Das Tauziehen um den Zugriff

Wenn ich über den Zwiespalt beim Anwenderzugriffsmanagement zwischen einfacherem Zugriff und mehr Sicherheit nachdenke, fällt mir immer die Werbung der Biersorte Miller Lite mit dem Slogan „Tastes Great/Less Filling“ aus meiner Kindheit ein. Damit warb Miller Lite für ein Bier, das gut schmecken und dabei weniger sättigen sollte. Beim Zugriffsmanagement wünschen sich Anwender einfacher zu nutzende Anwendungen mit einfacherem Zugriff. IT-Sicherheitsteams müssen gleichzeitig für mehr Sicherheit sorgen. Wie können wir also die „Miller Lite-Lösung“ mit einfachem Zugriff UND höherer Sicherheit für das Zugriffsmanagement realisieren?

SSO-Lösungen (Single Sign-On) bieten in erster Linie „einfachen Zugriff“. Sie vereinfachen den Alltag der Anwender, die sich nur ein Passwort statt 15 für den Zugriff auf alle ihre Anwendungen merken müssen.

Mehrstufige Authentifizierungssysteme sind auf höhere Sicherheit ausgelegt. Da Passwörter allein nicht ausreichen, werden zusätzliche Anmeldeschritte für den Anwendungszugriff eingeführt. Viele SSO-Systeme verfügen über eine grundlegende Form einer mehrstufigen Authentifizierung. Aber wie sieht es mit der Anwenderfreundlichkeit aus?

Betrachten wir nun, wie sich Sicherheit und Komfort vereinbaren lassen. Wir beginnen zunächst mit der Ideallösung. Als Anwender beginnen Sie mit der Arbeit auf Ihrem Computer und müssen nichts tun, um sich zu authentifizieren. Sie haben Zugriff auf alles, was Sie benötigen, und auf nichts, worauf Sie keinen Zugriff haben sollten. Die IT-Abteilung überwacht Ihren Zugriff und verlässt sich darauf, dass es sich tatsächlich um Sie handelt. Hier kommt also nicht Single Sign-On, sondern „Zero Sign-On“ zum Einsatz, wobei die Sicherheitskontrollen für den Anwender vollkommen unsichtbar sind. Der Trick dabei ist, dieses hohe Maß an Zuverlässigkeit zu erhalten. Wir benötigen Systeme, die dieses Maß an Zuverlässigkeit oder zumindest im Vergleich zu heute ein höheres Maß an Zuverlässigkeit als ein Passwort erreichen.

Wie weit sind wir von dieser Utopie des „Zero Sign-On“ entfernt? Wir leben heute in erster Linie in einer Welt der Benutzernamen und meist auch Passwörter. Mit den aktuellen SSO-Lösungen können Anwender einen Benutzernamen für den Zugriff auf Unternehmensressourcen verwenden. Noch nicht die Utopie, aber schon ganz gut. Ich habe also einen Benutzernamen. Jetzt können zahlreiche Attribute über mich mit diesem Benutzernamen verknüpft werden. Dazu kommen Attribute über meine Sitzung, z. B. welches Gerät ich nutze, wo ich mich befinde, welche Tageszeit es ist und ob ich mich „normal“ verhalte. Da diese Dinge über den Anwender, seinen Kontext und sein Verhalten bekannt sind, können der Administrator und der Anwender gemeinsam bestimmen, was sowohl ausreichend sicher als auch anwenderfreundlich ist.

Der Administrator muss in diesem Fall vor allem zwei Dinge bestimmen. Wie sensibel sind die Daten, auf die zugegriffen wird, und wie zuverlässig handelt es sich bei diesem Anwender tatsächlich um denjenigen, der er zu sein vorgibt? Die Antworten auf diese beiden Fragen bestimmen, ob mehr Absicherung erforderlich ist, um dem Anwender Zugriff auf die angeforderten Daten zu gewähren. Wenn Sie bereits ausreichende Absicherung für die angeforderten Daten haben, verlangen Sie keine weiteren Angaben vom Anwender. Wenn mehr Absicherung erforderlich ist, können mehrstufige Methoden in den Ablauf integriert werden. Wenn die Informationen besonders riskant erscheinen, kann der Anwenderzugriff blockiert und gemeldet werden.

Bei der mehrstufigen Authentifizierung rückt die Anwenderauswahl in den Fokus. Der Administrator sollte entscheiden, wie viel Identitätsabsicherung erforderlich ist, aber der Anwender kann selbst bestimmen, ob er diese Absicherung erbringt.  Wenn ein Administrator entscheiden kann, dass ein FIDO-Token (Fast Identity Online) und ein iPhone-Fingerabdruck eine gleichwertige Identitätsabsicherung bieten, lassen Sie den Anwender entscheiden, welche Methode für ihn bequemer ist.

Da heute die häufigsten Datenschutzverstöße in Unternehmen von gestohlenen Anmeldedaten ausgehen, wissen wir, dass Passwörter nicht die erforderliche Sicherheit bieten. Wir können es dem Anwender aber so flexibel und einfach wie möglich machen. Zumindest so lange, bis eine vollständig nahtlose Identitätsabsicherung Realität geworden ist – und früher oder später wird es so weit sein. Es liegt nun an uns im Bereich der Identitätstechnologie, die Zeit bis dahin zu verkürzen.

Was übrigens die Frage nach dem „schmeckt gut/sättigt weniger“ bei Miller Lite angeht: Ich bevorzuge ein Ellie’s Brown von Avery Brewing und halte mich aus dieser Debatte heraus.

 

 

No Comments