Wie funktioniert die Authentifizierung?
Die Authentifizierung sollte eine zentrale Komponente der Cybersicherheitsstrategie sein. Hier erfahren Sie, warum.
Immer wieder machen Probleme mit der Cybersicherheit Schlagzeilen. Fälle aus jüngerer Vergangenheit wie bei SolarWinds, Colonial Pipeline und Microsoft Exchange Server machen deutlich, wie anfällig Systeme für Datenschutzverstöße und Ransomware-Angriffe sind.
In vielen Ländern weltweit werden die Sicherheitsmaßnahmen verschärft. Anfang 2021 unterzeichnete US-Präsident Biden eine Verfügung zur Stärkung der Cybersicherheit in den USA. Die Verfügung sieht vor, dass die Weitergabe von Informationen zur Cyberbedrohung durch juristische Personen aus dem privaten und öffentlichen Bereich verpflichtend ist. In der Vorgängerregelung, dem Gesetz zu Cybersecurity aus dem Jahr 2015, war die Weitergabe noch freiwillig.
Angesichts dieser Neuerung und unserer fortlaufenden Reihe zum Thema „Verbesserter Schutz vor Cyberangriffen“ ist dies unserer Auffassung nach der ideale Zeitpunkt, um einen etwas genaueren Blick auf die Authentifizierung zu werfen.
Was ist Authentifizierung?
Allgemein ist Authentifizierung der Vorgang zur Prüfung der Identität eines Benutzers, eines Servers oder einer Client-App vor der Erteilung des Zugriffs auf eine geschützte Ressource.
Zur clientseitigen Authentifizierung kommen Kombinationen aus Benutzername und Passwort, Tokens und andere Techniken zum Einsatz. Bei der serverseitigen Authentifizierung werden Zertifikate zur Identifizierung vertrauenswürdiger Dritter herangezogen. Wie der Name schon sagt, werden bei der Zwei-Faktor-Authentifizierung (wie im CNAP-Vorschlag) zwei Authentifizierungsarten miteinander kombiniert.
Mit Benutzernamen und Passwörtern sind wir alle vertraut. Tokens und Zertifikate sind dagegen eventuell weniger bekannt.
Was hat es mit Tokens und Zertifikaten auf sich?
Tokens
Ein Token ist eine Form der Claims-basierten Authentifizierung, die durch die Präsentation einer gültigen und signierten Information erreicht wird. Tokens lassen sich also etwa mit einer Bordkarte bei einem Flug vergleichen. Schließlich zeigen die Passagiere am Flugsteig auch nicht nur ihren Reisepass vor. Sie werden anhand eines Lichtbildausweises und des Tickets authentifiziert und erhalten daraufhin ihre Bordkarte. Die Bordkarte ist sozusagen der verifizierte Claim, den die Fluggesellschaft über die Passagiere macht.
Zertifikate
Ein digitales Zertifikat ist ein elektronisches Dokument, mit dem der Besitz eines privaten Schlüssels belegt wird und mit dem Vertrauen zwischen dem Eigentümer und einer Einheit, die mit diesem Eigentümer kommunizieren will, aufgebaut wird. Neben den Informationen über den privaten Schlüssel und dessen Eigentümer enthält ein digitales Zertifikat die digitale Signatur eines Unterzeichners, der die Authentizität des Inhalts bescheinigt. Letztlich wird so bestätigt, dass die Kommunikation mit der richtigen Einheit bzw. dem richtigen Eigentümer stattfindet.
Eine besonders wichtige Rolle spielen Zertifikate für HTTPS-basierte Websites. In diesem Fall validiert ein Webbrowser die Authentizität eines Webservers und stellt damit sicher, dass die Website tatsächlich diejenige ist, die sie zu sein vorgibt, und dass die Kommunikation zwischen Benutzer und Website sicher ist.
Darum ist die Authentifizierung eine zentrale Komponente Ihrer Sicherheitsinfrastruktur
Was Ihr System für physische Sicherheit anbelangt, ist die Authentifizierung ein wichtiges Tool, das dafür sorgt, dass die richtige Person auf Ihre Ressourcen zugreift. Sie verhindert unbefugten Zugriff und sorgt bei der Anmeldung dafür, dass Ihr Sicherheitspersonal und niemand anderes auf Ihr System zugreift. Somit können Hacker nicht vorgeben, ein Sicherheitsserver zu sein, und können weder die Kontrolle über Ihre wertvollen und vertraulichen Daten erlangen noch sie manipulieren oder kopieren.
Sobald diese Identitäten authentifiziert wurden, besteht der nächste Schritt zum verbesserten Schutz vor Cyberangriffen darin, den Zugriff auf die verschiedenen Bereiche Ihres Sicherheitssystems zu verwalten.
In diesem Blogeintrag erfahren Sie mehr über Autorisierungsmechanismen.