eine biometrische Information etwa über einen Fingerabdruck in die falschen Hände gelangt ist, sollte sie deswegen nicht mehr weiter verwendet werden.

Identifizierung und Authentifizierung sollen, wie bereits erwähnt, die Sicherheit erhöhen. Die hier vorgestellten Lösungen bieten die Basis, mit der sich eine starke Authentifizierung und auch die Überprüfbarkeit einer bestimmten Identität erreichen lassen. Die Basis für eine verlässliche IT-Sicherheit ist, ist jederzeit die Kontrolle über den Zugang zu Netzwerken zu behalten und gleichzeitig zu wissen, wer und wie die Systeme nutzt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IAM: Zugriffsrechte an Identitäten koppeln.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

Multifaktor-Authentifizierung: Einführung in MFA-Methoden für Unternehmen.

Multifaktor-Authentifizierung: Beispiele und Anwendungsfälle für MFA.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close