Viele Softwareanwender im Unternehmen sind genervt, ständig ihr Passwort ändern zu müssen. Das ist verständlich, da die althergebrachten Sicherheitstechnologien immer nur Benutzername und ein Passwort mit immer derselben Stärke fordern, egal worauf zugegriffen werden soll. Es ist schwer nachzuvollziehen, warum ein Mitarbeitermagazin exakt genauso geschützt wird, wie die eigene Gehaltsabrechnung. In diesem Beitrag zeigen wir, wie Sie IT-Sicherheit mit hoher Akzeptanz Ihrer Mitarbeiter gezielt einsetzen.
 

IT-Sicherheit etabliert sich

Unternehmen tendieren dazu, der Benutzerzufriedenheit Vorrang zu geben, und gehen dafür viele Kompromisse bei der IT-Sicherheit ein. Zu viele, wie die täglichen Nachrichten über Sicherheitsvorfälle in der Unternehmens-IT zeigen. Das ändert sich gerade. Wie so oft in der IT kommt der Anstoss aus dem Konsumentensegment. Unternehmen wie Apple, Google, Facebook und Amazon bedienen sich mittlerweile Methoden, die aus der Finanzbranche bekannt sind. Sie bieten Privatanwendern höhere Sicherheit durch die Umstellung auf moderne Authentifizierungsmethoden und Multi-Faktor-Authentifizierung. Damit kommt die IT-Sicherheit aus ihrem dunklen Eck und besteigt die Bühne der coolen „Gadgets“, wird ein fester Bestandteil unseres alltäglichen Umgangs mit Informationstechnologie.
 

Differenzierte Anwendung von Sicherheitstechnologien

Wer gibt noch gerne jeden Morgen ein achtstelliges Passwort ein, wenn zu Hause ein kurzes Auflegen des Fingers reicht, um Zugriff auf alle relevanten Informationen zu erhalten? Unternehmen sollten diesen Umstand jedoch nicht nur als Herausforderung, sondern vor allem als Chance begreifen. Denn noch nie waren die Akzeptanz und die Sensibilität für IT-Sicherheit bei Anwendern so hoch wie jetzt. Die Verbreitung und Akzeptanz moderner Authentifizierungsmethoden ist dabei nur ein Baustein – um das Sicherheitsniveau in Unternehmen effektiv anzuheben, muss eine differenziertere Anwendung von Sicherheitstechnologien erreicht werden, damit der Anwender den zusätzlichen Aufwand auch als angemessen erachtet. Die Frage, ob der Aufwand angemessen ist, ist keine pauschale Frage, sondern stellt sich in jedem Einzelfall. Jeder Anwender hat Verständnis dafür beziehungsweise erwartet sogar, dass die Sicherheitsprozedur aufwendiger ist, wenn er Einsicht in seine Gehaltsabrechnung nehmen will – schließlich hat er ein großes Eigeninteresse an der Vertraulichkeit dieser Informationen. Es ist auch sehr verständlich, warum der Zugriff auf Kernanwendungen des Unternehmens komplexer abgesichert ist, oder warum der Zugriff von einem privaten Gerät gegebenenfalls etwas mehr Sicherheitsprüfungen erfordert als von einem von der Firma bereitgestellten Gerät. Sicherheitsarchitekturen müssen auf diese Aspekte reagieren und im Kontext wirken.
 
Hierfür ist die Technologie verfügbar und es gibt auch die Sicherheitstechnologien, die dynamisch und adaptiv das jeweils richtige Maß an Sicherheit bereitstellen. Sie firmieren unter der Sammelbezeichnung Adaptive Authentication. Gemeint ist damit zunächst einmal das Prinzip, die mit einem Login-Prozess verbundenen Risiken vor der Anmeldung des Nutzers automatisiert zu evaluieren und entsprechende Authentifizierungsmethoden zu ergreifen. Versucht der Nutzer, Zugang zu geschäftskritischen Informationen zu erlangen, werden mehrere Faktoren abgefragt. Um sich in das bürointerne Bundesliga-Tippspiel einzuloggen, reicht hingegen die Eingabe eines einfachen Passworts.
Bislang wurde auch danach unterschieden, von wo Zugriffe kommen. Kommen sie von innen – beispielsweise vom Desktop-PC eines Schreibtischarbeiters oder erfolgen sie über eine Remote-Verbindung, etwa über VPN oder eine Virtual-Desktop-Infrastruktur-Lösung (VDI)? Viele Unternehmen setzen bei Remote-Zugriffen auf die klassische Multi-Faktor-Authentifizierung. Sie fragen nicht nur ein Passwort ab, sondern zusätzlich einen einmal gültigen Sicherheitsschlüssel, den sie zum Beispiel per SMS an den Nutzer verschicken. Auf diese Weise kombinieren sie mehrere Authentifizierungsmethoden und sichern sich zusätzlich gegen unbefugte Zugriffe von außen ab. Sitzt der Nutzer im Unternehmen, bringen sie ihm hingegen ein höheres Grundvertrauen entgegen – die Eingabe eines einfachen Passworts reicht dann aus. Nicht selten sind für beide Anwendungsfälle unterschiedliche Systeme von unterschiedlichen Herstellern im Einsatz. Die Hersteller selbst sind häufig auf eines der beiden Szenarien spezialisiert und bieten für das jeweils andere Szenario gar keine Lösung an.
 

