Warum eine sichere(re) Authentifizierung?



Ähnliche Dokumente
Umzug der abfallwirtschaftlichen Nummern /Kündigung

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Digitale Zertifikate

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Benutzerhandbuch - Elterliche Kontrolle

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Anbindung des eibport an das Internet

Prodanet ProductManager WinEdition

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

D , neue Perspektiven für die elektronische Kommunikation

Beschreibung und Konfiguration von Eduroam unter Android. hotline.hslu.ch Andere

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Synchronisations- Assistent

{tip4u://112} WLAN mit Android 4

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Informationen zum neuen Studmail häufige Fragen

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Lehrer: Einschreibemethoden

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

Zur Registrierung gelangen Sie über den Menüpunkt Postfach - Postfach-Verwaltung. Klicken Sie auf den Button ganz rechts neben "Konten anmelden"

Inhaltsverzeichnis Inhaltsverzeichnis

STRATO Mail Einrichtung Microsoft Outlook

Employee Self-Service

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Benutzerkonto unter Windows 2000

Ein mobiler Electronic Program Guide

ANYWHERE Zugriff von externen Arbeitsplätzen

Der erstmalige Besuch (Neuregistrierung)

WLAN mit WPA (wpa4fh)

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Daten Monitoring und VPN Fernwartung

Mail-Server mit GroupWare

» Weblösungen für HSD FM MT/BT-DATA

Nutzerhandbuch Zentrale Klassenverwaltung

HamburgService Registrierung für die Online-Dienste Gutachterverfahren (GUV) und Gutachterinformationssystem (GIS)

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

User Manual Data 24. Login und Layout

Elektronischer Kontoauszug

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Physiotherapiepraxis-Lastenheft

Arbeitsgruppen innerhalb der Website FINSOZ e.v.

Kontakte Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

inviu routes Installation und Erstellung einer ENAiKOON id

paydirekt-registrierung während des Einkaufs

Anleitung für die Hausverwaltung

Mail-Signierung und Verschlüsselung

STRATO Mail Einrichtung Apple Mail 8

Outlook Web App 2013 designed by HP Engineering - powered by Swisscom

STRATO Mail Einrichtung Mozilla Thunderbird

Consulting. Dokumentenmanagement. Stand: jwconsulting GmbH Caspar-David-Friedrichstr Walldorf

Handreichung für die Online-Datenlieferung für die finanziellen Transaktionen

Dialyse Benchmark - Online so funktioniert s

Übung - Konfigurieren einer Windows 7-Firewall

Tag des Datenschutzes

Elektronischer Kontoauszug

Sicherheitsanalyse von Private Clouds

Nutzer-Synchronisation mittels WebWeaver Desktop. Handreichung

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Dr. Alexander Schwinn Bastian Mell. Die PaketPLUS -Beilage

Bedienungsanleitung zum Einrichten des DFBnet- Mail Accounts

Anleitung. Einrichten Ihres Postfaches. Mail (Mac OS X)

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

POP -Konto auf iphone mit ios 6 einrichten

ANLEITUNG: In PH- Online der PH Burgenland als Studierende der Fortbildung anmelden Anleitung für Lehramtsstudierende

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Praktikum IT-Sicherheit

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Easy Share Anleitung. April 2016

Installationsanleitung xdsl Teleworker unter Windows 7

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Easy Share Anleitung Februar 2014

Bereitschafts Status System Konfigurations- und Bedienungsanleitung

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Technische Informationen zum Webmail, bereitgestellt durch den Landesverband der Freiwilligen Feuerwehren Südtirols.

Internationales Altkatholisches Laienforum

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Einrichtung von Mozilla Thunderbird

Das Handbuch zu Simond. Peter H. Grasch

Kontenaktualisierung in Lexware buchhalter

Internetzugang am Seminar mit dem privaten Notebook über WLAN (Installation für Windows 7)

eduroam: Installationsanleitung Windows8 Konfiguration des Zugangs

Weil Ihre Sicherheit für uns an erster Stelle steht.

IT-Trend-Befragung Xing Community IT Connection

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Das Festkomitee hat die Abi-Seite neu konzipiert, die nun auf einem (gemieteten) Share Point Server

Tutorial e Mail Einrichtung

BENUTZERHANDBUCH für. Inhaltsverzeichnis. 1. Anmeldung. 2. Rangliste ansehen. 3. Platzreservierung. 4. Forderungen anzeigen

Website freiburg-bahai.de

Einrichtung Ihres 3 Konto unter MAC OS

Was ist das Budget für Arbeit?

