Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
abiresearch.com
Amerikas: +1.516.624.2500 Asien-Pazifik +65.6592.0290 EUROPA: +41.022.732.33.15
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN Die Einführung von Endpoint-Security im Unternehmen
Dimitrios Pavlakis: Analyst Michela Menting: Research Director 24. FEBRUAR 2016
1. KURZFASSUNG
Dieses Whitepaper untersucht die Grenzen der aktuellen Endgeräte-Security-Mechanismen im
Rahmen der Mitarbeiter-Authentifizierung an Computern des Unternehmens. Ständige Endgeräte-
Infizierungen, groß angelegter Datenmissbrauch und verbreitete Systemschwachstellen erfordern
neue Anstrengungen im Bereich der Modernisierung von Authentifizierungsmethoden innerhalb
des Unternehmens. Haushaltszwänge, das Konzentrieren auf die Netzwerksicherheit und die
Abhängigkeit von Ein-Faktor-Authentifizierungs-Methoden sind Barrieren, welche die
Unternehmen angehen müssen, um in einer zunehmend bedrohlichen Cyber-Landschaft sicher
und wettbewerbsfähig zu bleiben.
Das Whitepaper soll klare und umfassende Leitlinien für Entscheider und C-Level-Führungskräfte
bereitstellen, die planen, moderne kombinierte Biometrie-basierte Authentifizierungslösungen zu
implementieren. Mit einer leistungsfähigen Prozessor-basierten mehrstufigen Authentifizierungs-
und Biometrie-Lösung bietet das neue Authenticate von Intel eine Antwort auf die steigenden
Herausforderungen an Cybersecurity in der modernen Unternehmenslandschaft.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
2
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
2. DIE ENTWICKLUNG DER AUTHENTIFIZIERUNG IM MODERNEN
UNTERNEHMEN
Die rasche Ausbreitung persönlicher Datenverarbeitungsgeräte sowie die Auswirkungen der
erhöhten Sicherheitsrisiken und breiten Annahme Cloud-basierter Dienste verursachte einen
Paradigmenwechsel in der Art, wie Organisationen ihre Benutzer authentifizieren. Eine der
schwerwiegendsten Bedrohungen der Sicherheit auf jedem Computer ist die Personifikation eines
autorisierten Benutzers zum Zugriff auf eingeschränkte Systeme. IT-Abteilungen sehen sich mit
wachsenden Herausforderungen konfrontiert, dem Endbenutzer die Benutzung jeglichen Geräts
sowie und transparenten Zugriff auf Unternehmensressourcen zu erlauben, und dabei gleichzeitig
strenge Sicherheitsrichtlinien zum Schutz vertraulicher Informationen und geistigen Eigentums
durchzusetzen. Deshalb bilden Benutzer-Identifikation und Authentifizierung einen zentralen
Bestandteil jeder Sicherheitsinfrastruktur und sollten eine wichtige Rolle dabei spielen, die
Benutzeridentität und Identitätssicherung sicherzustellen, bevor dem Benutzer der Zugriff auf
Ressourcen gewährt wird.
2.1. Passwörter: Der traditionelle Kern der Authentifizierung
Oft wird das gleiche Passwort für verschiedene Situationen verwendet – für die Anmeldung an
Windows, das Lohn- und Gehaltssystem, den Zugriff auf eine authentifizierte Website, etc.. Dies
erleichtert die Aufgabe des Bedrohungs-Akteurs erheblich; sobald er das Kennwort eines
bestimmten Benutzers erlangt hat, erhält er auf einfache Weise Zugriff auf mehrere weitere Konten
dieses Benutzers. Außerdem neigen Einzelpersonen – sogar technische Experten und
hochrangige Persönlichkeiten – zu einfach zu erratenden Passwörtern. Die Verwendung trivialer
Passwörter zur Sicherung hoch privilegierter Konten für Backup-Programme, Network-Control-
Software, und Anti-Virus-Tools ist verbreitet genug, und so dauert es häufig nicht länger als ein
paar Minuten, im Rahmen eines Penetrationstests die Kontrolle über das gesamte Netzwerk zu
erlangen.
Die Debatte über den dauerhaften Wert von Passwörtern ist überkonzentriert auf die individuelle
Nutzung, die nur ein Teil eines größeren Problems ist. Probleme mit Passwörtern legen nahe, dass
Organisationen sich um die Authentifizierung kümmern müssen. Jüngste Passwort-Verstöße
deuten auf ein Versagen der Organisationen bei der ordentlichen Implementierung und dem
Betrieb moderner Authentifizierungssysteme. Es gibt drei kritische Fragen, die Unternehmen
beachten müssen, wenn sie eine wirksame Authentifizierungslösung implementieren:
1) Was sind die langfristigen Fallstricke der gewählten Lösung?
2) Gibt es irgendwelche Interoperabilitäts-/Genauigkeits-Fragen, die sich im Laufe der Zeit
verschlimmern?
3) Wird die Sicherheit in präziser und effizienter Art und Weise gehandhabt?
2.2. Security Shift: Vom Netzwerk zum Endgerät
Eines der Probleme der Endgeräte-Authentifizierung ist, dass traditionellerweise die
Unternehmenssicherheit ein größeres Gewicht auf das Netzwerk legt als auf das Endgerät. Der
Markt für Netzwerksicherheit ist größer als der für Endgerätesicherheit, aber dies wird sich in den
kommenden Jahren ändern. Mechanismen der Netzwerk- und Endgerätesicherheit sind
wesentliche Bestandteile für den Aufbau eines geschichteten Cybersecurity-Rahmens. Da sich
jedoch zunehmend Geräte nach außerhalb der Unternehmens-Mauern verlagern, wird die
Endgerätesicherheit bald die Netzwerksicherheit als Umsatzmotor für Solution-Provider überrundet
haben.
Eine der schwerwiegendsten
Bedrohungen der Sicherheit
auf jedem Computer ist die
Personifikation eines
autorisierten Benutzers zum
Zugriff auf eingeschränkte
Systeme.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
3
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
Laptops, Smartphones und Tablets werden außerhalb des Unternehmens und außerhalb des
Unternehmensnetzwerks verwendet, wo sie durch herkömmliche Firewalls und andere
Netzwerksicherheits-Lösungen nicht geschützt werden können. Dies ist ein wachsendes Problem,
da Endgeräte weiterhin einen erheblichen Bedrohungsvektor für Cyberattacken darstellen, sei es
durch ungeschützte Verbindungen mit dem Netzwerk oder durch Social Engineering. Besonders
Phishing-Angriffe zielen zunehmend auf Smartphone-Benutzer ab und fordern sie auf, ihre
Anmeldeinformationen (einschließlich der biometrischen Informationen) auf Webseiten
einzugeben, die legitim erscheinen, aber tatsächlich Benutzer-IDs und persönliche Daten
abgreifen.