Zugriffe von innen und außen verschwimmen

Die Unterscheidung zwischen „innen“ und „außen“ war lange sinnvoll, in modernen IT-Landschaften aber verliert sie zunehmend an Bedeutung. Beide Welten verschwimmen zunehmend, eine strikte Trennung ist nicht mehr möglich. Mitarbeiter rufen Terminal-Server-Sitzungen heute vom Tablet aus auf oder nutzen vom heimischen PC aus die gleichen VDI-Sitzungen wie im Büro. Die Authentifizierung von Nutzern wird dadurch zusätzlich erschwert: Viele Methoden, die bei Remote-Zugriffen üblich sind, sind im Büro schlicht nicht praktikabel – zum Beispiel das Token-Verfahren. In-House-Methoden, wie etwa die Erfassung biometrischer Merkmale wiederum, erfordern oft spezielle Hardware, die niemand mitschleppen möchte oder kann, der von außerhalb auf das Unternehmensnetz zugreift.
 
Heutige Lösungen sollten alle Anwendungsfälle gleichermaßen abdecken. Solche Systeme unterstützen eine Vielzahl unterschiedlicher Authentifizierungsmethoden und wählen automatisch immer die jeweils passende aus. Je nach Zugriffszenario können auch mehrere Faktoren überprüft werden. Erfolgt etwa der Zugriff auf eine Terminal-Server-Sitzung von Remote, fragt die Lösung ein Token und ein Passwort ab. Erfolgt er hingegen vom Arbeitsplatzrechner, wird ein biometrisches Merkmal oder eine PIN zur Authentifizierung herangezogen. Und nicht nur der Zugriffsort spielt eine Rolle. Welche Authentifizierungsmethode herangezogen wird, kann zum Beispiel auch aus den Rollen und Rechten abgeleitet werden, die im Identitätsmanagement-System hinterlegt sind. Und auch Single-Sign-On-Verfahren sind mit der Lösung kompatibel. Der Nutzerkomfort wird auf diese Weise stark erhöht.
 

Fazit:

Anwender bringen den Schutzmaßnahmen mittlerweile eine hohe Akzeptanz entgegen – sofern sie ihnen keinen unangemessenen Aufwand abverlangen. Auch wertvolle Arbeitszeit wird gespart, wenn komplexe Authentifizierungsmethoden nur dort eingesetzt werden, wo die Sachlage dies tatsächlich erfordert. Entscheidend ist jedoch, dass Unternehmen die technische Weiterentwicklung auf diesem Feld nicht verschlafen. Wer Security wirklich liebt, der setzt jetzt auf zukunftstaugliche Lösungen.
CompuSafe arbeitet seit Jahren mit kompetenten IT-Sicherheits-Experten zusammen. Wenn Sie Ihr Unternehmen jetzt in der IT zukunftsfähig machen wollen, können wir gemeinsam eine Lösung für Sie finden. Kontaktieren Sie uns am besten gleich!
 
Quellen:
So ist IT-Sicherheit plötzlich cool
Sechs Tipps für mehr Security-Akzeptanz

Bleiben Sie auf dem Laufenden rund um Agile Sourcing, Zukunft der Arbeit, New Leadership im Zeitalter der Digitalen Transformation und vieles mehr
Jetzt abonnieren
Ich habe die Datenschutzerklärung gelesen und stimmme dieser zu.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *