Tokenlose Zwei-Faktor-Authentifizierung im Einsatz bei Behörden Doppelt sicher für die Öffentliche Hand

Autor / Redakteur: Steve Watts, SecurEnvoy / Susanne Ehneß

Ob Ordnungsbeamter, Straßenmeister oder Mitarbeiter des Wasserwerks: Personal in Öffentlichen Verwaltungen arbeitet oft von unterwegs. Per Login aus der Ferne greift es auf IT-Netzwerke von Gemeinden zu, um dort Aufträge zu dokumentieren. Zur Identifizierung werden vielerorts Zwei-Faktor-Authentifizierungssysteme genutzt – eine kostspielige Option.

Anbieter zum Thema

Kosteneffektiv arbeiten Lösungen ohne Token, die das stets „am Mann“ befindliche Smartphone oder Tablet nutzen
Kosteneffektiv arbeiten Lösungen ohne Token, die das stets „am Mann“ befindliche Smartphone oder Tablet nutzen
(Bild: SecurEnvoy)

Traditionelle Token, wie beispielsweise Smartcards, werden in vielen Firmen und Regierungsbehörden neben den Login-Daten zur Legitimierung genutzt. Nachteilig an dieser Methode sind vor allem die Kosten. Denn die Geräte müssen angeschafft, gewartet und ausgetauscht werden, falls sie abhandenkommen oder gestohlen werden. Manche Token haben einen festgelegten Lebenszyklus, nach dessen Ablauf sie ausgetauscht werden müssen. Alles in allem summieren sich oftmals immense laufende Kosten. Hinzu kommen Verzögerungen im Arbeitsablauf, wenn das Token beispielsweise defekt ist oder vergessen wurde.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

Einen anderen Weg gehen tokenlose Zwei-Faktor-Authentifizierungsmethoden: Sie nutzen bereits vorhandene Mobilgeräte wie Handys, Smartphones, Laptops oder Tablets als Authentifizierungswerkzeuge. Ein Beispiel dafür ist die Lösung „SecurAccess“ von SecurEnvoy. Sie sendet dynamische Passcodes, bestehend aus sechs Ziffern, per SMS oder eMail an die Mobilgeräte der Mitarbeiter. Die Passwörter bilden zusammen mit den Login-Daten die tokenlose Zwei-Faktor-Authentifizierung.

Ohne Token geht's auch

Einzig die korrekte Kombination der Faktoren „Wissen“ (die persönlichen Login-Daten) und „Besitz“ (das Mobilgerät, das den Passcode übermittelt) ermöglicht den Zugriff auf das Netzwerk.

Den Wechsel von Smartcards auf eine tokenlose Lösung vollzog zum Beispiel die niederländische Provinz Gelderland. Sie ist flächenmäßig die größte aller zwölf Provinzen, in insgesamt 56 Städten und Gemeinden wohnen knapp zwei Millionen Einwohner. Die Verwaltungsarbeit übernehmen am Stammsitz in Arnhem und einigen Nebenstellen knapp 1.500 Mitarbeiter.

Blick zu den Nachbarn

Alle setzten bislang die Smartcard-Methode ein, die allerdings häufig nicht funktionierte. Dadurch kam es zu zahlreichen Helpdesk-Anrufen der Remote-Mitarbeiter sowie Verspätungen bei den Aufträgen. Card Reader stellen des Weiteren ein Problem dar, wenn Angestellte von zu Hause aus oder mittels persönlichen Endgeräts arbeiten. Dazu gibt es oft Schwierigkeiten, die korrekten Zertifikate für die Smartcards auszustellen. Die oft eingeschränkte Nutzung der Karten brachte die Provinz Gelderland dazu, über einen Produktwechsel nachzudenken. Über einen niederländischen IT-Provider erfuhren die Verantwortlichen von „SecurAccess“ und entschlossen sich dazu, die tokenlose Technologie zu installieren.

„Uns erschien es als logischer nächster Schritt, die physischen Smartcards durch die per SMS oder eMail bereitgestellten Passcodes zu ersetzen”, resümiert Andre Dankers, Senior Infrastructure Manager der Provinz Gelderland. „Anstatt wie bisher rund 50 Minuten benötigen wir seitdem nur noch etwa 30 Sekunden, um einen Nutzer in das tokenlose Authentifizierungssystem einzubinden. Noch betreiben wir beide Lösungen – Smartcards und „SecurAccess‘ – parallel, aber unsere Absicht ist es, das alte System im Laufe dieses Jahres komplett abzusetzen.“

Blick nach London: Ein Bezirk der britischen Hauptstadt griff acht Jahre remote auf ein Netzwerk zu. Lesen Sie weiter!

