Multi-Faktor-Authentifizierung: Zwingender Schutz für kritische Bereiche

Unternehmen, die meinen, sie könnten ohne automatisierte Kontrollsysteme, wie etwa professionelle Identity- und Access-Management-Lösungen (IAM), ihre Risiken einschätzen, Kosten vermeiden und Audits ohne schmerzhafte Folgen überstehen, haben etwas versäumt. Sie haben es entweder verpasst, den notwendigen Weitblick in ihrer Unternehmenskultur zu etablieren, oder sie haben ihre IT-Strategie unzureichend mit ihrem Risikomanagement abgeglichen. Ausserdem mangelt es so mancher Unternehmensleitung an den richtigen Managementmethoden. Bei einigen Unternehmen fehlt auch Klarheit darüber, welche regulatorischen und gesetzlichen Fallstricke lauern. So kann eine Bagatelle zum Desaster werden.

Zahlreiche Ereignisse der letzten Jahre zeigen, dass die Gefahren für die Unternehmens-IT vielfältiger sowie Angriffsmuster immer raffinierter und ausgeklügelter werden. Auf diese Weise wachsen die Risiken für die Wirtschaft. Voneinander abhängige Systemlandschaften, die sich kaum mehr überblicken lassen, begünstigen die Wahrscheinlichkeit für erfolgreiche Cyberangriffe, Datenlecks oder nicht autorisierte Zugriffe auf die Unternehmens-IT. Gleiches gilt für IT-Infrastrukturen, die sich aufgrund ihrer Komplexität kaum noch manuell verwalten lassen.

Beispiel Password Policy

Eine durch IT-Governance erlassene und im besten Fall mit durchgängig technischen Massnahmen durchgesetzte Passwort-Regelung sollte in jedem Unternehmen eingesetzt werden. Allerdings zeigt sich bei einer genaueren Betrachtung, dass eine unternehmensweit geltende Password Policy keineswegs eine Universallösung sein kann.

Dies gilt insbesondere für unternehmenskritische Bereiche. Denn während in einigen nicht kritischen Teilen eines Unternehmens statische Policies ausreichen, müssen kritische Bereiche mit einem unterschiedlichen Schutzniveau klassifiziert werden. Letztlich sollte ein gelebtes Risikomanagement die Sicherheits-Policies eines Unternehmens gestalten und nicht umgekehrt.

Neue Regeln fordern die IT-Abteilungen

Regulierende Instanzen wie etwa Branchenverbände und Zulassungsbehörden haben die Sicherheitsrisiken bei Unternehmen und den damit erforderlichen, zusätzlichen Schutzbedarf erkannt. Einige von ihnen passten ihre Standards entsprechend an.

Zu diesen Sicherheitsstandards zählt der Data Security Standard (DSS) der Payment Card Industry. Der PCI-DSS-Standard muss von Unternehmen umgesetzt werden, die Kreditkartendaten speichern, verarbeiten oder übertragen. Dies können unter anderem Handelsketten, verarbeitende Betriebe oder Serviceprovider sein. Ab 2018 verpflichtet der PCI-DSS-Standard in seiner aktuellen Fassung (Version 3.2, April 2016) Unternehmen dazu, den administrativen Zugriff auf die sogenannte «Cardholder Data Environment» (CDE) nur mit einer Multi-Faktor-Authentifizierung zu erlauben. Der Standard schreibt für Anwender mit administrativen Rechten neben der ­Authentifizierung mittels Passwort­eingabe einen zusätz­lichen Authentifizierungsfaktor vor. Dieser muss sich in seiner Art von der Natur eines Passworts klar unter­scheiden. Dieser zusätzliche Authentifizierungsfaktor kann zum Beispiel ein sogenannter Soft-Token oder eine Smartcard sein. Auch biometrische Systeme für die ­Authentifizierung können genutzt werden. Hierzu zählen etwa individuelle biometrische Merkmale von Anwendern, wie der Fingerabdruck, das Stimmmuster oder der Iris-Scan.