Immer mehr Unternehmen erkennen – nicht zuletzt durch die Vielzahl von Medienberichten über Informationslecks – dass die gestiegenen Sicherheitsanforderungen sich nicht durch strengere Passwortregeln und komplexere Passworte abdecken lassen. Die Anwender sind durch die bloße Anzahl an zu merkenden Passworten überfordert, die HelpDesks ebenso – durch die steigende Flut an Passwortrücksetzungen.
Neben einem strategisch wichtigen Autorisierungsmanagement entdecken immer mehr Unternehmen jedoch auch die Möglichkeiten, althergebrachte Nutzername/Passwort Kombinationen durch moderne, flexible und anwenderfreundliche Technologien zu ersetzen. Vor dem Hintergrund der wachsenden Bedeutung solcher Alternativen erarbeitet Kuppinger Cole derzeit eine umfassende Übersicht, welche Methoden, Technologien und Konzepte Sie in Ihrer Authentisierungsstrategie berücksichtigen sollten. Als kleinen Vorgeschmack präsentieren wir Ihnen im Rahmen dieses Beitrags grundlegende Neuerungen und Ansätze.
Als Einstieg bietet sich eine grobe Klassifizierung an, die Zugleich Übersicht und Ordnung verschafft - hierbei wird schnell deutlich, dass es bei Authentisierung um weit mehr als nur Tokens und SmartCards geht. Das Thema lässt sich viel mehr in Ebenen unterteilen:
Hardware
- SmartCards und Token zur Authentisierung, einschließlich dem Sonderfall der Soft-Tokens
- Kartenleser für kontaktlose und kontaktbehaftete Kartentechnologien
Client-Software:
- Middleware im Sinne von Software für unterschiedliche SmartCard-Betriebssystem
- Management - Software: spezielle Funktionen für die Tokens, soweit spezifisch erforderlich
Zentrale/Server Software:
- Versatile Authentication Platforms (VAP). Kombination verschieden starker und schwächerer Authentifizierungsmechanismen, die flexibel kombiniert werden können
- Schnittstellensysteme, die sich an VAP binden (z.B. Windows, WebAccess)
- Context-based/Risk-based Systeme, die bei Verdacht auf Betrug automatisch VAPs nutzen um stärkere/andere Verfahren einzubinden (step-up authentication)
- Zentral gesteuerte SSO-Mechanismen(mit VAP Unterstützung)
Diese Aufstellung erhebt keinen Anspruch auf Vollständigkeit und soll an dieser Stelle nur eine Idee von Bandbreite der Marktanalyse vermitteln, die Kuppinger Cole in diesen Report einfließen lässt. Die an Bedeutung zunehmende Diskussion rund um das User-centric Identity Management verlangt die Einbeziehung der - vornehmlich für Web(-applikationen) entwickelten OpenID und CardSpace Technologien. Diese erlangen im Zusammenspiel mit Federation Technologien und dem Management externer Identitäten große Bedeutung, die sich durch ein zukünftiges Zusammenspiel zwischen PKIs und Information Cards noch erweitern würde.
Gerade das Thema PKI (und die hierin verwalteten Zertifikate) erlebt eine Renaissance, da heute mehr und Technologien auf eine PKI als Teil der Infrastruktur bauen. Eine PKI ist damit nicht mehr Selbstzweck, sondern unterstützt die Sicherung der Kommunikation und bildet die Grundlage für Information Rights Management (IRM) und Data Leakage Prevention (DLP). Mit der Diskussion der PKI werden auch Kernthemen wie Prozessunterstützung und Management angeschnitten, die für eine erfolgreiche Authentisierungsstrategie betrachtet werden müssen. Hierbei stehen für Karten und Token die Token Lifecycle Management Prozesse sowie die Kombination von Authentisierung für physische und logische Sicherheitssysteme im Vordergrund.
Das Ziel jeder Authentisierungsstrategie sollte sein, die gesteckten Sicherheitsziele so flexibel und einfach wie möglich zu übertreffen, ohne den Anwender oder Administratoren technisch oder organisatorisch zu überlasten. Der anstehende Report wird hierfür Orientierung bieten und Informationen zur Entscheidungsfindung beitragen!