BSI Technische Richtlinie

Password Depot für ios

Anleitung vom 4. Mai BSU Mobile Banking App

Windows Live Mail Konfiguration IMAP

Transkript:

Warum eine sichere(re) Authentifizierung? Impulsvortrag im Rahmen des ZKI Arbeitskreises Verzeichnisdienste 14./15. März 2016 in Marburg

Danksagung Der Impulsvortrag basiert auf einer gemeinsamen Idee von Kurt Ackermann, Justus-Liebig-Universität Gießen Anja Beyer-Peter, ehemals Universität Konstanz Guido Bunsen, RWTH Aachen Milan Burgdorf, Philipps-Universität Marburg Dietmar Dräger, Freie Universität Berlin Susanne Gutsche, ehemals HTW Berlin Klaus Mebus, Bauhaus-Universität Weimar Michael Sundermeyer, Universität Bielefeld 2

Authentifizierung Authentifizierung ist der Nachweis einer behaupteten Eigenschaft einer Entität (Mensch, Gerät, Dokument, Information) und die dabei durch ihren Beitrag ihre Authentisierung durchführt. Wege der Authentisierung: Nachweis der Kenntnis einer Information: ein Passwort Verwendung eines Besitztums: ein Schlüssel Gegenwart des Benutzers selbst: Form eines biometrischen Merkmals Quelle: https://de.wikipedia.org 3

Authentifizierung an Universitäten Flächendeckend ist regelmäßig eine Ein-Faktor-Authentifizierung etabliert. Ein-Faktor-Authentifizierung bedeutet den Nachweis einer Identität mittels Benutzername und Passwort: Vor der Benutzung eines IT-Dienstes hat sich der Nutzer gegenüber diesem auszuweisen. Der Prozess des Ausweisens erfolgt in zwei Schritten: der Nutzer authentisiert sich gegenüber dem Dienst durch das Behaupten von Merkmalen, der Dienst authentifiziert den Nutzer durch den Nachweis, dass die behaupteten mit gespeicherten Merkmalen des Nutzers übereinstimmt Mit einer Kombination aus Benutzername und Kennwort sollen eine Vielzahl von Diensten, z. B. E-Mail, PC-Arbeitsplatz, Lernplattform oder Campus-Management, erreicht werden. 4

Externe Rahmenbedingungen Der bestehende Markt, auf dem die Schwachstellen, Angriffsmethoden oder die Durchführung von Cyber-Angriffen offeriert werden, sorgt dafür, dass die Gefährdungslage unübersichtlicher wird. So bieten Organisationen ihre Fähigkeiten und Leistungen auch anderen interessierten Kreisen im Rahmen von Auftragsarbeiten an. Damit werden hochwertige Angriffe auch für Organisationen und Staaten verfügbar, die diese Expertise bisher nicht eigenständig bzw. aufgrund mangelnder Fähigkeiten grundsätzlich nicht aufbauen können (BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 36). CaaS = (Cyber-)Crime as a Service 5

Schwachstellen bei der Verwendung von Benutzername und Passwort Fehlende Komplexitätsanforderungen seitens der IT-Anwedungen. Sorglosigkeit des Nutzers: Einfache, weil gut zu merkende Passwörter. Seltene Passwort-Änderung. Eine Kombination von Benutzername und Passwort für alle oder eine Vielzahl von Diensten, z. B. bei der Universität, im sozialen Netzwerk, beim Freemailer. Speicherung von Passworten auf mobilen Endgeräten oder dem PC. Synchronisation von Passworten in Cloud-Dienste. Fehlerhafte Authentifizierungssoftware oder -protokolle, z. B. OpenSSL- Bug Heartbleed in 2014. Passwort-Phishing, z. B. mittels E-Mails, Keyloggern oder MitM-Attacken. Brute-Force-Angriffe auf 24/7 erreichbare Web-Dienste. Social Engineering über soziale Netzwerke. 6

Gewachsene Schutzbedürftigkeit der IT-Dienste An Universitäten sind Anwendungen mittlerweile vielfach als weltweit erreichbare 24/7-Webdienste eingerichtet oder im Aufbau (z. B. E-Mail, Lernplattform oder Campus-Management), um Forschung, Lehre und Verwaltung bestmöglich zu unterstützen. Typischerweise werden in den Anwendungen auch schutzbedürftige Daten gespeichert oder über diese erreichbar gemacht, z. B.: Telefon- oder E-Mail-Kontaktdaten Vorlesungsmaterialien Prüfungs- oder Modulanmeldungen Self-Service Dienste zur Verwaltung des persönlichen Accounts Über die Anwendungen wird Zugang zu internen oder geschützten Bereichen vermittelt, z. B.: VPN-Zugang zu Managementnetzen Single-Sign-On-Webdienst für eine Vielzahl von Online-Ressourcen 7