Als Konsequenz hieraus verlagern sich Verschlüsselung, Authentifizierung, Anti-Malware und eine
Vielzahl von anderen Sicherheits-Optionen auf das Endgerät – auch auf Smartphones – und eine
neue Ära entsteht, in der Netzwerksicherheit über traditionell definierte Konzepte hinaus erweitert
wird. Durch die Erkennung der Endgeräte als neue Grenze des Netzwerk können Organisationen
die Schwachstellen neuer Endgeräte-Vektoren abschwächen, vor allem durch Geräte unter
persönlicher Verantwortung, und so externe Infektionen und Einbrüche in das Firmennetzwerk
einschränken. Endgerätesicherheit gewinnt auch durch die zunehmende Verbreitung von Machine-
to-Machine-Kommunikation (M2M) und das Internet der Dinge (IoT) an Bedeutung.
2.3. MFA zum neuen Standard machen
Eine der größten Herausforderungen im Bereich der Informationssicherheit ist es, sicherzustellen,
dass ein Benutzer der auf sensible, vertrauliche oder geheime Informationen zugreift, dazu auch
berechtigt ist. Dieser Zugang erfolgt in der Regel dadurch, dass eine Person durch ein
Authentifizierungsverfahren einen Nachweis ihrer Identität liefert. Es ist äußerst wichtig, dass der
Benutzer sich zu erkennen gibt, bevor er Zugriff auf Informationen erhält, und wenn er nicht in der
Lage, dies zu tun, wird der Zugriff verweigert. Die meisten Authentifizierungssysteme basieren auf
einem oder mehreren der folgenden Faktoren: (a) Nachweis durch Wissen, (b) Nachweis durch
Eigentum, (c) Nachweis durch Eigenschaft.
Durch die Anwendung von zwei oder mehr Authentifizierungsverfahren in Kombination kann eine
stärkere Authentifizierung erreicht werden. Die Verwendung von mehreren
Authentifizierungsfaktoren erhöht deutlich die Sicherheit eines Systems. Wenn das Risiko besteht,
dass ein Ein-Faktor-Authentifizierungs-System gefährdet ist, wird durch die Hinzunahme eines
zweiten Authentifizierungs-Faktors dieses Risiko deutlich verringert. Mehrstufige Authentifizierung
(MFA) ist die Lösung für Sicherheitsprobleme, die durch die Erweiterung der
Unternehmensgrenzen und die Ausbreitung neuer Technologien und Arbeitsethiken entstehen,
darunter auch Clouds und BYOD. Sie geht über die Fallstricke von Passwörtern hinaus und stellt
sicher, dass der Zugriff auf Unternehmensdaten und Informationen auf die autorisierten Mitarbeiter
beschränkt bleibt.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
4
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
3. ANWENDUNG VON MFA AM ARBEITSPLATZ
3.1. Endgeräte-Authentifizierungsprobleme
Zunehmende Komplikationen, Verstöße und ID-Diebstahl im Zusammenhang mit der Endgeräte-
Authentifizierung ergeben sich aus drei wichtigen Punkten. Erstens ist der häufige Gebrauch von
ständig wechselnden und restriktiven Passwörtern gepaart mit der wachsenden Zahl von
persönlichen und Unternehmenskonten ein wesentliches Hindernis für die Erstellung von
komplexen, nicht zu erratenden Passwörtern. In den meisten Fällen haben die neuen Passwörter
eines Anwenders eine große Zahl von Ähnlichkeiten mit den vorangegangenen. Oft ändern
Mitarbeiter lediglich ein paar Buchstaben, ersetzen sie durch Zahlen oder benutzen eine andere
Reihenfolge. Dies befindet sich auch im Konflikt mit dem Prozess der Passworterstellung, den die
Mitarbeiter für ihre persönlichen Konten verwenden. Innerhalb nur eines Jahres mit
Passwortänderungen und Erstellung oder Änderung von Benutzerkonten zeigen etwa 70 % bis 75
% der Passwörter eine Ähnlichkeit mit früheren "Passwort-Iterationen." Wenn es einem Angreifer
gelingt, in den Besitz von ein paar Passwörtern eines Benutzers zu gelangen, kann er ganz einfach
einen Wörterbuch-Angriff auf seine Konten starten, indem er nur wenige Zeichen ersetzt. Es lohnt
sich zu erwähnen, dass einige der am häufigsten verwendeten Passwörter innerhalb der letzten 5
Jahre besorgniserregend schlicht sind: "Passwort", "Admin", "QWERTZ", "12345" und "12345678".
Zweitens, ein weiteres großes Problem der Endgeräte-Authentifizierung ist der Fokus auf Software-
basierten Schutz. Als kostengünstigste Lösung scheint dies zwar die Norm am Arbeitsplatz,
authentifiziert jedoch lediglich das Passwort, nicht aber den Benutzer. Folglich wird jeder Benutzer
(legitim oder Eindringling) mit dem richtigen Passwort als authentifizierter Benutzer erkannt.
Software-basierter Passwortschutz hat keine Möglichkeit zu wissen, ob der Benutzer derjenige ist,
der er zu sein behauptet.
Drittens, in der heutigen vielfältigen Cybersecurity-Landschaft ist es eine wesentliche
Schwachstelle, nur eine einzige Authentifizierungsstufe zu haben, und noch dazu eine, die leicht
geteilt, geknackt oder erraten werden kann. MFA sollte keinesfalls als technologischer
Schnickschnack oder "Sicherheitsextra" betrachtet werden, sondern eher als grundlegender
Aspekt moderner Mitarbeiteridentifikations-Systeme.
3.2. Das schwächste Glied
Mit genügender Zeit und Ressourcen, kann jedes System gehackt werden. Aber dennoch gilt auch:
Hacker suchen sich das schwächste Ziel aus und beginnen innerhalb dieses Ziels mit dem
schwächsten Glied. Angreifern einen Schritt voraus zu sein ist eine schwierige Übung, und es gibt
eine grundlegende Kluft zwischen Unternehmen, die aktiv mit dem Thema umgehen und
diejenigen, die dies nicht tun: die "innovativen Implementierer" im Gegensatz zu den mehr
"traditionellen Implementierern".
