DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Sichere Iden­ti­täten in der Cloud

Neben den üblichen Dis­kus­sionen über die Sicherheit der Infor­ma­tionen in der Cloud besteht dort noch ein ganz anderes Risiko: Denn wie auch bei unter­neh­mens­in­ternen Anwen­dungen brauchen Sie digitale Iden­ti­täten, um sich bei Cloud-Diensten anzumelden.

Anwen­dungen benö­tigen Identitäten

Iden­ti­täten sind wesentlich für eine sichere Ver­wendung von Anwen­dungen, denn sie stellen sicher, dass die Benutzer sich “aus­weisen” müssen, und dass sie die rich­tigen Berech­ti­gungen für die Ver­wendung der Anwen­dungen bekommen. Doch leider bringen noch immer viele Anwen­dungen ihre eigene Ver­waltung von Iden­ti­täten mit, und ver­geben erneut Benut­zername und Passwort, auch wenn der Benutzer schon viele davon hat. Innerhalb eines Unter­nehmens kann man dieses Problem lösen, indem man ein so genanntes Iden­ti­täts­ma­nagement ein­setzt, welches diese Benutzer syn­chron hält, und im Ide­al­falle — Stichwort “Single Sign-On” — auch die Authen­ti­fi­zierung angleicht.

Explosion der Iden­ti­täten in der Cloud

Doch durch die Nutzung von Cloud Ser­vices nimmt die Anzahl der Iden­ti­täten erheblich zu: auch hier ist es immer noch üblich, dass Cloud-Dienste ihre eigenen Benutzer ver­walten, ent­spre­chend bekommt jeder Nutzer eines Cloud-Dienstes wieder neue Iden­ti­täten zuge­sandt. Dies führt zu einem erheb­lichen Risiko: zum einen werden die Iden­ti­täts­daten nicht mehr innerhalb des Unter­nehmens ver­ar­beitet, sondern über das Internet, was die Angreif­barkeit deutlich erhöht . Zum anderen werden die Nutzer oft gezwungen, kom­plexe Passwort-Vor­­­gaben ein­zu­halten, was oft dazu führt, dass die Pass­wörter auf­ge­schrieben oder gleich ver­gessen werden. Durch die schiere Anzahl der ver­schie­denen Cloud Ser­vices wird das Problem noch deutlich größer — wer kann denn sicher­stellen, dass er alle in der Cloud ver­wen­deten Iden­ti­täten kennt, dass nir­gendwo zwei gleiche Pass­wörter ver­wendet werden (denn wenn ein Angreifer eines her­aus­be­kommt, wird er dieses bei allen anderen Cloud-Diensten auch testen), und dass diese beim Cloud-Dienst­­leister auch sicher ver­ar­beitet werden?

Iden­ti­täten: Raus aus den Cloud-Diensten!

Die Lösung besteht darin, auch bei Cloud-Diensten die Iden­ti­täten nicht den Anwen­dungen zu über­lassen, sondern diese sozu­sagen “out­zu­sourcen”. Es gibt viele große Cloud Ser­vices, die dies ermög­lichen, und zwar über das so genannte “OpenID”-Protokoll. Damit kann jede Web-Anwendung die Iden­ti­täten von Diens­te­an­bietern nutzen, die sich genau darauf spe­zia­li­siert haben. So kann man bei vielen Cloud Ser­vices schon Google-Iden­­ti­­täten oder Facebook-Iden­­ti­­täten ver­wenden, oder alter­nativ auch einen eigenen Dienst angeben. Es gibt eine Reihe von deut­schen Anbietern, welche unter http://de.wikipedia.org/wiki/OpenID zu finden sind, dort kann man seine eigene Iden­tität ver­walten, was gerade für KMUs inter­essant ist. Denn damit haben die ver­wen­deten Cloud-Dienste nur genau die Infor­ma­tionen über die Anwender, die sie benötigen.

Starke Authen­ti­fi­zierung — auch in der Cloud

Ein Rest­risiko bleibt jedoch auch dann: Pass­wörter können unbe­merkt gestohlen werden. Daher ist es sinnvoll, sich zu über­legen, stärkere Authen­ti­fi­zie­rungs­maß­nahmen zu ver­wenden, so z.B. mTAN (Ein­mal­pass­wörter per SMS) oder Smart Cards. Eine besonders zukunfts­si­chere Idee ist die Ver­wendung des neuen elek­tro­ni­schen Per­so­nal­aus­weises für die Authen­ti­fi­zierung bei Cloud Ser­vices. Eine Reihe von Pro­jekten haben zum Ziel, diesen sicher und bequem über OpenID und andere stan­dar­di­sierte Ver­fahren ver­wendbar zu machen. Das ist zwar noch nicht flä­chen­de­ckend ein­setzbar, wird aber auf absehbare Zeit sicherlich eine Standard-Lösung werden. 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.