Die IT-Branche reagiert mit der Entwicklung völlig neu konzipierter Authentisierungsprozesse. Erst kürzlich forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen deutsche E-Mail-Nutzer auf, ihre E-Mail-Accounts auf Verseuchung zu überprüfen und gegebenenfalls zu ändern. Der Data Breach Investigations Report 2013 des Mobilfunkanbieters Verizon erfasste 621 verifizierte Dateneinbrüche. Sogar das Mobil-TAN-Verfahren der Sparkassen, bei dem ein Einmal-Passwort während der Transaktion auf das Mobiltelefon geschickt wird, wurde gehackt.
Damit Internet- und Mobile-Business langfristig die erhofften Wachstumstreiber bleiben, müssen die Geschäfte im Cyberspace sicherer werden. "Das Problem sind die Authentisierungsverfahren", meint Phillip Dunkelberger, einst Mitentwickler des Verschlüsselungsverfahrens Pretty Good Privacy (PGP) und Gründer des gleichnamigen Unternehmens. Inzwischen gehört es Symantec.
- Secunia Personal Software Inspector:
Das Tool verrät, ob beispielsweise neue Versionen von Quicktime, Firefox oder Flash existieren, in denen Sicherheitslücken gestopft wurden. - Password Safe
Das Gratis-Tool fungiert als Zentrale für Kennwörter und Zugangsdaten. - Security & Privacy Complete
Damit lassen sich problematische Systemeinstellungen deaktivieren und auf diesem Weg potentielle Sicherheitslücken stopfen. - HijackThis
Geben Sie Hijackern keine Chance. Die Freeware dieses Tool spürt Browser-Hijacker auf und entfernt sie aus dem Windows-System. - JonDo/JAP
Java Anon Proxy sorgt für eine Anonymisierung von Webzugriffen, indem Datenpakete nur auf Umwegen mit Webservern ausgetauscht werden. - Spybot Search & Destroy
Das für Privatnutzer kostenlose Tool durchsucht das System nach Malware und kann den Rechner immunisieren. - Autoruns
Mit Hilfe der Freeware bändigen Sie automatisch beim Hochfahren von Windows startende Programmeinträge. - Spamhiliator
Die Filterfunktionen stellt die Software über eine Anbindung an das Mailprogramm auf Proxy-Basis bereit. - AVG Free Edition
Das Anti-Virus-Tool durchstöbert den PC nach Viren, Würmern und Trojanern. - Avira AntiVir Personal
Ein benutzerfreundliches Antivirenprogramm mit vielen Schutzfunktionen.
Dunkelberger suchte sich ein anderes Betätigungsfeld: die sichere Authentisierung. Er gründete im November 2011 Nok Nok Labs, ein Startup, in dem vor allem hochkarätige Sicherheitsexperten tätig sind. "Niemand kann sich mehr die vielen Passworte merken, außerdem arbeiten die meisten Menschen an mehreren mobilen Geräten", argumentiert er. "Wir brauchen etwas, das für den Anwender extrem einfach ist und gleichzeitig Datendiebstähle in großem Maßstab verhindert."
Woanders reiften ähnliche Ideen: Ramesh Kesanupalli, Technologiechef vom Fingerabdruck-Sensorspezialisten Validity Sensors, schlug dem Paypal-Sicherheitsverantwortlichen Michael Barrett 2009 vor, Paypal solle mit Fingerabdrücken authentisieren. Barrett fand das prinzipiell gut, beharrte aber auf einer standardisierten, herstellerneutralen Lösung. Die beiden Manager begannen mit den Vorarbeiten zur Gründung der FIDO Alliance, die dieses Verfahren entwickeln sollte. Sie gewannen auch Dunkelberger für die Idee. Als die FIDO Alliance im Sommer 2012 startete, gehörten ihr Paypal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio an, inzwischen sind fast alle Authentisierungsspezialisten und noch viele andere Unternehmen dazugestoßen.
- Leitlinie zur Zugangskontrolle
Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten. - Mitarbeiterschulung (Security Awareness)
Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt. - Netzwerksicherheits-Management
Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen. - Informationssicherheit mit Externen
In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein. - Transparentes Risikomanagement
Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Vor einigen Wochen gab die FIDO Alliance den ersten Entwurf ihres Standards zur Kommentierung frei. Das Verfahren ist für den Endanwender kostenlos, basiert auf mindestens zwei Authentisierungsfaktoren (Zwei-Schlüssel-Authentisierung plus biometrisches Merkmal oder Dongle) und ist einfach anwendbar. Passworte muss sich der Anwender damit nicht mehr merken. Auf dem Authentisierungs-Server von Unternehmen, die FIDO nutzen, liegen nur noch öffentliche Schlüssel der Anwender, mit denen niemand etwas anfangen kann.
FIDO hat Schwachstellen: Die zur Anmeldung am Handy benutzten biometrischen Daten liegen irgendwo, Dongles können gestohlen werden. Zudem ist FIDO eine zwar internationale, aber deutlich US-lastige Initiative - derzeit nicht gerade vertrauensfördernd.
Sechs-Personen-Firma
Interessant ist daher ein Berliner Startup, das mit seinem zum Patent angemeldeten Verfahren ebenfalls das Authentisierungsproblem lösen will. Tokey ist derzeit eine Sechs-Personen-Firma auf der Suche nach Venture Capital. Die Firmengründer Jürgen Simon und Rüdiger Baumann haben jeweils mehrere Jahrzehnte DV-Erfahrung. Baumann, in den Achtzigern deutscher Vertriebschef bei Philips, war zuletzt drei Jahre lang CEO bei Zimory, einem Anbieter von Cloud-Management-Software. Der technikaffine Simon beschäftigt sich seit 1996 mit dem Thema Datenschutz. "Irgendwann habe ich begriffen, dass man dieses Thema ins Rechenzentrum zurückholen muss", sagt er. Das leuchtete Baumann ein, dem schon zweimal die Kreditkarte gehackt worden war. Sie gründeten Tokey und entwickelten zwei Jahre lang das Tokey-Verfahren. "Bei uns liegen nirgendwo Authentisierungsdaten, die man stehlen könnte, die Sicherheit steckt im Prozess", erklärt Simon. Der Nachteil: Der Benutzer braucht ein Smartphone, sonst funktioniert das Verfahren nicht.
Den Tokey-Dienst kann man über die Website www.tokey.net testen. Um die Infrastruktur mit Leben zu füllen, sucht das Unternehmen jetzt renommierte Partner, die Sicherheits-Server aufstellen würden, beispielsweise Sparkassen, oder auch Hersteller wie Wincor-Nixdorf, die sich auf Bankautomaten und Kassensysteme spezialisiert haben. Geld will Tokey mit geringen Cent-Beträgen pro Transaktion verdienen, die Shop- oder Servicebetreiber bezahlen, die den Dienst nutzen. "Wir setzen hier aufs Massengeschäft", sagt Baumann.
Vor FIDO ist dem Tokey-Management nicht bange. Bauman: "Unser Verfahren ist absolut sicher, typisch Made in Germany eben."