12.03.2021 | Wolfgang Rieger

So gelingt eine sichere Unternehmensdigitalisierung

Viele Unternehmen wollen und müssen digitalisieren um Kosten zu sparen und effizienter zu werden. Anbieter und Lösungen dafür gibt es viele. Leider haben diese eine Gemeinsamkeit: Es wird bei aller Digitalisierung kaum auf IT-Security geachtet.

Hacker bedienen sich mittlerweile ausgefeilter Techniken. Sie arbeiten sogar arbeitsteilig zusammen. Einer beschafft die Zugangsdaten und verkauft diese an andere. Diese wiederum missbrauchen die Zugangsdaten auf unterschiedliche Art und Weise. Manche gehen Shoppen auf Kosten der Account-Eigentümer, andere wiederum legen es ganz gezielt darauf an Firmenzugänge zu übernehmen.

Wie geht sowas fragen Sie sich? Mir würde das nicht passieren, sagen Sie? Mein Passwort kennt doch keiner. Das ist nur bedingt richtig. Nutzen Sie nicht auch für geschäftlich genutzte Portale Ihre Firmenzugangsdaten – das ist ja schließlich geschäftlich und man kann sich das ganze Zeug eh kaum merken? Was geschieht mit Ihren Zugangsdaten, wenn eines der Portale gehackt wird? Den Hackern geht es nicht um die Zerstörung des Portals. Nein, ihre Absicht ist es an Zugangsdaten zu gelangen diese zu verkaufen oder selbst zu nutzen.

Stellen Sie sich vor, Sie nutzten auf einer gehackten Plattform Ihre Firmenzugangsdaten. Wann werden Sie persönlich vom Plattformbetreiber über den Hack informiert?  Wahrscheinlich lesen Sie davon Wochen später durch Zufall in der Zeitung. Wenn der Hack groß genug war und er es in die Press geschafft hat. Ansonsten eher nicht.

Was geschieht in der Zwischenzeit mit Ihren Zugangsdaten? Also in den Wochen oder Monaten, in denen Sie nichts von einem Hack wissen? Die Daten werden von Hackern missbraucht. Wie einfach ist es für Sie, sich morgens an Ihrem Office365 Account anzumelden? Sie müssen nicht einmal mehr ins Büro oder umständlich VPN Zugänge frei schalten. Die Microsoft URL ist gespeichert und schon ist man drauf. Stellen Sie sich vor, wie einfach das für Hacker ist, die nun doch Ihr Passwort – egal wie kompliziert es ist – kennen und auch noch im Besitz Ihres Usernamen oder Email, also den Zugangs Daten – sind?

Weiterlesen auf Seite 2

Ich erzähle Ihnen jetzt einmal von einem Fall, der sogenannten President-Masche. Hier wurde vor ein paar Jahren ein Buchhalter von seinem Vorstandsvorsitzenden erheblich per Mail unter Druck gesetzt Geld für einen Top-Secret Firmenzukauf auf ein Off-shore-Konto super geheim zu überweisen. Ihm wurde per Mail verboten mit dem Vorstand zu sprechen, diesen überhaupt anzusprechen, so geheim war das Projekt. Nach einigem Hin und Her überwies der Buchhalter die Millionen. Wie sich im Nachhinein herausstellte waren die Mailzugänge des Vorstands nach einem Hack bekannt geworden. Hacker nutzen dies aus um in seinem Namen Millionen zu ergaunern.

Wie kann man solchem Missbrauch von Firmen Credentials – so der Fachbegriff für „Zugangsdaten“ – vorbeugen bzw. entgegen wirken? Ganz einfach, „..mit der Nutzung eines zweiten Faktors“ sagen Sie.

Das stimmt. Aber nur teilweise. Ein wesentlicher Aspekt ist die Convenience, also die Einfachheit und wie bequem die Lösung für den Einzelnen zu handhaben ist. Muss man erst einmal 8-stellige Codes vom Handy ablesen und irgendwo eintippen ist das nicht sehr bequem. Nach dazu wenn man kein Firmenhandy hat und man seine privaten Handydaten keinem Cloudanbieter mit Sitz außerhalb Europas anvertrauen will. Was wäre dann die Lösung? Eine Handy-App bei der man nur zu „wischen“ braucht und man hat Zugriff auf das gewünschte Portal, die benötigte Anwendung? Oder würde es mir nicht besser gefallen meine Smartwatch bei jeder Gelegenheit zu nutzen und damit zu zeigen wie innovativ ich bin? Vielleicht will der Eine oder andere ganz klassisch Hardware nutzen um sich damit zu authentifizieren. Weil er das schon seit 20 Jahren so gemacht hat.

