Authentifizierung

Shared Workstations – ein Einfallstor für Hacker

, Yubico

Shared Workstations – ein Einfallstor für Hacker

Von Alexander Koch, VP Sales EMEA, Yubico

Kosteneinsparungen und Produktivitätssteigerungen sind die ausschlaggebenden Argumente für Shared Workspaces für Mitarbeiter. Gemeinsam genutzte Arbeitsplätze haben sich in der Tat in vielen Branchen durchgesetzt. Nichtsdestotrotz müssen sich Unternehmen mit den Sicherheitsrisiken auseinandersetzen. Das beginnt damit, sicherzustellen, dass nur die richtigen Nutzer Zugriff auf die gemeinsam genutzten Geräte erhalten.

Alexander Koch, VP Sales EMEA

Gemeinsam genutzte Anmeldedaten oder Notizzettel mit gültigen Passwörtern sind gang und gäbe, wenn mehrere Personen auf einen gemeinsamen Arbeitsplatz Zugriff haben sollen. Etwa weil häufige Schichtwechsel, Saisonarbeit oder hohe Personalfluktuationen an der Tagesordnung sind und es daher als praktikabelste Möglichkeit betrachtet wird, jedem Mitarbeiter zu jeder Zeit Zugriff quasi über einen „Generalschlüssel“ Zugriff auf die nötigen Ressourcen zu gewähren. Diese fragwürdige Vorgehensweise ist auch den Cyberkriminellen nicht unbekannt. Für sind gestohlene Anmeldedaten äußerst attraktiv: Dem 2023 Verizon Data Breach Investigations Report zufolge werden 81 Prozent der Datenschutzverletzungen durch gestohlene oder schwache Passwörter verursacht.

Warum die klassische Multi-Faktor-Authentifizierung keine Lösung ist

Der erste Impuls, solche eklatanten Sicherheitslücken zu schließen, ist die Multi-Faktor-Authentifizierung (MFA). Allerdings ist die mobile MFA, die mit SMS, OTP-Codes und Push-Benachrichtigungen arbeitet, sehr anfällig für Cyberbedrohungen, wie Phishing, Brute-Force-Attacken, Man-in-the-Middle-Angriffe (MiTM), Malware und SIM-Swapping. Der Nachweis des Besitzes des Schlüssels kann ebenso wenig erbracht werden, wie der Nachweis, dass der private Schlüssel tatsächlich sicher auf dem mobilen Gerät gelandet ist. Auch das Abfangen von OTP-Codes oder privaten Schlüssel ist für Cyberkriminelle keine große Herausforderung. Und was, wenn der Akku des Mobilgerätes seinen Geist aufgibt oder die Verwendung solcher Endgeräte im Einzelfall nicht gestattet ist?

Was macht eine gute Lösung aus?

Entscheidend ist also, bei der Wahl einer passenden Lösung die Faktoren Effizienz, Zuverlässigkeit, Kosten und andere externe Variablen, die sich negativ auf die Leistungsfähigkeit der Lösung auswirken können, zu berücksichtigen. Darüber hinaus geht es allerdings auch darum, Fragen zu beantworten, die sich rund um die Themenkomplexe Benutzerverifizierung und Benutzerkomfort drehen: Wie kann ein Benutzer bei der Anmeldung seine Legitimität unter Beweis stellen? Wie lässt sich sicherstellen, dass er sich nahtlos bei mehreren Geräten authentifizieren kann? Funktioniert die Authentifizierung auch unter schwierigen Bedingungen? Und lässt sich langfristig die Anzahl der authentifizierungsbezogenen Support-Tickets reduzieren?

Der Umstieg von der traditionellen MFA auf eine phishing-resistente MFA ist ein wichtiger Schritt zur Absicherung gemeinsam genutzter Arbeitsumgebungen. Der nächste Schritt in der modernen MFA ist die Einführung einer passwortlosen Authentifizierung. Ein SMS-OTP ist eine Möglichkeit der kennwortlosen Authentifizierung, kann jedoch all die aufgeführten Anforderungen kaum erfüllen. Klassische Smartcards sind eine weitere Form der passwortlosen Authentifizierung, die zwar eine höhere Sicherheit bietet als SMS-OTP, aber in der Regel hohe Investitionskosten für Smartcard-Lesegeräte, Karten und Backend-Verwaltungsplattformen erfordert und nicht die beste Benutzererfahrung auf Smartphones oder Tablets bietet. Daher liegt die Zukunft in einem passwortlosen Anmeldevorgang, der auf FIDO2/WebAuthn basiert. FIDO (Fast IDentity Online) ist ein moderner Authentifizierungsstandard, der die traditionelle Kombination aus Benutzernamen und Passwort durch eine starke Zwei-Faktor-, Multi-Faktor- und passwortlose Authentifizierung ersetzt. Bei FIDO2/WebAuthn handelt es sich um den aktuellen FIDO-Standard: Er verwendet Public-Key-Kryptografie für maximale Sicherheit, wobei die privaten Schlüssel den Authentifikator nie verlassen. FIDO2-Hardware-Sicherheitsschlüssel wie der YubiKey bieten Multi-Faktor- und passwortlose Authentifizierung mit hoher Sicherheit und einem exzellenten Benutzererlebnis – ideal für gemeinsam genutzte Arbeitsumgebungen.