Hacker suchen sich das
schwächste Ziel aus und
beginnen innerhalb dieses
Ziels mit dem schwächsten
Glied.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
5
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
Die Mehrheit der Unternehmen (traditionelle Implementierer) hosten nur die Mindestanforderungen
für den Endgeräteschutz:
• Software-basierte Verschlüsselung, Firewall, URL-Filterung
• Notebooks und Desktop-Virenschutz
• Email-Scanner
• Logische Zugangskontrolle: Passwort-geschützte Mitarbeiterkonten
• Möglicherweise in Verbindung mit einer Zweit-Faktor-Authentifizierung: zusätzliche OTP, externes USB-Gerät, Token etc.
Traditionelle Implementierer legen viel mehr Wert auf Netzwerksicherheit und vernachlässigen
dabei den Endgeräteschutz an sich. Bedrohungs-Akteure sind den Unternehmen in Bezug auf die
Ausnutzung von Schwachstellen, insbesondere auf Softwareebene, in der Regel immer einen
Schritt voraus. Das Implementieren von Sicherheitslösungen, die in der Hardware verankert und
auf Softwareebene nochmals gesichert sind, tragen deutlich zur Verringerung potenzieller
Angriffsflächen bei. Unternehmen, die solche Maßnahmen sowohl auf Netzwerk- als auch auf
Endgeräte-Ebene unterhalten, sind innovative Implementierer und nutzen unter anderem folgende
Techniken:
• MFA, die speziell dazu entworfen wurde, Daten aus drei verschiedenen und ganz unterschiedlichen Quellen an einem sicheren Ort in der Prozessoreinheit aufzunehmen: logische Tokens (z.B. Benutzer-IDs, PINs, Passwörter); von Geräten erzeugte Anmeldeinformationen wie z. B. Hardware-Token; Bluetooth-Kopplung mit Smartphone-Geräten; Smartcard-basierte Anmeldeinformationen; Anmeldeinformationen nicht-GPS-basierter Dienste (LBS) (verfügbar seit Intels VPro-Prozessor der vierten Generation); biometrische Anmeldeinformationen mit RSA oder DES Biokryptografie-Varianten und nicht-USB-integrierte Fingerabdruck-Sensoren (z. B.., Synaptics); und Kameras (z.B. Intel RealSense).
• Leistungsstarke Prozessoren und Chipsätze mit eingebetteter Sicherheit wie "Trusted Platform Modules" mit UEFI, vertrauenswürdige Ausführungsumgebungen und weitere ähnliche Sicherheitsprotokolle, die so gestaltet sind, dass sie Root-of-Trust (RoT) in kleineren Endgeräten liefern und nicht nur in Servern und PCs.
• Eine anspruchsvolle und vielschichtige Strategie, die speziell dafür geschaffen wurde, sich mit Fragen der Identitätspolitik zu befassen.
Auf der einen Seite ist softwarebasierte Sicherheit flexibler als ihr Hardware-Pendant. Eine
Software-Firewall kann z. B. auf dem Desktop-Computer und Laptop eines Mitarbeiters und auf
dem Firmen-Server installiert werden. Die Kosten werden deutlich reduziert und die
Funktionalitäten sind vielseitiger. Auf der anderen Seite ist hardwarebasierte Sicherheit in der
Regel teurer, bietet aber traditionell einen besseren Schutz, der an der Wurzel beginnt, etwas, das
bei Software-Security fehlt. Bei der Authentifizierung – und hier vor allem bei der MFA – ist nach
den Hardware-Optionen wie Tokens oder Smartcards die nächste Stufe der Evolution die
Verwurzelung in eingebetteter Hardware.
Das Herzstück des traditionellen Authentifizierungs-Faktors ist ein grundlegender Akteur: das
einfache Passwort. Fast jede Authentifizierungs-Schwelle, die ein Mitarbeiter überschreiten muss,
beinhaltet ein Passwort – vom Zugriff auf sein Gerät über das Anmelden am
Unternehmensnetzwerk bis zum Einloggen am VPN-Client. Passwortsicherheit kann zwar durch
Komplexität (Zahlen, Buchstaben, Symbole) erhöht werden und es können Anforderungen an die
Änderungsfrequenz gestellt werden, doch sie bleiben von Natur aus verwundbar. Rainbow-
Tabellen, Brute-Force-Methoden und zunehmend leistungsfähigere Prozessoren können
Passwörter leicht knacken. Es gibt jedoch eine bestehende Technologie mit jahrzehntelanger
Forschung, die dieses Problem abmildern kann: die Biometrie.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
6
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
3.3. Biometrische Bereitstellungen und die daraus gewonnenen Erkenntnisse
Biometrische Anmeldeinformationen:
Biometrische Anwendungen sind die Antwort auf das Passwort-Problem. In den letzten Jahren
haben die zugrunde liegenden Technologien für eine Vielzahl von Modalitäten (wobei der
Fingerabdruck derzeit die Nummer 1 ist) eine umfangreiche Entwicklung durchlaufen. Aus
fehlgeschlagenen Bereitstellungen von biometrischen Technologien in vielen Branchen wurden
wertvolle Erkenntnisse gewonnen:
• Im Jahr 2002 gelang es dem japanischen Kryptographen Tsutomu Matsumoto, Fingerabdruck-Sensoren mit Gelatine zu täuschen. Der Angriff war in etwa 80 % der Fälle erfolgreich und ist auf die schlechte Qualität der Sensoren zurückzuführen.
• Im Jahr 2007 täuschte der Chaos Computer Club (CCC) einen Fingerabdruck-Sensor im POS-Terminal eines semi-überwachten Einzelhandelsumfelds mit von Alltagsgegenständen genommenen Fingerabdrücken.
• Zwischen 2004 und 2014 gab es mehrere Bereitstellungen und Upgrades des Programms "US Automated Biometric Identification System" (ABIS) speziell für Mehrfachkonfliktoperationen. Offiziellen Berichten des US-Verteidigungsministeriums (DoD) zufolge gab es mindestens vier erfolglose umfangreiche Bereitstellungen des ABIS. Das DoD hat die Mängel festgestellt und ist dabei, die Probleme zu beheben. Zusammenfassend: (a) das System konnte nicht den Erwartungen der Benutzer gemäß ausgeführt werden, (b) bei hochprioritären Operationen traten Mängel auf, die die Missionserfüllung beeinträchtigten, (c) bei der Aktualisierung und dem Ersetzen alter Fingerabdruck-Datensätze durch neuere gab es eine erhebliche Ausfallwahrscheinlichkeit, (d) Probleme der Interoperabilität gepaart mit dem Versagen beim effektiven Koordinieren und Kommunizieren der biometrische Daten über mehrere Institutionen hinweg, e) Fragen der Gesetzgebung und politische Fragen bezüglich biometrischer Daten, (f) unbefriedigende Softwareentwicklung und Verteilung über mehrere Plattformen hinweg.
