- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Sechs Regeln für die sichere Authentifizierung


Wer die Online-Schwelle übertritt, braucht Authentifizierungsmechanismen, die eine zweifelsfreie Überprüfung der Identifikation zulassen
Eine einzige Authentifizierungsform passt selten für die unterschiedlichen Anwendungsfälle, die in einem Unternehmen auftreten können


(17.10.11) - In Deutschland prangen viele tausend Passwörter auf gelben Klebezetteln an den Monitoren. Manche werden auch mit wasserfesten Stiften auf die Tastatur des Laptops geschrieben. Ein Alptraum für alle Chief Security Officers und Sicherheitsbeauftragte, die wertvolle Daten schützen müssen.

Netzwerkzugänge müssen vor dem Hintergrund wachsender Gefahren durch mehrschichtige Sicherheitsmaßnahmen geschützt werden. Die Experten von ActivIdentity haben sechs Gebote für einen sicheren Zugang zu Unternehmensnetzen zusammengestellt.

1. Keiner kommt rein, ohne sich zu erkennen zu geben
Für Unternehmen aller Größen gilt: Der Gegenüber muss identifiziert werden. Das ist für einen Zulieferer in der Flugzeugindustrie mit 50 Mitarbeitern genauso überlebenswichtig wie für einen Großkonzern. Die Identifizierung bildet den ersten Schritt der Sicherheitskette. Die Kommunikationspartner müssen sich kennen, unabhängig davon, ob Mitarbeiter auf Unternehmensdaten zugreifen, Kunden über das Internet das Web-Angebot des Unternehmens aufrufen oder Online-Banking-Dienste genutzt werden. Alle nachgelagerten Sicherheitsmaßnahmen können nur sinnvoll greifen, wenn die Kommunikationspartner bekannt sind.

2. Keine Identifizierung ohne Authentifizierung
Wer eine Grenze überschreitet, braucht einen Reisepass. Ist derjenige, der auf ein Netzwerk, einen Dienst oder spezifische Daten zugreift, tatsächlich der, für den er sich ausgibt? Wer die Online-Schwelle übertritt, braucht Authentifizierungsmechanismen, die eine zweifelsfreie Überprüfung der Identifikation zulassen.

3. Beuge den leisen Verbrechen vor
Die meisten Bedrohungen, gegen die sich Unternehmen heute absichern, sind unangenehm, teilweise auch gefährlich. Sie haben aber, egal ob Virus, Trojaner, DoS oder andere, eine Gemeinsamkeit: Man "spürt" den Angriff, da z.B. Daten zerstört oder Zugriffe auf Dienste verhindert werden. Gelingt einem Angreifer der Diebstahl einer Identität, agiert dieser im Namen einer autorisierten Person. Dienste können missbräuchlich genutzt werden, Daten ausgelesen oder verändert werden, ohne dass vorhandene Sicherungsmaßnahmen dies erkennen oder verhindern können. Dies verhindert die starke Authentifizierung. Identitäten müssen so gestaltet werden, dass der Diebstahl auffällt oder nicht begangen werden kann.

4. Unterstütze den Anwender so gut es geht
Alle Sicherungsmaßnahmen müssen den Zugang für den Anwender einfacher machen als vorher, sie dürfen ihn nicht behindern. Der Anwender und seine Bedürfnisse stehen im Mittelpunkt, denn schließlich geschieht die Authentifizierung bei ihm. Identifizierungs- und Authentifizierungsmethoden sollten daher so ausgewählt werden, dass sie die Nutzer in ihren Anwendungen unterstützen und der Anmeldevorgang vereinfacht wird.

5. Wähle eine Lösung, die automatisiert Regeln durchsetzt
Die wenigsten Anwender haben ein Bewusstsein für IT-Sicherheitsproblematiken. Daher sollten Authentifizierungsregeln, sei es für die Nutzung bestimmter Authentifizierungsgeräte oder für die Verwendung von Passwörtern, mit technischen Mitteln durchgesetzt werden. Auf diese Weise kann man die Auswahl der Zugangsmethoden oder das Merken der Passwörter auslagern an ein technisches Hilfsmittel. Hier hilft Single-Sign-on, mit dem Anwender nach einer einmaligen Authentifizierung an einem Arbeitsplatz auf alle Dienste, für die sie lokal berechtigt sind, am selben Arbeitsplatz zugreifen können, ohne sich jedes Mal neu anmelden zu müssen.

