Über 6 Milliarden Einträge gibt es in der Datenbank des Hasso-Plattner-Instituts. Das Institut sammelt in dieser Datenbank bekannte Leaks und Hacks von Nutzerdaten. Die Einträge bestehen meistens aus der Kombination von E-Mail-Adresse und Passwort. Damit wird jedoch nur ein kleiner Teil der Daten, die täglich durch Kriminelle und Sicherheitslücken in die Öffentlichkeit gelangen, erfasst.
Das Institut sammelt diese Daten, um Nutzer und Unternehmen zu schützen. Diese können die Datenbank nutzen und herausfinden, ob ihre Adresse von einem Leak oder Hackerangriff betroffen ist. Wenn sie betroffen sind, können sie reagieren und bspw. ihre Zugangsdaten ändern.
Die Nutzerdaten in dieser Datenbank wurden entweder im Darknet verkauft oder im Internet veröffentlicht. Die eigentlichen Eigentümer der Daten wurden gehackt und könnten erpresst oder bedroht werden.
Dass so viele Privatpersonen und Unternehmen von Datenleaks und Hackerangriffen betroffen sind, wundert mich nicht. Die Analyse der Datenbank belegt: Das meistverwendete Passwort ist password. Und selbst wenn die Nutzer ein individuelles Passwort vergeben, verwenden sie oft bei unterschiedlichen Diensten das Gleiche. Diese Nutzer können zum Beispiel in Unternehmen für massive Sicherheitslücken sorgen und damit Hackern Tür und Tor öffnen.
Doch spätestens seit in Kraft treten der DSGVO müssen Unternehmen das Thema Datensicherheit nicht nur ernst nehmen, sie sind auch rechtlich dazu verpflichtet die Daten ihrer Kunden und Mitarbeiter zu schützen. Insbesondere Unternehmen mit sehr sensiblen personenbezogenen Daten wie Krankenhäuser müssen Sicherheitslücken verhindern. Doch das gleiche gilt auch für Unternehmen mit vermeintlich weniger sensiblen Daten.
Erst kürzlich gelangten Millionen Nutzerdaten bei der Autovermietung Buchbinder in die Öffentlichkeit. Um solche Pannen zu vermeiden, sind sich sowohl Experten als auch der Gesetzgeber einig: Wer sich nur auf die Kombination aus Benutzername und Passwort verlässt, handelt fahrlässig. 2-Faktor-Authentifizierung (2FA) oder sogar Multi-Faktor-Authentifizierung (MFA) liefern einen wesentlich besseren Schutz.
Wir erleben, dass sich mehr und mehr Unternehmen darüber im Klaren sind, dass 2-Faktor-Authentifizierung (2FA) oder sogar Multi Faktor Authentifizierung (MFA) notwendig ist, um die aktuellen Sicherheitsstandards zu erfüllen. Die ohnehin gegebenen rechtlichen Standards und die sich häufenden Datenleaks erhöhen den Druck. Vielen Unternehmen bereitet jedoch die Form der Umsetzung Probleme. Denn, die muss sowohl sicher sein als auch benutzerfreundlich.
Diese Erkenntnisse stellen Unternehmen und ihre Mitarbeiter vor eine neue Herausforderung. Wir bei Tools4ever beobachten, dass immer mehr Clouddienste entsprechende Maßnahmen ergreifen und eine eigene 2FA für Ihre Produkte einführen. Zweifelsfrei ein begrüßenswerter Schritt. Jedoch passiert es dann häufig, dass die Mitarbeiter bei der Nutzung jeder digitalen Ressource des Unternehmens nicht nur andere Kombinationen aus Benutzername und Passwort richtig eingeben, sondern sie oft zusätzlich jedes Mal andere 2FA-Verfahren durchführen müssen.
Die Möglichkeiten reichen hier von SMS-, Email- und Push to Verify-Nachrichten bis hin zu Tokens (RADIUS, FIDO2, OATH) oder Tans. Wenn es mehrere 2FA Verfahren gibt, ist das nicht nur lästig für die User, es kann für die Organisation auch richtig teuer werden, da die unterschiedlichen Tokens viel Geld kosten.
Unsere Entwickler bei Tools4ever haben diesen Spagat gemeistert! Das Problem der Flut an Benutzernamen und Passwörtern ist bei unseren IAM-Lösungen mit einem Single-Sign-On System schnell zu lösen. Doch wir sind noch einen Schritt weiter gegangen und haben in dieses bestehende System die Möglichkeit einer 2-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) integriert.
Mit dem Access Management Modul innerhalb von HelloID, der cloudbasierten IAM Lösung von Tools4ever, erfolgt die Einrichtung der 2FA. Das Unternehmen legt mit dem Tool die individuelle Art der Authentifizierung selbstständig fest. Damit kann es die eigenen und auch die gesetzlichen Sicherheitsstandards erfüllen und z.B. Tokens (RADIUS, FIDO2, OATH) wie den beliebten YubiKey oder die Push to Verify App implementieren.
Der Mitarbeiter meldet sich mit seinen Zugangsdaten und der festgelegten 2FA über HelloID an. HelloID teilt anschließend den verknüpften Ressourcen mit, ob bereits eine 2FA erfolgt ist. Der Mitarbeiter benötigt also nur einmal seine individuellen Zugangsdaten und nur einmal die festgelegte 2FA, um auf die Ressourcen zugreifen zu können, für die er die Berechtigung erhalten hat.
Das muss auch nicht teuer sein. Mit den Angeboten von bspw. Google Authenticator und Microsoft ist die Wahl kostenloser und zugleich sicherer Dienste möglich.
Ich bin davon überzeugt, dass mit dieser Kombination aus Multi-Faktor- Authentifizierung MFA und HelloID, die Daten und Ressourcen im Unternehmen zugleich sicher sind und ihr Zugriff bequem und mitarbeiterfreundlich erfolgt. Damit Unternehmen in Zukunft verhindern können, in der Datenbank des Hasso-Plattner-Instituts zu landen.
Geschrieben von:
Ali Özdogan
Senior Consultant IAM/SAP & HelloID
Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.