Kann nicht über verdeckte Beobachtung oder Überwachung erlangt werden
Ist weit schwieriger zu duplizieren oder zu täuschen
Kann nicht aufgeschrieben oder mit anderen Mitarbeitern geteilt werden
Bleibt relativ unverändert, solange die Person lebt
Muss nicht alle 30 Tage geändert werden
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
7
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
• Im Jahr 2009 wurde in Indien die UIDAI, eine Behörde zur Bekämpfung von Identitätsdiebstahl und Infiltration durch Fingerabdruck-Anmeldung eingeführt. Es gab zahlreiche Probleme, angefangen bei Verbindungsfragen, die dazu führten, dass das System nicht in der Lage war, einfache Authentisierungen durchzuführen, bis hin zur mangelnden Genauigkeit bei der bereitgestellten Lösung. Ein weiteres großes Problem war das Unvermögen, über die bloße technische Bereitstellung hinaus zu denken und durch Erforschung der Sicht des Benutzers Probleme vorherzusehen (z.B. glichen im Laufe von wenigen Monaten die Fingerabdrücke vieler Arbeiter nicht mehr den Vorlagen, die sie registriert hatten).
• Im Jahr 2012 wurden Benutzer, die noch die UPEK Fingerabdruck-Software verwendeten und nicht auf den Treiber von AuthenTec aufgerüstet hatten (nachdem UPEK von AuthenTec aufgekauft worden war), sehr verwundbar. Die Fingerabdruckdaten waren nämlich in Klartext im Systemen gespeichert. Die Sensoren wurden auf einer Vielzahl von Laptops und Notebooks bereitgestellt, was die Bedeutung des obligatorischen Treiber- und Software-Updates unterstrich.
• Im Jahr 2013 gelang es dem CCC schon kurz nach der Produktveröffentlichung Apples iPhone-Fingerabdruckfunktion durch Abdrücke von einer Glasoberfläche zu täuschen, was zur Entwicklung neuer Arten von Spoof-resistenten Sensoren führte.
• Im Jahr 2014 konnte der CCC bei einer Pressekonferenz mit Hilfe einer hochauflösenden Kamera erfolgreich einen Fingerabdruck des deutschen Verteidigungsministers extrahieren, was die Entwicklung von Lebenderkennungs-Sensoren vorantrieb, die als neuer Standard für hochwertige Sensoren gelten.
• Im Jahr 2015 (und vielleicht schon früher) wurden beim Office of Personal Management (OPM) in den Vereinigten Staaten Millionen von biometrischen Anmeldeinformationen gestohlen. Quellen bezeichneten den Vorfall als großen Cyberangriff durch ein anderes Land und als Produkt erfolgreichen Social-Engineerings.
• Mitte 2015 fanden Forscher von FireEye bei OEMs wie Samsung und HTC schwerwiegende Software-Designfehler bei der ordnungsgemäßen Speicherung von biometrischen Anmeldeinformationen. Die Daten wurden in lesbaren, unverschlüsselte Klartext-Dateien gespeichert. Die Firma berichtete später, dass Samsungs KNOX und andere Betriebssystem-Updates tatsächlich die nötigen Patches erhielten, woraufhin die Branche begann, das Speicher-Problem in der Entwicklungsphase zu überarbeiten.
Ausgehend von dem Problem der einfachen Leser-Speicher-Kombination, das vor ein paar Jahren
eine Fülle von Schwachstellen schuf, entwickelte sich ein Authentifizierungs-Protokoll auf der Basis
biometrischer Sicherheit, das sich im Kern der hochrangigsten Unternehmen weltweit wiederfindet
(Microsoft, Intel, Apple, Samsung). Es wird durch eine wachsende Zahl von Unternehmen (FIDO-
Allianz) mit gemeinsamer Standardisierung unterstützt und vereinheitlicht (UAF und U2F), und von
Jahr zu Jahr werden mehr Unternehmens-Patente eingereicht.
Die Leser-Speicher-Kombination wurde weiteren bedeutenden Prüfungen durch die Branche
unterzogen, gerade in Bezug auf ihre Sensor-Fähigkeiten, die Speicherung der
Anmeldeinformationen und Produktzertifizierungen (z.B. NIST, FBI, ISO, IEC, PIV / FIPS, ANSI).
Sie unterliegt nun einem hochentwickelten Algorithmen-Design, erfreut sich weiterhin der
Finanzierung und Unterstützung durch Regierungen weltweit und wird ständig verbessert durch
dynamische R&D-Initiativen von Unternehmen, die entschlossen sind, einen Wettbewerbsvorteil in
der Sicherheitsumgebung zu erlangen.
3.4. MFA-Hardware-Sicherheit und Biometrie
Bei der mehrstufigen Sicherheit auf Hardware-Basis gibt es zwei Hauptmethoden der Endgeräte-
Authentifizierung. Die erste ist die Verwendung eines externen Hardware-Tokens. Dieser wird in
der Regel neben kennwortgeschützten Geräten als sekundärer Authentifizierungsfaktor verwendet.
Er hat eine entscheidende Ähnlichkeit und Verletzlichkeit mit Passwörtern gemeinsam: man kann
ihn teilten.
Die zweite Methode ist die Verwendung einer physikalisch eingebetteten Lösung. Intels neue MFA-
Lösung zum Beispiel, die im Prozessor der sechsten Generation vorgestellt wurde, ermöglicht
Unternehmen im Wesentlichen die Implementierung Hardware-eingebetteter Authentifizierung in
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
8
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
einer einfachen, interoperablen Lösung. Biometrische Technologien sind der Kern der Intel-Lösung
für sichere und präzise Hardware-Authentifizierung.
4. EIN KURZER LEITFADEN FÜR ENTSCHEIDER
4.1. Die Speicherung biometrischer Daten: Geräte-basiert kontra Server-basiert
Der Schutz von Arbeitnehmerdaten ist eine der höchsten Prioritäten biometrischer
Authentifizierungsmethoden am Arbeitsplatz. Erkenntnisse aus einer Reihe von Befragungen
deuten auf die „Gefahr einer biometrischen Datenschutzverletzung“ als eines der vorrangigsten
Anliegen neuer Implementierungen. Dieses Risiko deckt sich mit jüngsten Meldungen zu Initiativen
der Cyber-Security sowie mit Debatten und Entwicklungen rund um Fragen des Datenschutzes.
