Sicherer Zugriff von unterwegs

Damit die IT-Mitarbeiter in diesem Fall sichere Zugriffsrechte gewährleisten können, bietet sich der Einsatz einer tokenlosen Zwei-Faktor-Authentifizierung an. Sie garantiert eine doppelte Absicherung durch die Kombination persönlicher Log-in-Daten mit dynamischen Passcodes, die das Mobilgerät als zweiten Faktor empfängt.

Lange Zeit galten in Unternehmen Passwörter als das Nonplusultra für einen sicheren Remote-Zugriff. Allerdings birgt die Passwortmethode – oft sogar der Einsatz eines Universalpasswortes – Fallstricke. Zum Beispiel empfiehlt es sich, die Passwörter in regelmäßigen Abständen zu ändern, was aber der IT-Abteilung signifikante Mehrarbeit aufbürdet und den Mitarbeitern ständige Umstellung abverlangt.

Zudem sollten Passwörter möglichst komplex sein, um das Knacken zu erschweren. Allerdings sind Codes wie „17%=(XXy6$1!“ schwierig zu merken, weshalb sich die Mitarbeiter ihre Daten häufig notieren und am Arbeitsplatz hinterlegen. Dass so die Sicherheit nicht gerade erhöht wird, versteht sich von selbst.

Um Log-in-Vorgänge sicherer zu machen, können auch verschiedene Mechanismen miteinander verknüpft werden. Zu den Lösungen dieser Art zählt die sogenannte Zwei-Faktor-Authentifizierung. Sie erfordert mindestens zwei von drei möglichen Absicherungen in Kombination:

• etwas, das nur dem Nutzer selbst bekannt ist, wie eine PIN,
• etwas Materielles, das ausschließlich der Nutzer besitzt, wie ein Token (USB-Stick) oder ein Mobiltelefon,
• etwas, das untrennbar zu einem Nutzer gehört, wie die Iris des Auges.

Bekannt sind diese Zugriffsprozesse beispielsweise vom Geldabheben am Bankautomaten: Erst die Kombination aus persönlicher Bankkarte sowie der PIN-Nummer ermöglicht die Transaktion. Der Nachteil: der Anwender ist gezwungen, die Bankkarte (oder generell das Token für Unternehmenszwecke) stets mit sich zu führen.

Abgesehen von der eher lästigen Pflicht, das Token permanent bei sich tragen, sind auch die Kosten dafür nicht zu unterschätzen. Zum einen belaufen sich diese auf die Anschaffung, zum anderen auf Austausch im Falle des Verlustes oder bei Diebstahl.

Hier bringen tokenlose Zwei-Faktor-Authentifizierungen wie Securbyot von Securenvoy neue, budgetschonende Ansätze: Für den Log-in erhält der Nutzer über sein mobiles Device (Smartphone, Tablet oder Laptop) einen dynamisch erzeugten, einmalig gültigen Passcode. Dieser „Faktor Passcode“ wird mit dem „Faktor Mitarbeiter“ verknüpft, der sowohl einen eigenständig festgelegten Benutzernamen und ein Passwort hat sowie eine persönliche Zugangslizenz besitzt. Damit kann sich jeder Mitarbeiter identifizieren.

Den Passcode erhält der Anwender wahlweise per SMS, E-Mail oder App auf sein Mobilgerät. Dadurch umgehen Unternehmen die Installation von Soft- oder Hardware auf den privaten Endgeräten, was die Mitarbeiter andernfalls zu Recht als „aufoktroyierte“ Verletzung ihrer Privatsphäre empfinden könnten.

Sobald ein Passcode eingegeben wurde, verfällt er automatisch, und das System generiert umgehend einen neuen Code, den es per SMS zusendet. Gleiches gilt für Falscheingaben. Dabei kann die IT-Abteilung festlegen, wie viele fehlerhafte Log-ins pro Anwender gestattet sind, bevor der Zugang dauerhaft gesperrt wird. Wird ein Passcode innerhalb seiner maximalen Gültigkeitsfrist von sieben Tagen nicht gebraucht, verfällt er und wird durch einen neuen ersetzt. So hat der Nutzer jederzeit einen gültigen Passcode parat. Damit stellen auch akute Übertragungsprobleme im Mobilfunknetz kein Problem bei Log-in-Vorgängen dar.

Mittels Zwei-Faktor-Authentifizierung profitieren Unternehmen von einem besonders sicheren Schutz. Denn die Log-in-Vorgänge kombinieren selbst gewählte Benutzernamen und Passwörter mit dynamisch generierten Passcodes plus Nutzerlizenzen. Dies senkt auch das Missbrauchsrisiko deutlich.

Darüber hinaus sind die Lösungen kostengünstig, weil das Unternehmen nur in deren Installation investieren muss. Die teure Anschaffung spezieller Tokens in Form von Smartcards, USB-Sticks und Ähnlichem ist nicht erforderlich. Auch die Token-Einrichtung, -ausgabe und der Support seitens der IT-Abteilung fallen weg – ganz zu schweigen von den Kosten bei Verlust oder Diebstahl. Eine weitere Entlastung genießt die IT-Abteilung, wenn die Mitarbeiter ihre Prozesse eigenständig kontrollieren und verwalten, indem sie zum Beispiel in Eigenregie über die persönliche Nutzerkennung mehrere Geräte autorisieren können.