Security-Bausteine, Teil 3: Zwei Faktoren – Authentifizierung und Backup
Die Miniserie für ein schlankes und schlagkräftiges Securityprogramm zeigt, warum zwei Faktoren besser sind als einer, und was das Ganze mit Backups zu tun hat.
(Bild: iX)
- David Fuhr
U2, 2Pac, 2pperware – wir Menschen lieben die Zwei als Konzept, kann sie doch Gegensatz bedeuten wie bei Red Team gegen Blue Team, Komplementarität (Blau und Orange in Goethes Farbmodell) oder Dualität wie bei den sprichwörtlichen zwei Seiten einer Medaille. Nicht zuletzt leitet sich die Macht der Quantencomputer daraus ab, dass sie die binäre Grenze auflösen. Und so braucht natürlich auch die Security ihre B-Seite, ihren Vize, ihr "+ 1". Verkörpert wird diese am offensichtlichsten (ein unnötigerweise binäres, angeblich nicht steigerbares Adjektiv …) im Fachbegriff 2FA – Zwei-Faktor-Authentifizierung, zu Deutsch: Bitte noch einen Beweis, dass du es bist, sonst glaube ich dir nicht!
MFA, mit freundlichen Grüßen
Eigentlich lautet das Konzept MFA, also Mehr-Faktor-Authentifizierung. Heißt: Wenn ich meine Identität (siehe "Teil 2: Ein Passwort" dieser Artikelserie) beweisen will, muss ich Nachweise aus mehreren verschiedenen Klassen von Beweismöglichkeiten anführen, etwa etwas, das ich weiß (zum Beispiel ein Passwort), etwas, das ich habe (zum Beispiel ein Hardwaretoken), und/oder etwas, das ich "bin" (zum Beispiel mein Fingerabdruck). Faktor heißt: Wenn ich einen der Nachweise nicht erfolgreich bringe, ist das ganze Produkt 0 und ich werde abgewiesen.
Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele. Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm.
- Teil 1: Null Vertrauen: Zero-Day und Zero Trust
- Teil 2: Ein Passwort: Assets und Zugriff
- Teil 3: Zwei Faktoren: Authentifizierung und Backup
- Teil 4: Drei Werte: CIA or DIE
- Teil 5: Vier Levels: Risiko und Security-Levels
- Teil 6: Fünf Bedrohungen: Threats und Models
In aller Regel kommt MFA heute in der Dosierung 2FA daher: Passwort und SIM-Karte (SMS), Passwort und Hardwaretoken, Passwort und Handy (Authenticator-App) sind hier die Klassiker. Und dieses "+1" erhöht die Stärke der Authentifizierung – ein mathematischer Effekt der Produktbildung aus Faktoren – so sehr, dass 2FA heute zu Recht als eine der stärksten Standardsecuritymaßnahmen gilt und sich, ebenfalls zu Recht, sehr schnell zum Stand der Technik entwickelt. In einigen Bereichen wie Zahlungsdienstleistungen ist 2FA seit einigen Jahren sogar vorgeschrieben.
Alles hat ein Ende – nur die Zwei ist nicht wurst
Dabei ist Authentifizierung keineswegs die einzige Stelle in der Security, an der ein zweiter Faktor zum Einsatz kommt. Nur wird es anderswo weniger explizit gemacht: Statt 2FAAA (Zwei-Faktor-Authentifizierung, -Autorisierung und -Accounting), 2PF (Doppelfirewall) oder 2Zonen (DMZ) sagen wir schlicht "Defense in Depth", gestaffelte Verteidigung. Und während dieses Jahrtausende alte militärische Konzept als Leitprinzip für Sicherheitsarchitekturen grundsätzlich nützlich ist, verschleiert es doch, welche Maßnahme ein zweiter (oder dritter) Faktor für welches andere Sicherheitsziel ist.
Klar wird das Ganze sehr schön am Thema Backup. Im Prinzip versteckt sich die Zwei hier schon im ersten Teil des Begriffs: Wenn ich nie "zurück" (back) muss, weil ich immer "up" (am Laufen und dran) bin, brauche ich mein Backup nie! Es handelt sich also hierbei um einen zweiten Faktor der Verfügbarkeit.
Moment, möchte man sagen: Ich brauche doch nur entweder meine Produktivdaten oder mein Backup, um arbeitsfähig zu bleiben, also ist es gerade kein Faktor im Sinn von UND, also ich brauche beide! Stimmt, aber aus Angreifersicht stellt es sich so dar: Wenn ich nur die Produktivdaten oder nur das Backup vernichte oder verschlüssele, habe ich mein Ziel nicht erreicht. Ich muss beide Faktoren überwinden, analog der 2FA.
2FDaten
Dieser Blick ermöglicht uns, Beziehungen zwischen verschiedenen Sicherheitsmaßnahmen zu verstehen, die mit dem Begriff Defense in Depth nur globalgalaktoschwammig ausgedrückt werden. Wer es fancy mag, kann in die MITRE-ATT&CK-Matrix hineinschauen, die versucht, alle möglichen Arten von Angriffsvektoren als Graph beziehungsweise Netz darzustellen. Aber schon die unschuldige Frage "Habe ich einen zweiten Faktor für meine Daten/Prozesse/Vertraulichkeit/Integrität/Verfügbarkeit/Datensparsamkeit/Anonymität?" oder was immer meine Sicherheitsziele sind, kann helfen, mein Securityprogramm zweckgerichtet nachzusteuern.
(fo)