Die Integration biometrischer Daten in den Authentifizierungsprozess erhöht die Schwelle zur
Privatsphäre. Unternehmen sollten angemessen vorbereitet sein, die biometrischen Daten ihrer
Mitarbeiter zu schützen und diese Probleme mit einer sicheren und optimierten Lösung anzugehen.
Faktor Hierarchie für Entscheider :
Es gibt zwei wichtige technologische Perspektiven in Bezug auf die Speicherung biometrischer
Daten: a) Server- oder Cloud-basiert, und b) lokal im Gerät oder Laufwerk. Gemäß dem ersten
werden die Daten vor und nach der Übertragung von einem Leser verschlüsselt, durch das
Netzwerk-Sicherheitssystem des Unternehmen mit seinem eigenen dedizierten Server geschützt
und in einer separaten Datenbank getrennt von anderen Unternehmensdaten gespeichert. Der
große Vorteil dieser Lösung ist, dass die Administratoren über die Daten in Ruhe oder beim
Transport eine verstärkte Kontrolle haben. Das Speichern von Daten in der Cloud ist bei Lösungen
im Regierungssektor am weitesten verbreitet, wo das Daten-Management zentralisiert werden
muss. Dies erfordert jedoch auch die Einbeziehung der Datenbanken einer Vielzahl von anderen
nationalen Institutionen. Darüber hinaus sind staatliche IT-Sicherheitsfragen in der Regel mehr mit
der zugrunde liegenden Sicherheit, Zweckmäßigkeit und Genauigkeit befasst, als mit dem Budget.
Der letztgenannte Ansatz spricht dafür, biometrische Daten lokal zu speichern, um im Falle einer
Datenschutzverletzung oder eines unbeabsichtigten Lecks die Identität der Benutzer zu schützen.
Diese Perspektive wird durch die FIDO-Allianz und ihre Mitglieder unterstützt, zu denen unter
anderem Google, Intel, Microsoft, Mastercard, die Alibaba-Gruppe, Samsung, Qualcomm, Nok Nok
Labs usw. gehören. Darüber hinaus können Implementierer dank der laufenden Bemühungen von
Das Speichern von Daten in der
Cloud ist bei Lösungen im
Regierungssektor am weitesten
verbreitet, wo das Daten-
Management zentralisiert
werden muss.
Bedenken der dritten Stufe
Bedenken der zweiten Stufe
Bedenken der ersten Stufe
Kosten für die Lösungsimplementierung
Risiko einer biometrischen Datenschutzverletzung
Hardware- und Software-
Interoperabilität
Benutzerfreundlichkeit, Genauigkeit,
Sicherheit
Kosten für die Systemwartung
IT-bezogener Zeitaufwand
Probleme bei der Umsetzungsphase
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
9
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
Seiten von FIDO zur Standardisierung und einer alles umfassenden lückenlosen MFA-Lösung
sicher sein, dass Interoperabilitätsprobleme minimiert oder ganz beseitigt werden können.
4.2. Fingerabdruck-Authentifizierung
Als faktische biometrische Technologie ist die Fingerabdruckerkennung Gegenstand der
überwiegenden Mehrheit der Unternehmens-, staatlichen und akademischen biometrischen
Forschungsprojekte. Biometrische Installationen der Vergangenheit haben eine Fülle von
wertvollen Informationen darüber geliefert, was eine gute Fingerabdruck-Anwendung darstellt.
Unternehmen preisen die Zulassungsrate unberechtigter (Falschakzeptanzrate, FAR) sowie die
Abweisungsrate berechtigter Metriken (Falschrückweisungsrate, FRR) fast ausschließlich als das
primäre Verkaufsargument für ihre jeweiligen Produkte an. Die Entscheidungsträger müssen
jedoch über diese Metriken hinaus auf andere entscheidende Fragen schauen:
• Bildauflösungsverhältnisse – Pixel pro Zoll (PPI): Übersteigen sie die durch die FBI-Zertifizierung gesetzte 500 PPI Schwelle? Haben sie andere Zertifizierungen erhalten? Zielt die Auflösung auf PPI im Bereich 800 bis 1000?
• Sensor-Spezifikationen: Wenn der Sensor als „dünn“ und „einfach zu implementieren“ beworben wird, ist er auch robust genug? Wenn der Sensor als „kapazitiv“, „Sweep“ oder „Solid-State“ klassifiziert wird, ist dies genau genug? Sind mehr als drei Versuche nötig, um einen Benutzer zu authentifizieren?
• Eingebettet kontra USB: Statistisch gesehen sind externe USB-Sensoren anfälliger für Angriffe und Exploits, die Sicherheitslücken ausnutzen, als eingebettete Sensoren. Gibt es einen signifikanten Vorteil der Verwendung eines externen USB-Sensors? Spiegeln die zusätzlichen Kosten sich in der TCO wider?
• Lebenderkennung: Verfügt der Sensor über Lebenderkennung oder andere Anti-Spoofing-Funktionen? Gibt es bereits andere erfolgreiche Implementierungen?
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
10
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
• Robustheit: Was ist die höchste ESD-Schutzebene (Maßnahmen gegen Beschädigungen durch elektrostatische Entladungen) des Sensors? Verfügt der Sensor über geeignete Schutzbeschichtung, um eine lange Lebensdauer auch bei zahlreichen Verwendungen zu gewährleisten? Sind Sensor und Modul leicht austauschbar?
• Zertifizierungen und Algorithmen: Wurde der Algorithmus durch das National Institute of Technology (NIST) getestet? Ist das Unternehmen mit diesen Ergebnissen zufrieden? Gibt es Zertifizierungen durch FBI, ISO, ROHS, CE oder FCC?
4.3. Gesichtsauthentifizierung
In der Branche gibt es starke Bedenken bezüglich einer Umgehung der Gesichts-Authentifizierung
– oftmals sogar mit ganz einfachen Mitteln. In den letzten 5 Jahren war es möglich, ein Foto von
einigermaßen guter Auflösung von jemandem auszudrucken und damit die
Gesichtserkennungssoftware seines Computers zu umgehen. Soziale Medien und Networking-
Seiten bieten eine verschwenderische Auswahl an Fotos unterschiedlicher Beleuchtung und
Bildwinkel als Ausgangsmaterial für Hacker, die einen ID-Bypass planen. Fortschritte in der
Branche zielen darauf ab, diese Schwachstellen zu beheben und die Merkmale der
Gesichtserkennung zu erweitern.
