Access Control, Teil 2: Was Access Control im mobilen Web bedeutet

Viele Unternehmen öffnen sich gerade für die neuen Möglichkeiten von Cloud, Social Business und Mobile Commerce. Doch allzu offen sollte der Zugang lieber nicht sein, denn die neue Flexibilität gibt neue Gelegenheiten für Identitätsdiebe. Hier ist eine genaue Zugangskontrolle gefragt.

Dieser Beitrag ist mehr als 10 Jahre alt.
Bild: pogonici

Mobil durchs Social Scheunentor

Von Oliver Schonschek

Wenn man die Liste der aktuellen Top-Gefahren liest, die von der ENISA (European Union Agency for Network and Information Security) erstellt wird, entdeckt man dieselben Themen, die auch die führenden Analystenhäuser als Zukunftstrends der IT sehen: Mobile, Cloud und Social. Konkret warnt die ENISA vor einem Zuwachs der Bedrohungen für IT-Infrastrukturen durch gezielte Angriffe, mobile Geräte und Social Media durch Identitätsdiebstähle mithilfe von Cloud-Services.

Das ist einerseits nicht erstaunlich, denn wo sich Menschenmengen tummeln, warten immer schon die Diebe. Andererseits bedeutet diese Warnung, dass sich gerade kleine und mittlere Unternehmen noch besser schützen müssen, wenn sie die Vorteile von Cloud Computing, Mobile Business und Social Media für sich nutzen wollen.

Flexibler Zugang für Einbrecher

Ein wesentlicher Vorteil von Mobile und Cloud Computing ist die große Flexibilität beim Zugang zu IT-Ressourcen. Unabhängig von Raum und Zeit, so könnte man sagen, lassen sich Cloud-Anwendungen über mobile Endgeräte nutzen, sofern die Internet-Verbindung gut genug ist.

Mit der hohen Flexibilität ist aber auch ein großes Risiko verbunden: Mobile Endgeräte können verloren gehen, nur mit einem einfachen Passwort geschützte Cloud-Zugänge können geknackt werden – ebenfalls von jedem Ort der Welt aus, der Internet-Zugang bietet, und zu jeder Zeit. Nicht nur Unternehmen und Nutzer profitieren also von Cloud-Diensten und mobilen Geräten, sondern auch die Datendiebe. Deshalb müssen Unternehmen die Zugangskontrolle weitaus ernster nehmen als bisher. Wo z.B. Cloud-Passworte auf mobilen Endgeräten gespeichert sind, kommt der Smartphone-Verlust einem Verlust des Schlüssels zum Firmengebäude und Serverraum gleich.

Serie: Access Cotrol
Teil 1 meldet sich mit der Unterscheidung zwischen Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle an. Teil 2 gibt zu bedenken, dass Cloud-Passwörter und Social Sign-ins Firmenzugriff auch von außerhalb ermöglichen. Teil 3 sieht sich eine Reihe von konkreten Lösungen an, die eine bessere Zugangskontrolle ermöglichen sollen.

Totalverlust von Universalschlüsseln

Damit nicht jeder Webbrowser zur Hintertür in die betrieblich genutzte Cloud wird, sollten Sie neben starken Passworten auch zusätzliche Sicherheitsfaktoren für die Cloud-Zugänge des Unternehmens vorsehen, etwa Einmalpassworte, die das Benutzerpasswort ergänzen müssen, wie z.B. bei Securepoint HandyID oder RSA SecurID.

Bei einem Cloud-Zugang via Smartphone sei an dieser Stelle nochmals davor gewarnt, das Einmalpasswort an eben dieses Smartphone senden zu lassen. Nicht umsonst ist laut Kundenbedingungen für das Onlinebanking die Verwendung des mobileTAN-Verfahrens über nur ein Smartphone verboten, wenn dieses für das mobile Banking und für den mTAN-Empfang genutzt werden soll.

Immer online, immer in Gefahr

Der Zugang zu Social Media braucht ebenfalls einen besseren Schutz. Stellen Sie sich vor, dass ein Datendieb den Social-Media-Zugang eines Mitarbeiters erlauscht und damit Unwahrheiten über Ihr Unternehmen verbreitet oder gar Schadsoftware, die Ihre Kunden heimsucht. Der Image-Schaden dürfte enorm sein.

Deshalb sollte man die Passworte für soziale Netzwerke wie Xing, LinkedIn, Facebook etc. genauso stark wählen wie die Netzwerkpassworte. Es dürfen natürlich nicht dieselben sein. Es versteht sich, dass auch die Social-Media-Passworte nicht auf dem Smartphone gespeichert werden dürfen, zumal Facebook und das übrige Social Web zunehmend mobil und nahezu ohne Unterbrechung genutzt werden.

Beim Verlust von Tablet oder Smartphone droht genau der Social-Media-Identitätsdiebstahl, vor dem die ENISA warnt, wenn die Zugangsdaten mobil gespeichert oder zu simpel ausgewählt sind. Wie eine Kaspersky-Umfrage zeigt, speichern immer noch zu viele Nutzer ihre Zugangsdaten für sensible Nutzerkonten auf Smartphones.

Fazit: Zugänge zusätzlich sichern

Das heißt nicht, dass Sie sich die Chancen der neuen IT-Trends entgehen lassen müssen. Es heißt aber, dass Sie den notwendigen Datenschutz bei Cloud, Mobile und Social nicht übersehen dürfen. Die klassische Zugangskontrolle über Passwortabfragen genügt in einer zunehmend riskanten IT-Welt nicht mehr.

Der dritte Teil dieser Serie betrachtet deshalb verschiedene Lösungen, die genau dazu gedacht sind, Ihre Zugangskontrolle zu optimieren und zu stärken.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.

Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links