Mit der im Oktober in Kraft tretenden NIS2-Richtlinie verschärfen die europäischen Gesetzgeber die Vorgaben zur Cybersicherheit. Erstmals können die Anforderungen dann auch für KMU in allen Sektoren gelten, z.B., wenn das Unternehmen ein Zulieferer für Anbieter von kritischen Infrastrukturen ist. Die bestehende IT-Sicherheit zu erhöhen, ist für Unternehmen jeder Größe eine komplexe und ressourcenintensive Aufgabe. Eine Maßnahme mit spürbarer Wirkung ist die Absicherung eines der größten Einfallstore für Cyberkriminelle: die Schnittstelle zwischen Mensch und Maschine, also die Anmeldung und Authentifizierung an den IT-Systemen. Dieser kritische Punkt wird meist nur unzureichend mit einer jahrzehntealten Methode geschützt: Benutzername und Passwort. Eine Hürde, die professionelle Angreifer heute in Sekunden überwinden.
Multifaktor-Authentifizierung: Verbesserung mit Lücken
Zwei-Faktor-Authentifizierung (2FA) oder Multifaktorauthentifizierung (MFA) gilt in vielen Sektoren daher bereits als Mindeststandard. MFA verlangt von den Nutzern Daten aus verschiedenen Bereichen, von denen zwei oder mehr kombiniert werden. Die Bereiche können sein: Wissen (Passwort, PIN), Besitz (Smartphone, Smartcard, Hardwaretoken), persönliches Merkmal (Fingerabdruck, Irisscan) oder Standort (GPS-Daten, IP-Adressen). Am häufigsten kommt heute die Kombination aus ‚Wissen‘ und ‚Besitz‘ zur Anwendung. Etwa wenn zusätzlich zu Benutzername und Passwort ein Code verlangt wird, den der Anwender per SMS erhält. Oder wenn der Nutzer seine Anmeldedaten auf einem anderen Gerät bestätigen muss (z.B., indem er auf dem anderen Gerät eine bestimmte Anwendung öffnet). Doch auch dieses Verfahren hat Schwachstellen, die Cyberkriminelle bereits in großem Stil ausnutzen.
Sicher und komfortabel: Passwortlose MFA-Authentifizierung via RFID
Ein großer Unsicherheitsfaktor bei diesen Lösungen ist nach wie vor das Passwort. Wird dieser Angriffspunkt durch eine passwortlose Authentifizierung ausgeschaltet, erhöht sich die Sicherheit bereits deutlich. Kombiniert man diese Lösung mit einem zweiten Faktor, entsteht eine passwortlose MFA. Diese ist der derzeit höchste Standard für die sichere Benutzerauthentifizierung und erfüllt die hohen Anforderungen der NIS2-Richtlinie. Eine Möglichkeit der passwortlosen MFA ist die Zugangskontrolle auf Basis von Funktechnologien wie RFID (Radio Frequency Identification), NFC (Near Field Communication) und BLE (Bluetooth Low Energy). So funktioniert es:
- Passwortlose Authentifizierung via RFID: Das Prinzip der passwortlosen RFID-Authentifizierung ist simpel und benötigt lediglich zwei Komponenten: ein RFID-Lesegerät und eine RFID-Karte oder Hardware-Token. Jedes Gerät, an dem eine Benutzerauthentifizierung erforderlich ist, wird mit einem RFID-Lesegerät ausgestattet. Die Anwender müssen nun lediglich ihren Ausweis, also Karte oder Token, in die Nähe des Lesegeräts halten. Die Authentifizierung erfolgt, indem die im Ausweis hinterlegten Zugangsdaten per Funk vom Leser erkannt und verifiziert werden.
- Wenn die Voraussetzungen im Unternehmen gegeben sind, sind auch mobile Lösungen möglich. Dazu werden Leser benötigt, die neben RFID auch NFC oder BLE-Signale verarbeiten können. Als Ausweis dient bei mobilen Lösungen z.B. ein Smartphone, das über entsprechende Zugangsberechtigungen (Mobile Credentials) verfügt.
- Passwortlose MFA: Für eine noch höhere Sicherheit kann die passwortlose Authentifizierung via RFID mit einem weiteren Faktor kombiniert werden, z.B. einer einfachen PIN. Dieser wird dann bei der Anmeldung zusätzlich zum Ausweis abgefragt.
Flexibel und zukunftssicher: Eine Installation, viele Möglichkeiten
Die passwortlose MFA via RFID ist eine hochflexible und zukunftssichere Lösung. Vor allem, wenn die Kartenleser alle gängigen Betriebssysteme, Schnittstellen und Protokolle sowie möglichst viele Transponder- und Funktechnologien unterstützen. Lassen sie sich dann noch per Fernwartung aktualisieren, können neue Sicherheitsanforderungen jederzeit schnell und bequem implementiert werden und die Lösung kann mit den Anforderungen des Betriebes wachsen. Kartenleser und mobile Authentifizierungstechnologien wie die von Elatec ermöglichen Unternehmen, die passwortlose MFA auch in heterogenen Infrastrukturlandschaften bereitzustellen, und geben Unternehmen Investitionssicherheit – für eine bestmögliche, gesetzeskonforme Cybersicherheit heute und in Zukunft.
Passwortlose MFA: Sichere Lösung mit hoher Akzeptanz
Durch eine passwortlose MFA werden mit einer Maßnahme mehrere Sicherheitsrisiken minimiert:
– Die Anmeldedaten sind auf einer Hardware (Karte oder Token) oder dem Smartphone gespeichert – und dem Benutzer unbekannt. Er kann sie also nicht versehentlich preisgeben.
– Anwender müssen sich Passwörter nicht merken. So können automatisch generierte, sehr lange und komplexe Passwörter verwendet werden.
– Der Datenaustausch erfolgt lokal auf direktem Weg und nicht in einem Netzwerk. Es gibt für Hacker keine Möglichkeit, Log-In-Daten auszuspähen oder auf dem Kommunikationsweg abzufangen.
– Es liegen keine zentralen Passwortlisten auf Servern. Bei einem Cyberangriff können also keine Passwörter gestohlen werden.
– Wird eine MFA mit PIN genutzt, ist der PIN ohne dazugehörige Karte, Token oder Smartphone nutzlos.
– Vielleicht der größte Vorteil ist: Die passwortlose MFA ist komfortabel und schnell. Sie wird von Nutzern gut akzeptiert und vereinfacht die Einführung verstärkter Sicherheitsmaßnahmen im Unternehmen.