Die RealSense F200 Kamera von Intel und die Windows 10-Funktion „Windows Hello“ sind zwei
Beispiele für hochentwickelte Gesichtserkennung bei PCs. Intel RealSense ist eine 1080 RGB-
Infrarot-Kamera, die dank Multi-Kameratechnologie 3D-Scans ermöglicht, über einen
Erkennungsbereich von bis zu 1,2 Metern verfügt und ein sehr anpassungsfähiges Developer Kit
beinhaltet. Die von Intel angebotene Technologie ermöglicht gründliche und anspruchsvolle Scans
der Gesichtsmerkmale des Benutzers als Grundlage für die Schaffung eines zuverlässigen
biometrischen ID-Nachweises. Darüber hinaus hat Microsoft sein Windows Hello mit einem
zusätzlichen Sicherheitsmerkmal aufgerüstet, um die Geräte von Endbenutzern noch besser zu
schützen. Wenn diese Funktion aktiviert ist, muss der Benutzer seinen Kopf leicht nach jeder Seite
neigen, damit der Algorithmus verifizieren kann, dass sich tatsächlich eine lebende Person vor der
Kamera befindet. Diese Maßnahme wird als zusätzlicher „Lebenderkennungs“-Test bereitgestellt,
damit Betrüger nicht mit einem hochauflösenden Foto des Opfers das System täuschen können.
4.4. Gesetzgebung und Ausbildung
Wie bereits erwähnt ist die Sicherheit rund um biometrische Anmeldeinformationen eines der
wichtigsten Anliegen und eine Hürde für Unternehmen, die nach einer biometrischen
Implementierung suchen. Ein Teil dieser technologischen Bedenken wurzelt jedoch auch von der
Unsicherheit in Bezug auf Gesetzesänderungen. Während die aktuelle Gesetzgebung in Bezug
auf biometrische Daten zweifellos einen Einfluss auf die zugrunde liegende Technologie ausübt
und auf die Art, wie Unternehmen ihre Lösungen einer neuen und bestehenden Kundenbasis
bereitstellen, ist zu beachten, dass die meisten Regelungen in Bezug auf biometrische Technologie
bereits vorhanden sind. Es lohnt sich jedoch für Unternehmen immer, besonderes auf die Art und
Weise zu achten, wie Regierungen mit Biometrie bei Grenzkontrollen, Identifikation von Bürgern
und Datenschutzverletzungen umgehen. Als Hinweise auf künftige Rechtsvorschriften können
verschiedene Faktoren dienen, z.B. welche Bereitstellungen erwartungsgemäß funktionieren, wo
es erhebliche Ausfälle gibt und ob sich Fragen zu personenbezogenen Daten oder Dateneigentum
abzeichnen.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
11
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
Eine der größten Verbesserungen seit der Einführung der Biometrie in der Verbraucherelektronik
(insbesondere bei Smartphones) war in diesen letzten Jahren die Tatsache, dass Nutzer viel Zeit
damit verbrachten, zu lernen und sich an die Technologie zu gewöhnen. Diese Tatsache,
zusammen mit dem kommerziellen Erfolg intelligenter Geräte, hat den Weg für verbesserte
Versionen von Erkennungsverfahren (insbesondere in den Bereichen Fingerabdruck, Gesicht und
Stimme) für kommerzielle, Regierungs- und Unternehmensanwendungen geebnet. Benutzer sind
bereits recht vertraut mit den meisten biometrischen Technologien und wissen, wie sachgemäße
Authentifizierung auf ihren Geräten (Smartphones, Computer, Tablets) umgesetzt werden sollte.
5. PROJEKTBESCHREIBUNG
Mehrere Befragungen von Händlern im Biometrie-Markt – von OEMs und Algorithmus-Entwicklern
bis hin zu Systemintegratoren und Software-Ingenieuren – haben Erkenntnisse über ein breites
Spektrum von vielfältigen aber kritischen Cybersecurity-Themen erbracht. Dieser Input wurde mit
Querverweisen zu Erkenntnissen aus der Sekundärforschung und zu wissenschaftlichen
Publikationen versehen, um die folgende hypothetische Fallstudie anhand der MFA-Lösung von
Intel zu erstellen.
5.1. Hintergrund
Nach steigenden Spannungen zwischen C-Level-Führungskräften in einem Unternehmen (erstellt
aus einem Verbund mehrerer anderer realer Unternehmen) entstand ein interner Konflikt über die
Frage der Verbesserung der Sicherheitssysteme. Der erste Teil der Fallstudie zeigt einige der von
Management und Mitarbeitern angesprochenen System-Empfindlichkeiten und Bedenken. Es wird
davon ausgegangen, dass das System von bestimmten Low-Level-Attacken nicht beeinträchtigt
wird und dass die IT die Infrastruktur mit grundlegenden Lösungen zum Netzwerk- und Endgeräte-
Schutz gestärkt hat (Antivirus, Firewall, SIEM, Passwort-Schutz, VPN). Trotzdem treten, wenn man
ein bisschen tiefer gräbt, einige schwerwiegende Schwachstellen zutage, die leider zu einem
großen Teil auf die alternde Computerhardware zurückgehen, die an modernen Arbeitsplätzen
immer noch vorherrscht. Der zweite Teil der Fallstudie zeigt, dass Intel eine umfassende Lösung
bieten kann, ohne dass eine komplette Überarbeitung des bestehenden Netzwerksystems oder
zusätzliche Sicherheitskosten nötig sind, bei gleichzeitiger Verbesserung der Mitarbeiter-
Produktivität und Endgeräte-Sicherheit.
5.2. Herausforderungen und Schwachstellen
Das Unternehmen entscheidet, dass der Großteil der Mittel für die IT-Sicherheit zur
Netzwerksicherheit verwendet werden soll. Vor der Prüfung einer neuen Implementierung erlebt
die IT-Abteilung ein paar externe Bedrohungen, aber nichts, womit das vorhandene
Sicherheitssystem nicht zurechtkäme. In der Vergangenheit hat das Management beschlossen,
mehrere Upgrade-Zyklen ihres Computerbestands auszulassen, um die Kosten niedrig zu halten.
