Rückruf

Bitte füllen Sie alle mit * gekennzeichneten Felder aus

Was ist die Summe aus 8 und 5?

Sie haben Fragen oder benötigen Beratung?

Zögern Sie nicht und rufen Sie uns an:

+49 (0) 7133 /95 79 59 - 0

Kontakt
Bergsteiger

Workplace Authentifizierung
Unabhängigkeit gewinnen

Die Authentifizierung: Der Beginn nahezu jedes digitalen Prozesses

Der erste Vorgang ist die Authentifizierung

Nahezu täglich, im Home-Office oder im Büro, starten wir unseren PC. Der erste Vorgang überhaupt ist die Authentifizierung, also die Anmeldung am System. Dazu werden üblicherweise ein Benutzer-Kennwort und Passwort verwendet. Stimmen diese mit dem im System hinterlegten Daten überein, dann wird der Zugang zum System gewährt.

Doch wer verwaltet eigentlich diese Zugangsdaten?

Das Betriebssystem verwaltet diese Daten auf mehr oder weniger transparente Weise. Als Anwender können wir die vom Betriebssystem zur Verfügung gestellten Werkzeuge nutzen, um Benutzer-Konten zu verwalten. Der Benutzer selbst kann ebenfalls über Werkzeuge des Betriebssystems sein Passwort verwalten. Dadurch kann niemand innerhalb einer Organisation das Passwort entschlüsseln.

Aber wer hat die Kontrolle darüber?

Das Benutzer-Kennwort und das Passwort werden bei der Benutzer-Anmeldung im Klartext eingegeben. Also erhält das Betriebssystem, und dadurch indirekt auch der Betriebssystem-Hersteller diese Daten.

Natürlich gehen wir davon aus, dass der Hersteller mit den Anmeldedaten korrekt umgeht. Aber aus technischer Sicht wäre es möglich, diese Daten an einen anderen Server außerhalb des eigenen Netzwerkes zu übertragen, wenn der Rechner z.B. mit dem Internet verbunden wäre.

Dasselbe gilt natürlich nicht nur für Desktop-Betriebssysteme, sondern auch für alle Arten von WebDiensten.

3 Die Optionen

Es stehen verschiedene Optionen zur Verfügung, um mehr Kontrolle über die Authentifizierung zu erlangen.

2-Faktor-Authentifizierung

Um Zugänge zu schützen, wird oft eine 2-Faktor Authentifizierung Diese benötigt zur Freischaltung einen weiteren Faktor wie z.B. einen Pin. verwendet. Im angesprochenen Fall würde diese Vorgehensweise aber keinen Vorteil bringen, da der 2. Faktor ja im System hinterlegt wäre.

Authentifizierung ohne Passwort

Die einzige Lösung, die einen Missbrauch der Anmeldedaten verhindern könnte, wäre eine Authentifizierung ohne Passwort. Wird kein Passwort verwendet, kann dieses auch nicht missbraucht werden. Es gibt mittlerweile verschiedene Möglichkeiten einer Authentifizierung ohne Passwort.

  • Authentifizierung über Smartcards
    Die Authentifizierung über Smartcards ist sowohl am Windows Desktop als auch am Remote Desktop möglich. Aktuell gibt es aber keinen Standard bzw. Implementierungen für Web-Anwendungen oder mobile Geräte. Dazu wird eine Smartcard benötigt, die mit entsprechenden Schlüsseln versehen werden muss.
  • Authentifizierung über moderne Protokolle
    Seit einiger Zeit unterstützten auch Standard-Betriebssysteme z.B. die Authentifizierung über das FIDO2-Protokoll. Dies gilt sowohl für die lokale Anmeldung als auch über Verzeichnisdienste. Es gibt auch Implementierungen für nahezu alle Browser, sodass diese Option auch für Web- Anwendungen geeignet ist. Mobile Geräte werden ebenfalls unterstützt.

    Allerdings wird hier i.d.R. ein Hardware-Token z.B. mit USB-Schnittstelle sowie eine einmalige Registrierung benötigt. Der Benutzer kann seinen Pin über entsprechende Tools des Token-Herstellers bestimmen.

Authentifizierung über den digitalen Personalausweis

Der digitale Personalausweis ist bereits seit einigen Jahren verfügbar, wird aber bisher hauptsächlich für die Identifizierung eingesetzt. Laut Schätzungen sollen 2021 über 40 Millionen Ausweise mit aktivierter Online-Ausweisfunktion existieren.

Sieht man jedoch die Authentifizierung als eine Art „Identifizierung light“ an, so können verfügbare Möglichkeiten einfach genutzt werden.

Warum der digitale Personalausweis?

  • Der ePerso kann für die Authentifizierung UND Identifizierung eingesetzt werden.
  • Hinter dem ePerso steht die Autorität eines Staates.
  • Der ePerso benötigt für eine Organisation einen geringen Verwaltungsaufwand
  • Bei Verlust des ePerso gibt es eine 24/7 SperrHotline.
  • Der ePerso garantiert höchstmögliche Sicherheit durch entsprechende Zertifikate, welche aktuell nur eine Instanz ausstellen kann.

Die Autorität eines Staates und die damit verbundene Unabhängigkeit und Sicherheit haben den Ausschlag gegeben, eine Implementierung der Authentifizierung über den elektronischen Personalausweis in unsere Lösung durchzuführen.

Dadurch möchten wir unseren Beitrag für mehr digitale Souveränität leisten.

Workplace Module mit elektronischem Personalausweis