Egal welche Geschmacksrichtung gewünscht wird. Jede 2FA (Zwei Faktor Authentifizierung) – außer SMS/Anruf – ist besser als Username/Passwort only. Warum keine SMS/Anruf? Wenn es um Datensicherheit geht, sind diese beiden Verfahren zu unsicher und die PINs können zu einfach ausspioniert werden. Einfach heißt nicht, dass Sie oder ich das sofort könnten. Eine gewisse Portion kriminelle Energie und Fachwissen gehört schon dazu. Aber was tut man nicht alles für 40 Mio. Euro. So hoch war übrigens die ergaunerte Summe im vorhin geschilderten Beispiel.

Muss man immer solch einen Aufwand treiben? Auch wenn man sich im Büro mit ausreichend Perimeter Sicherheit befindet? Die Antwort lautet: „Das kommt auf Ihr Unternehmen und dessen Risikoabschätzung an“. Häufig reichen, in Büroumgebungen one time Passwörter aus, die am PC einfach bestätigt werden.

Was aber, wenn die Person auf Reisen geht oder im Home Office arbeitet? Also sich außerhalb der eigenen Perimeter Security befindet? Auch hier gibt es einfach und bequem zu bedienende Lösungen. Über die sogenannte Risk Based Authentifizierung wird festgelegt, wann, wo und wie man sich zu Authentifizieren hat. Im Büro über ein einmal (one time) Passwort. Im Home Office und im EU-Ausland vielleicht über eine Handy App, zu deren Aktivierung ein Fingerabdruck notwendig ist.

Das nennt man MFA (Multi Faktor Authentifizierung). Es heißt deshalb MFA, da ein dritter Faktor, nämlich der Fingerabdruck zusätzlich zum Besitz des Handys (2. Faktor) notwendig ist. Es kann auch eine Gesichtserkennung genutzt und alternativ zum Fingerabdruck aktiviert werden. Dazu hält man sich einfach das Handy wie für ein Selfie vors Gesicht.

Befindet man sich z.B. außerhalb der EU (GEOtracking anhand der IP-Adresse) ist ggf. noch zusätzlich ein Hardware Token nötig. Dies kann der allseits bekannte RSA Token sein oder die neuen SSO Yubico Yubikey Token. Die Yubikey sind mit RSA Software gepatcht und somit zu 100% in eine RSA Authentifizierungslösung integriert. Diese werden ausschließlich über die RSA Preislisten und bekannten Bezugsquellen wie die Tech Data vertrieben. Der Vorteil der Yubikey ist der günstigere Preis gegenüber den bekannten RSA Token und eine fast nahezu lebenslange Nutzbarkeit. Im letzten Szenario authentifizieren Sie sich also erst über den Fingerprint am Handy, aktivieren damit die Yubikey Abfrage (USB am PC) und bestätigen damit, dass Sie und nur Sie und keine andre Person den Zugang zur Firmenanwendung möchten.

Als Fazit kann festgehalten werden, dass Username und Passwort schon lange kein wirkliches Hindernis mehr für Hacker sind. Wenn also noch mehr Digitalisiert wird und noch mehr Daten in elektronischer Form verfügbar sind, ist es zwingend notwendig, sichere und vor allem für die User bequem zu nutzende Authentifizierungsmöglichkeiten anzubieten. Zu einfach sollte man es den bösen Buden dann doch nicht machen.  RSA SecurID® ist die am weitesten verbreite und mit über 30 Jahren Erfahrung sicherlich auch eine der zuverlässigsten Lösungen am Markt. Sie interagiert mit über 500 Herstellern und ist damit die zentrale IAM Lösung für tausende von Anwendungen.

Gerne steht Ihnen das Security Team der Tech Data unter RSA@techdate.de für alle Fragen rund um Authentifizierung, IAM und RSA zur Verfügung.

Über den Autor

Wolfgang Rieger | Website

Wolfgang Rieger ist seit November 2016 bei der Tech Data als Senior Business Development Manager in der Security Abteilung tätig. Zuvor war er viele Jahre mit dem Schwerpunkt Security in verschiedenen Positionen für Hersteller und Systemhäuser tätig. Sein kaufmännischer und technischer Background, sowie seine langjährige Security Erfahrung ermöglicht es ihm komplexe Security Themen einfach zusammen zu fassen und mit einem klaren Partner- und Endkunden Nutzen zu kommunizieren.

  • Drei Fragen an den Autoren

    Was ist deine Funktion bei Tech Data?

    Senior Business Development Manager DACH

    Wie lange bist du schon beim Unternehmen?

    Seit November 2016

    Was für einen Unterschied macht deine Arbeit für Tech Data

    Durch meinen jahrelangen Endkundenfokus und das Arbeiten auf Partnerseite bringe ich häufig eine andere – nicht Distribution – Sichtweise ins Team ein.

Zur Specialists Übersicht