Jedoch sind einige andere scheinbar geringfügige Vorfälle vor kurzem zur Aufmerksamkeit des
CIO und CISO gelangt. Das System registriert gelegentlich den Eingang von
Anmeldeinformationen einiger User zu ungewöhnlichen Zeiten (z.B. Angestellte, die sich ab und
zu in der Mittagspause oder nach Dienstschluss ein- und ausloggen). Bei etwa einem Drittel dieser
Fälle griffen autorisierte Benutzer von ihrem Computer auf zuvor abgefragte Ressourcen zu und
übertrugen Dateien zu unbekannten Empfängern, die nicht in der Unternehmensdatenbank
registriert waren. Der Zugang war völlig legitim und folgte sogar den meisten Verhaltensmustern,
die bereits bei den Nutzern selbst festgestellt worden waren. Die Mitarbeiter bestritten, irgendeine
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
12
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
der im Back-End-Protokoll aufgezeichneten Aktionen durchgeführt zu haben. Bald begann das
gesamte Bild Gestalt anzunehmen:
• Mitarbeiter, die seit drei Jahren beim Unternehmen waren, hatten entsprechend der Unternehmensrichtlinie alle vier Monate ihre Kennwörter geändert (i.e. 12 Passwortänderungen in 3 Jahren). Eine sorgfältige Prüfung ergab, dass der Erstellungsprozess der Passwörter der Mitarbeiter drei hauptsächlichen Mustern folgte: 1) Mitarbeiter verwenden reihum drei oder vier Passwörter, (2) diese Passwörter werden auch für soziale Medien, E-Mail und andere persönliche Konten verwendet, (3) jedes Mal wird ein anderer Buchstabe großgeschrieben, (4) eine Zahl wird vorne oder hinten oder anstelle eines Zeichens eingefügt, das ihm visuell gleicht (z.B. 1 statt I oder L, 3 oder 5 anstelle von E. 0 statt O)
• Eine Untersuchung der Endgeräte selbst ergab, dass sie mit Screen-scraping Spyware und/oder Key-Logger Malware infiziert waren.
• Die Infektion verblieb völlig unbemerkt über drei Quartale hinweg auf diesen Endgeräten.
• Einige Mitarbeiter hatten ihr Passwort mit einer kleinen Anzahl von Kollegen geteilt.
• Mitarbeiter hatten begonnen, ihre eigenen Laptop-Geräte an den Arbeitsplatz mitzubringen, da das Management nicht bereit war, die Firmen-PCs im normalen Zyklus zu erneuern. Deshalb übertrugen die Mitarbeiter ihre Arbeit auf ihre eigenen Geräte, die über viel mehr Rechenleistung verfügten.
• In den meisten Fällen erwies sich die Zweit-Faktor-Authentifizierung als nicht hilfreich, da die Angreifer bereits in das System eingedrungen waren und still und heimlich die auf den Endgeräten verfügbaren Unternehmensdaten absaugten. Anstatt zu versuchen, die Netzwerksicherheit zu beeinträchtigen, warteten die Angreifer einfach darauf, dass die Mitarbeiter die Informationen aus dem Netzwerk auf ihre Endgeräte übertrugen.
• Management und IT widersetzten sich der Verwendung externer biometrischer USB-Lesegeräte und dem Cloud-basierten biometrischen Daten-Management, weil sie diese Verfahren für möglicherweise unsicher, ungenau und anfällig für Angriffe hielten.
• Das Management war nicht bereit, weitere Ausgaben für die Netzwerksicherheit zu tätigen, visiert aber derzeit eine Implementierung an, die optimale ROI-Ergebnisse erzielen wird.
5.3. Lösung
Ein Erneuerungs- und Aktualisierungs-Zyklus für Unternehmens-PCs ist dringend erforderlich und
das Arsenal von Intel Authenticate erweist sich als die Lösung, nach der IT und Management
gesucht haben. Angetrieben durch Hardware-verstärkte Sicherheit stellten Intel und andere
Anbieter folgendes zur Verfügung:
• Eine hochsichere, eingebettete Multifaktor-Lösung für Endgeräte, Mitarbeiterzufriedenheit, Datensicherheit, und insgesamt verbesserte TBO (durchschnittliche Dauer bis zur Überholung von Geräten) verglichen mit anderen Software-basierten Lösungen.
• Freiheit von der Anfälligkeit von Passwörtern, bösartigen externen USB-Lesern und Screen-Scraping durch die Verwendung biometrischer Daten, eingebetteter Sicherheit und randomisierten, prozessorbasierten Anmeldeinformationen.
• Freiheit von Kosten für Biometrie als Dienstleistung, Drittanbieter-System-Integration und Interoperabilitätsfragen.
• Seelenfrieden für Mitarbeiter und Führungskräfte bezüglich der Verwaltung der biometrischen Anmeldeinformationen. Die FIDO-zugelassene Lösung sorgt dafür, dass die Daten der Benutzer ihre Geräte nie verlassen, und beschwichtigen dadurch die Bedenken von Benutzern bezüglich der Cloud-Speicherung biometrischer Daten und den Zugriff Dritter darauf.
• Isolierte, Prozessor-basierte Speicherung bedeutet, dass die Bedrohungs-Akteure die biometrischen Daten des Nutzers nirgends auf den zahlreichen Etappen des Datenpfads abfangen können: Sensor-Datenerfassung, Daten-Vorverarbeitung Merkmalextraktion, Biokryptografie, Verschlüsselung und Datenbank-Kommunikationskanäle.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
13
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
6. SCHLUSSFOLGERUNG
Die Endgeräte-Security bildet zusammen mit mangelnder Erneuerung des Computerbestands und
wiederkehrenden Upgrade-Zyklen zwei wichtige Sicherheitsaspekte, die von Unternehmen oft
übersehen werden. Darüber hinaus ist es die Prävalenz von Passwörtern als primäre Form der
Authentifizierung, die derzeit aus dem Scheinwerfer rückt. Sowohl Software- als auch Hardware-
basierte Sicherheitsmaßnahmen für Authentifizierungsmechanismen müssen parallel eingesetzt
werden, um dem Unternehmen die notwendigen Werkzeuge zur Bekämpfung interner und externer
Angriffe an die Hand zu geben.
Eine beträchtliche Anzahl von Endgeräte-Schwachstellen offenbaren sich erst nach sorgfältiger
Prüfung. Sie können völlig unentdeckt bleiben und Malware kann oft jahrelang schlummern und
nur dann an die Oberfläche kommen, wenn ihre Ziele getriggert werden. Management und IT
fangen langsam an, die Tatsache anzuerkennen, dass ein alternder Computerbestand nicht nur
ein Sicherheitsrisiko und eine Belastung für die Mitarbeiter darstellt, sondern sie außerdem dazu
anregt, ihre Arbeitsgewohnheiten auf ihre eigenen Endgeräte zu übertragen, was alle Bemühungen
der IT um eine Optimierung der Vermögenssicherung aushebelt. Sie sind auch eher Opfer von
Phishing oder Social Engineering-Angriffen.
