Áú»¢¶·ÔÚÏß

Immer wieder machen Probleme mit der Cybersicherheit Schlagzeilen. F?lle aus j¨¹ngerer Vergangenheit wie bei SolarWinds, Colonial Pipeline und Microsoft Exchange Server machen deutlich, wie anf?llig Systeme f¨¹r Datenschutzverst??e und Ransomware-Angriffe sind.

In vielen L?ndern weltweit werden die Sicherheitsma?nahmen versch?rft. Anfang 2021 unterzeichnete US-Pr?sident Biden eine zur St?rkung der Cybersicherheit in den USA. Die ³Õ±ð°ù´Ú¨¹²µ³Ü²Ô²µ sieht vor, dass die Weitergabe von Informationen zur Cyberbedrohung durch juristische Personen aus dem privaten und ?ffentlichen Bereich verpflichtend ist. In der Vorg?ngerregelung, dem Gesetz zu Cybersecurity aus dem Jahr 2015, war die Weitergabe noch freiwillig.

Angesichts dieser Neuerung und unserer fortlaufenden Reihe zum Thema ?Verbesserter Schutz vor Cyberangriffen¡° ist dies unserer Auffassung nach der ideale Zeitpunkt, um einen etwas genaueren Blick auf die Authentifizierung zu werfen.  

Was ist Authentifizierung?

Allgemein ist Authentifizierung der Vorgang zur Pr¨¹fung der Identit?t eines Benutzers, eines Servers oder einer Client-App vor der Erteilung des Zugriffs auf eine gesch¨¹tzte Ressource.  

Zur clientseitigen Authentifizierung kommen Kombinationen aus Benutzername und Passwort, Tokens und andere Techniken zum Einsatz. Bei der serverseitigen Authentifizierung werden Zertifikate zur Identifizierung vertrauensw¨¹rdiger Dritter herangezogen. Wie der Name schon sagt, werden bei der Zwei-Faktor-Authentifizierung (wie im CNAP-Vorschlag) zwei Authentifizierungsarten miteinander kombiniert. 

Mit Benutzernamen und Passw?rtern sind wir alle vertraut. Tokens und Zertifikate sind dagegen eventuell weniger bekannt. 

Was hat es mit Tokens und Zertifikaten auf sich?

Tokens

Ein Token ist eine Form der Claims-basierten Authentifizierung, die durch die Pr?sentation einer g¨¹ltigen und signierten Information erreicht wird. Tokens lassen sich also etwa mit einer Bordkarte bei einem Flug vergleichen. Schlie?lich zeigen die Passagiere am Flugsteig auch nicht nur ihren Reisepass vor. Sie werden anhand eines Lichtbildausweises und des Tickets authentifiziert und erhalten daraufhin ihre Bordkarte. Die Bordkarte ist sozusagen der verifizierte Claim, den die Fluggesellschaft ¨¹ber die Passagiere macht.   

Zertifikate

Ein digitales Zertifikat ist ein elektronisches Dokument, mit dem der Besitz eines privaten Schl¨¹ssels belegt wird und mit dem Vertrauen zwischen dem Eigent¨¹mer und einer Einheit, die mit diesem Eigent¨¹mer kommunizieren will, aufgebaut wird. Neben den Informationen ¨¹ber den privaten Schl¨¹ssel und dessen Eigent¨¹mer enth?lt ein digitales Zertifikat die digitale Signatur eines Unterzeichners, der die Authentizit?t des Inhalts bescheinigt. Letztlich wird so best?tigt, dass die Kommunikation mit der richtigen Einheit bzw. dem richtigen Eigent¨¹mer stattfindet.   

Eine besonders wichtige Rolle spielen Zertifikate f¨¹r HTTPS-basierte Websites. In diesem Fall validiert ein Webbrowser die Authentizit?t eines Webservers und stellt damit sicher, dass die Website tats?chlich diejenige ist, die sie zu sein vorgibt, und dass die Kommunikation zwischen Benutzer und Website sicher ist.   

Darum ist die Authentifizierung eine zentrale Komponente Ihrer Sicherheitsinfrastruktur

Was Ihr System f¨¹r physische Sicherheit anbelangt, ist die Authentifizierung ein wichtiges Tool, das daf¨¹r sorgt, dass die richtige Person auf Ihre Ressourcen zugreift. Sie verhindert unbefugten Zugriff und sorgt bei der Anmeldung daf¨¹r, dass Ihr Sicherheitspersonal und niemand anderes auf Ihr System zugreift. Somit k?nnen Hacker nicht vorgeben, ein Sicherheitsserver zu sein, und k?nnen weder die Kontrolle ¨¹ber Ihre wertvollen und vertraulichen Daten erlangen noch sie manipulieren oder kopieren.   

Sobald diese Identit?ten authentifiziert wurden, besteht der n?chste Schritt zum verbesserten Schutz vor Cyberangriffen darin, den Zugriff auf die verschiedenen Bereiche Ihres Sicherheitssystems zu verwalten. 

In diesem Blogeintrag erfahren Sie mehr ¨¹ber Autorisierungsmechanismen.