(Bild: SecurEnvoy)
Ähnliche Erfahrungen machten die Mitglieder des Stadtbezirks Royal Borough of Kensington and Chelsea in London: Der Bezirk am westlichen Rand der englischen Hauptstadt beschäftigt Tausende öffentliche Angestellte, die sich um die Belange der rund 150.000 Einwohner kümmern. Das remote arbeitende Personal griff für rund acht Jahre mittels eines Token-basierten Systems auf das Netzwerk zu. Nötig war dazu ein physisches Token, das Zugangscodes für die Authentifizierung erzeugte.

Zeitraubend

Diese Methode stellte sich jedoch als zeitraubend und unsicher heraus. Token gingen verloren oder wurden in Laptops steckengelassen. Durch ständige Neuanschaffungen stiegen die Betriebskosten. Davon abgesehen bedeutete jede weitere Token-Vergabe einen beträchtlichen Verwaltungsaufwand und einen zeitintensiven Prozess für den Mitarbeiter. Denn der Betroffene musste zuerst ein Formular ausfüllen und anschließend einen Termin für die persönliche Token-Übergabe vereinbaren – die Zusendung mit der Post kam nicht in Frage.

Dann entdeckten die Verantwortlichen, wie nah die Lösung lag: Mehr als 1.000 Mitarbeiter waren bereits mit Mobiltelefonen ausgestattet worden – ließe sich diese Investition nicht vielleicht nutzen, um die Kosten für Token einzusparen? Mit der Installation der neuen Lösung war das möglich.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

„Mit der neuen Authentifizierungslösung haben wir dem Nutzer die Verantwortung für sein Token abgenommen“, erläutert Russell Hookway, Network & Telecommunications Manager des Royal Borough of Kensington and Chelsea. „Denn in der Vergangenheit erlebten wir einige Fälle, wo das Personal das Token entweder verlegte oder es eingesteckt im Laptop ließ. Solche Versehen waren eine enorme Belastung für das IT-Support-Team.“

VPN zu unsicher

Für remote arbeitendes Personal setzen Unternehmen wie Behörden oft zumindest eine VPN (Virtual Private Network) -Verbindung ein, um die Mitarbeiter zu identifizieren. Diese Vorgehensweise benötigt nur Benutzername und Passwort – zu unsicher nach Meinung des Stadtparlaments der schottischen 140.000-Einwohner-Stadt Dundee. Es unterliegt den Anforderungen des Scottish Government’s Code of Conduct and Compliance (CoCo) für Kommunalbehörden, die spezielle Sicherheitsrichtlinien bezüglich des Government Secure Extranet (GSX) fordern.

Flexibel bleiben

Aus diesem Grund hat das Stadtparlament die VPN-Anmeldung mit einer tokenlosen Zwei-Faktor-Authentifizierungsmethode verstärkt. Per SMS erhält der Mitarbeiter einen sechsstelligen Passcode, den er beim Anmeldevorgang zusammen mit Benutzername und Passwort eingibt. Für jeden Login erhält er einen neuen, dynamisch generierten Code; die bereits eingegebenen sind umgehend ungültig.

„Wir wollten die Sicherheit unserer Virtual Private Networks verbessern." ... Lesen Sie weiter!

Fazit

(Bild: SecurEnvoy)
„Wir wollten die Sicherheit unserer Virtual Private Networks verbessern. Der einfache und sichere Zugangsprozess zum Netzwerk via SMS sagte uns sofort zu“, berichtet Graeme Quinn, IT Team Leader des Dundee City Council. „Fast jeder hat heutzutage ein Handy. Dadurch lassen sich die Gesamtkosten eingrenzen. Zurzeit nutzen wir rund 1.000 Lizenzen, für die Zukunft planen wir weitere. Unsere Anforderungen verändern sich ständig, und es ist gut zu wissen, dass wir diese mit der vorhandenen Authentifizierungstechnologie unkompliziert bewältigen können.“

Fazit

In Netzwerken von Behörden, Gemeinden und Stadtverwaltungen finden sich Tausende sensible Daten. Um diese adäquat zu schützen, richten die Verwaltungen meist zusätzliche Sicherungsmechanismen wie Zwei-Faktor-Authentifizierungen ein. Mit der tokenlosen Methode, die die zur Identifizierung notwendigen Passcodes per SMS oder eMail an das mobile Endgerät übermittelt, lassen sich Kosten sparen. Denn die Wartung entfällt, außerdem sind Mobilgeräte wie Handys, Smartphones und Laptops meist ohnehin bereits vorhanden; ob nun als geschäftliche Investition oder Privatgerät.

Da keinerlei Software oder Ähnliches auf privaten Geräten installiert werden muss, um den Passcode zu übermitteln, müssen sich die Verantwortlichen auch keine Sorgen um verletzte Privatsphäre oder „aufoktroyierte“ Programme machen.

(ID:42787343)