Darüber hinaus gibt es starke Bedenken von Mitarbeitern bezüglich der Serverspeicherung,
Verwaltung und Nutzung von biometrischen Daten. Biometrische Technologien haben eine
Vorzüge für
Arbeitnehmer
Geräte-Mobilität und sicherer VPN-Zugang
Walk-away Sperrsystem
Screen-scraping-Schutz und Keypad
Nicht verlinkbare biometrische Daten
bleiben im Gerät
Leistungsstarker Prozessor und sichere
Kanäle
Einfache
Authentifizierung
Alles umfassende MFA einschließlich
PIN, Gerät, OTP, LBS
BYOD leicht gemacht mit Bluetooth
Integration mit Windows 7, 8, 10, und
Windows Hello
Mildert Verstöße durch Passwort-Fehlschläge
Hochmodern
Gesichts- und Fingerabdruck-
Authentifizierung
Robuste Sicherheit
Eingebettete Lösung und isolierte Umgebung
PKI-Verschlüsselung
Vorteile aus dem kompletten Intel
Hardware-betriebenen Arsenal
Komplette Transparenz, wer
hinter dem Computer sitzt
Frei von Cloud-basierten
biometrischen Systemschwachstellen
Investitionsvorteile
Interoperable Lösung und FIDO-
standardisiert
Arbeitet zusammen mit bestehender oder
zukünftiger Software und Netzwerk-
Sicherheit
Stabile Grundlagen für Iris-Erkennung
Keine versteckten Kosten oder
wiederkehrende Gebühren
Weniger Hilfe von IT benötigt, keine
langwierigen Versuche erforderlich
Die eingebettete Hardware-getriebene MFA-Lösung von Intel
bringt mehrstufige Authentifizierung auf ein neues Niveau und
löst mehrere IT-Probleme durch das folgende Angebot:
Sowohl Software- als auch
Hardware-basierte
Sicherheitsmaßnahmen für
Authentifizierungsmechanisme
n müssen parallel eingesetzt
werden, um dem
Unternehmen die notwendigen
Werkzeuge zur Bekämpfung
interner und externer Angriffe
an die Hand zu geben.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
14
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
kritische Masse erreicht und fangen an, eine Vielzahl von Implementierungen in einem breiten
technischen Spektrum zu genießen. MFA und Biometrie sind mächtige Werkzeuge im IT-Arsenal
und ermöglichen einen gründlicheren Schutz von Mitarbeiterdaten.
Passwörter waren über Jahrzehnte hinweg der Grundpfeiler der Authentifizierung. Großformatige
Cyberattacken, Verstöße gegen den Datenschutz, Systembeeinträchtigungen und die Entstehung
von anspruchsvollen Cyberspionage-Aktionen zeigen jedoch zusammen mit dem Aufkommen
überlegener Malware, dass ein Erneuerungszyklus für Unternehmens-PCs sowie eine umfassende
Umsetzung der MFA in der modernen Arbeitswelt unverzichtbar sind. Es ist daher wichtig für
Entscheidungsträger, die langfristigen Vorteile einer neuen Lösungen zusammen mit den
entsprechenden Sicherheitsoptionen für optimalen Schutz vor unberechtigtem Zugriff zu
berücksichtigen.
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
15
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
7. INHALTSANGABE
1. KURZFASSUNG ................................................................................................................................................................. 1
2. DIE ENTWICKLUNG DER AUTHENTIFIZIERUNG IM MODERNEN UNTERNEHMEN .................................................. 2
2.1. Passwörter: Der traditionelle Kern der Authentifizierung ..................................................................................................................... 2 2.2. Security Shift: Vom Netzwerk zum Endgerät ....................................................................................................................................... 2 2.3. MFA zum neuen Standard machen ..................................................................................................................................................... 3
3. ANWENDUNG VON MFA AM ARBEITSPLATZ ............................................................................................................... 4
3.1. Endgeräte-Authentifizierungsprobleme ............................................................................................................................................... 4 3.2. Das schwächste Glied ......................................................................................................................................................................... 4 3.3. Biometrische Bereitstellungen und die daraus gewonnenen Erkenntnisse ......................................................................................... 6 3.4. MFA-Hardware-Sicherheit und Biometrie ............................................................................................................................................ 7
4. EIN KURZER LEITFADEN FÜR ENTSCHEIDER.............................................................................................................. 8
4.1. Die Speicherung biometrischer Daten: Geräte-basiert kontra Server-basiert ...................................................................................... 8 4.2. Fingerabdruck-Authentifizierung .......................................................................................................................................................... 9 4.3. Gesichtsauthentifizierung .................................................................................................................................................................. 10 4.4. Gesetzgebung und Ausbildung ......................................................................................................................................................... 10
5. PROJEKTBESCHREIBUNG ............................................................................................................................................ 11
5.1. Hintergrund ........................................................................................................................................................................................ 11 5.2. Herausforderungen und Schwachstellen ........................................................................................................................................... 11 5.3. Lösung ............................................................................................................................................................................................... 12
6. SCHLUSSFOLGERUNG .................................................................................................................................................. 13
7. INHALTSANGABE ........................................................................................................................................................... 15
© 2016 ABI Research • abiresearch.com
Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche
Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen
innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.
16
abiresearch.com
Custom Research
MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN
Veröffentlicht 24. Februar 2016
©2016 ABI Research
249 South Street
Oyster Bay, NY 11771 USA
Tel: +1 516-624-2500
www.abiresearch.com
ALLE RECHTE VORBEHALTEN. Kein Teil dieses Dokuments darf reproduziert aufgezeichnet, fotokopiert, in eine
Kalkulationstabelle, einen Informationsspeicher und/oder ein Abrufsystem jeglicher Art eingefügt werden, sei es auf
elektronische, mechanische oder sonstige Weise, ohne die ausdrückliche schriftliche Genehmigung des Herausgebers.
Ausnahmen: Regierungsdaten und andere Daten aus öffentlichen Quellen in diesem Bericht sind nicht durch Copyright
oder geistiges Eigentumsrecht geschützt. Die Besitzer dieser Daten können an den Stellen, wo diese Daten auftauchen,
angezeigt werden, müssen jedoch nicht.
Lizenzen für elektronisches geistiges Eigentum sind für die Nutzung der Website verfügbar. Bitte kontaktieren Sie ABI
Research für eine Site-Lizenz.