6. Jeder Authentifizierungstopf braucht seinen Deckel
Eine einzige Authentifizierungsform passt selten für die unterschiedlichen Anwendungsfälle, die in einem Unternehmen auftreten können. Abhängig vom Sicherheitsbedarf, dem Angriffsrisiko, dem Verbindungstyp und anderen Parametern sollte eine angemessene Authentifizierungsmethode gewählt werden. Dabei sollten Unternehmen den Zugriff durch einen zentralen Authentifizierungsdienst steuern. Wer für unterschiedliche Authentifizierungsmethoden unterschiedliche Lösungen wählt, lädt der IT-Abteilung einen erheblichen Administrationsaufwand auf, der leicht vermeidbar ist.
(Active Identity: ra)

ActiveIdentity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Buchhalter und Berufsausübung

    Vorbehaltsaufgaben der steuerberatenden Berufe hindern selbstständige Buchhalter an ihrer Berufsausübung. Darunter fällt auch das Verbot des Anfertigens der Umsatzsteuervoranmeldung (UStVA). Dass das dem Grundrecht auf Berufsfreiheit widerspricht, geht aus einem vom Bundesverband der Bilanzbuchhalter und Controller (BVBC) bereits 2015 in Auftrag gegebenen Gutachten hervor, das der Verband nun dem Bundesverfassungsgericht (BVerfG) zukommen ließ. Zur geschäftsmäßigen Hilfeleistung in Steuersachen sind gemäß Steuerberatungsgesetz (StBerG) ausschließlich steuerberatende Berufe wie Steuerberater und Rechtsanwälte befugt (§ 3 StBerG). Ausnahmen gelten bei mechanischen Arbeitsgängen (§ 6 Nr. 3 StBerG) sowie für selbstständige Buchhalter, denen nach Beschlüssen des BVerfG aus den 1980er Jahren (1 BvR 697/77, 1 BvR 807/80) das Buchen laufender Geschäftsvorfälle, die laufende Lohnabrechnung und das Fertigen von Lohnsteueranmeldungen (§ 6 N4. 4 StBerG) gestattet sind.

  • Was ist neu? Neuregelungen zum Januar 2018

    Der gesetzliche Mindestlohn gilt ab 1. Januar ausnahmslos für alle Branchen. Wer seine Heizung auf erneuerbare Energien umstellen möchte, muss den Förderantrag vor der Auftragsvergabe einreichen. Der gesetzliche Mutterschutz gilt nun auch für Schülerinnen und Studentinnen. Diese und andere Neuregelungen treten im Januar in Kraft.

  • Ab in den Reißwolf

    Pünktlich zum Jahresbeginn stehen viele Unternehmer wieder vor der Frage: Welche Unterlagen können eigentlich dem Reißwolf übergeben und welche Dateien unwiderruflich gelöscht werden? Grundsätzlich gilt, dass Geschäfts- oder Buchhaltungsunterlagen, egal ob elektronisch oder auf Papier, über einen bestimmten Zeitraum aufbewahrt werden müssen. Die Aufbewahrungsfristen für Buchhaltungsunterlagen sind gesetzlich festgeschrieben und liegen zwischen sechs und zehn Jahren. Im Einzelnen bedeutet dies, dass Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen und Organisationsunterlagen zehn Jahre und Handels- und Geschäftsbriefe sowie sonstige Unterlagen sechs Jahre archiviert werden müssen. Unterlagen wie Kalender oder Arbeits- und Fahrberichte dagegen sind nicht aufbewahrungspflichtig. Solche Papiere können nach eigenem Ermessen und bei Bedarf vernichtet werden.

  • Banken müssen mehr tun in Sachen Risikovorsorge

    Die Finanz- und Wirtschaftskrise von 2008 wurde durch Hypothekenkredite an Kunden mit schlechter Bonität ausgelöst. Zehn Jahre später tritt nun mit dem IFRS 9 ein neuer Standard in Kraft, der ersonnen wurde, um künftig ähnliche Katastrophen zu verhindern. Ab 1. Januar 2018 müssen Banken ihre Finanzinstrumente nach diesem neuen Standard klassifizieren und bewerten. In Kombination mit anderen gesetzlichen Anpassungen steigen die Offenlegungspflichten in qualitativer und quantitativer Hinsicht. "Das ist ein Cocktail an verschärfter Regulatorik, der die Kreditinstitute vor große Herausforderungen stellt", so Stefan Steinhoff, Partner der TME AG, einer Frankfurter Unternehmensberatung für Financial Services.

  • Volkswagen spielt auf Zeit

    Seit dem 15. September 2015 warten Millionen Volkswagen-Kunden auf eine freiwillige Entschädigung für Manipulationen an der Abgasreinigung ihrer Fahrzeuge durch den VW-Konzern. Geschädigte müssen ihre Ansprüche individuell vor Gericht einklagen - und dabei die Verjährungsfristen beachten. Einige Ansprüche verjähren Ende 2017. Da voraussichtlich weder 2017 noch 2018 die wichtigsten Ansprüche gegen VW höchstgerichtlich geklärt sein werden, fordert der vzbv eine Garantie von Volkswagen für alle Langzeitfolgen nach Umrüstungen sowie eine finanzielle Entschädigung als Geste der Entschuldigung bei den betroffenen Kunden.