Empfehlungen des BSI im Authentisierungskontext Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt, dass Nutzern sicherere Authentisierungsmöglichkeiten angeboten werden, beispielsweise eine Zwei-Faktor-Authentisierung, die über die Standard-Anmeldung per Benutzername und Passwort hinausgehen. (Stellungnahme zum einem aus den USA gemeldeten milliardenfachen Identitätsdiebstahl vom 06.08.2014) Eine weitere Empfehlung spricht das BSI im Eckpunktepapier Mindestanforderungen zur Informationssicherheit bei ecommerce- Anbietern von 2011 aus, wonach insbesondere für Administratoren und andere extremely privileged users anzustreben [ist], dass sie nur nach einer Zwei-Faktor-Authentisierung Zugriff auf die Systeme [ ] erhalten. (Ebenso im Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter von 2012) 8

Fazit Die Gesamtschau Der externen Rahmenbedingungen, Der bekannten Probleme, Der gewachsenen Schutzbedürftigkeit von IT-Diensten sowie Der Empfehlungen des BSI zeigt, dass für eine Authentifizierung mittels Benutzername und Passwort an IT-Diensten, Die schutzbedürftige Daten speichern, Die 24/7 weltweit erreichbar sind oder Die Zugang zu geschützten Bereichen vermitteln im Rahmen einer Risikoanalyse zu bewerten ist, ob eine für den Schutzbedarf angemessene Authentifizierungsmethode gewählt wurde, die dem aktuellen Stand der Technik entspricht. 9

Beispiele für Authentifizierungen mit weiteren Merkmalen Eine zusätzlich abgesicherte Authentifizierung wird etwa beim Online Banking seit langem angeboten: Die Authentifizierung erfolgt mit Benutzername und Passwort, die Transaktionen werden dann mit TAN, itan, mtan, ChipTAN oder PhotoTAN autorisiert. Einige weltweite Angebote (z. B. E-Mail-, Bezahl- oder Wareneinkaufsdienste) bieten optional eine zusätzlich abgesicherte Authentifizierung an. 10

Verstärkung der Authentifizierung I Um den Angriff auf Authentisierungsmerkmale zu erschweren dient bei der Zwei-Faktor-Authentisierung (2FA) dem Identitätsnachweis eines Nutzers die Kombination zweier verschiedener und insbesondere unabhängiger Komponenten bzw. Faktoren. Diese können sein: Etwas, was der Nutzer besitzt: ein Token, eine Bankkarte, ein Schlüssel Etwas, was der Nutzer weiß: Benutzername, Passwort, PIN Etwas, was als körperliches Charakteristikum untrennbar zum Nutzer gehört: sein Fingerabdruck, das Muster der Regenbogenhaut (Iris) seines Auges, seine Stimme 11

Verstärkung der Authentifizierung II Eine 2FA ist schon bei der Benutzeranmeldung möglich. Der Nutzer wird neben Benutzername und Passwort mit einem zusätzlichen Passcode authentifiziert. Benutzeranmeldung mit 2FA: Benutzername: Passwort + Passcode: Vorteile: Dynamisch generierte Passcodes sind dank stetiger Veränderung sicherer als feststehende (statische) Login-Informationen Verwendete Passcodes werden automatisch ersetzt, dadurch steht jederzeit ein aktueller Code bereit 12

Ergänzende Sicherheitsmaßnahmen Hochsensible Passwörter, z. B. root-, lokaler Windows-Administrator- oder lokaler Geräte-Administrator-Account: Organisatorische Regelungen, z. B. 4-Augen-Prinzip, Rollentrennung, Passwort-Tresor IT-Dienste ohne Möglichkeit einer 2FA-Anbindung, z. B. WLAN, SMTP oder IMAP: Anwendungsspezifische Passwörter, z. B. getaggtes WLAN-Passwort oder IMAP-/SMTP-Passwort 13

Erfolgsfaktoren I Für Hochschule / Rechenzentrum: Aufbau einer wirtschaftlichen und angemessenen 2FA-Lösung. Ausreichend Ressourcen zum Betrieb der 2FA. Einfache Integration beliebiger IT-Dienste: Web-Anwendungen Benutzer-Arbeitsplätze Deutliche Verbesserung des Sicherheitsniveaus des IT-Dienstes. 14

Erfolgsfaktoren II Für die Nutzerinnen und Nutzer: Verständnis für die Notwendigkeit durch Information der Nutzer. Deutliche Verbesserung des Schutzes der persönlichen Daten. Beibehalten von Bekanntem (Benutzername und Passwort) und lediglich eine Ergänzung der Authentifizierung um einen weiteres Geheimnis. Anlehnung an Abläufe, an die die Nutzer in anderem Kontext sind bereits gewöhnt sind. Gute Usability (einfache Bedienung) und Flexibilität (mehrere Möglichkeiten). Hohe Verfügbarkeit. Funktionierende Rollout- und Support-Prozesse. Eingewöhnungsphase berücksichtigen: Wechsel von fakultativer zu obligatorischer Verwendung. 15

Vielen Dank für Ihre Aufmerksamkeit! 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback