Eine der am längsten währenden Diskussionen in der Geschichte der Informationstechnologie ist jene, die besagt, dass sich Sicherheit negativ auf die Benutzerfreundlichkeit auswirkt. Ich trete an, um zu zeigen, dass dies einfach nicht stimmt. Benutzerfreundlichkeit und Sicherheit sind nicht zwei Seiten einer Medaille. Sie sind gleichwertig und können sich gegenseitig ergänzen. Ausgeprägte Benutzerfreundlichkeit kann die Sicherheit erhöhen, doch dies bedingt ein durchdachteres Vorgehen und bessere Werkzeuge.
Jedes IT-System – ob nun nach innen oder mit Webserviceintegration nach aussen gerichtet – hat verschiedene Schichten an Mensch-Computer-Interaktionen. Um ein gutes Benutzererlebnis, – englisch user experience (UX) – zu schaffen, müssen wir diese Interaktionspunkte nutzbar machen. Gleichzeitig müssen wir sicherstellen, dass Sicherheit zu einem wichtigen Faktor bei ihrer Konfiguration und beim Setup wird. Dies trifft besonders auf eine Landschaft zu, die mit mehr Bedrohungen konfrontiert wird und aufgrund der starken Webeinbindung viel Angriffsfläche bietet. Eine gute UX ist ein Ziel, das in hervorragende Data Governance und erhöhte Produktivität mündet.
Wir bei United Security Providers kennen die Knacknuss Sicherheit/Benutzerfreundlichkeit gut. Entsprechend haben wir die Version 5 unseres USP Secure Entry Server® entwickelt, um einen ganzheitlichen Ansatz zu bieten, der ein ausgewogenes Verhältnis von Sicherheit und Benutzerfreundlichkeit herstellt. Die neue Version umfasst alle Bedingungen für die Schaffung nutzbarer und zugleich sicherer Anwendungsfälle über alle Unternehmenswebanwendungen hinweg.
Authentisierung
Das so unscheinbare Passwort hat wahrscheinlich mehr Sicherheitsprobleme verursacht als irgendein anderer Bereich im erweiterten Unternehmensumfeld. Es ist ein hartnäckiges Phänomen. Es ist nun mal eine Tatsache, dass viele Angriffe der letzten Jahre mit Passwortunsicherheiten zusammenhängen. Hacks beginnen oft mit einer Spear-Phishing-Kampagne, in deren Verlauf Benutzernamen und Passwörter von Administratoren gestohlen werden. Es ist sogar noch schwieriger, die Kontrolle über Passwörter für eine breitere Benutzerbasis zu behalten. Wie lösen wir also den scheinbaren Gegensatz zwischen Passwortunsicherheit und Benutzerfreundlichkeit auf?
Werfen wir einen Blick auf Passwortrichtlinien und Passwortstärke. Ein offensichtlicher Schritt besteht darin, Passwörter langer und komplexer zu machen, zum Beispiel mit einer Mischung aus Klein- und Grossschreibung sowie alphanumerischen Elementen. Das macht es Brute-Force-Angriffen schwieriger. Passwortkomplexität wird jedoch durch verschiedene Einflüsse aufgehoben:
Eine Studie des Ponemon Institute zeigt, dass bis zu 70% der Leute (je nach Standort) ein Passwort vergessen, wenn es zu lange bzw. komplex ist. Das bedeutet, dass nur schon dieser eine Problembereich hohe Belastungen hinsichtlich Online-Wiederherstellung und Helpdesk-Anrufe hervorruft.
In einer Studie von Janrain wurde die Frage behandelt, ob ein vergessenes Passwort wiederhergestellt oder die Site verlassen wird. Dabei gaben 90% der Befragten an, die Site einfach zu verlassen. Passwörter werden auch aufgeschrieben und geteilt. Eine Studie der Universität von Kalifornien, Berkeley ergab, dass mindesten 40% der Umfrageteilnehmer manchmal oder sogar oft Passwörter niederschreiben.
Die Erhöhung der Passwortstärke kann:
- Phishing-Angriffe,
- Keylogging (Tastenprotokollierung) und Screen Scraping
- sowie Angriffe auf Ihre Datenbank nicht verhindern.
Es gibt heute viele Werkzeuge, die für eine sehr gute UX sorgen und die Sicherheit aufrechterhalten. Der USP Secure Entry Server® ermöglicht Ihnen, die Produktivität zu steigern und gleichzeitig für Sicherheit zu sorgen. Er nutzt Windows Benutzerkonten Single Sign-on (SSO) und kann mittels Föderation für organisationsübergreifendes SSO erweitert werden. Zwei-Faktor-Authentisierung oder gar risikobasierte Authentisierung kann die Login-Sicherheit verbessern und in Verbindung mit SSO die perfekte Mischung von Benutzerfreundlichkeit und Sicherheit geben. Doch einmal mehr muss betont werden, dass die Zwei-Faktor-Hinzunahme potentiell die Benutzerfreundlichkeit einschränkt. Darum ist es entscheidend, die richtige Zwei-Faktor-Methode für die richtige Umgebung bzw. Benutzertyp zu wählen, um die Balance zwischen Sicherheit und Benutzerfreundlichkeit zu erreichen. Mit dem USP Secure Entry Server® können Sie aus einer Reihe von Zwei-Faktor-Optionen wählen, inklusive RSA, SecureID, SafeNet, X509 Zertifikate, mTan und neuerdings Google Authenticator. So finden Sie sich das richtige Werkzeug für den richtigen Benutzertyp.
Businessanwendungen und Webportale
Einer der Bereiche, der dringend echte Aufmerksamkeit hinsichtlich Sicherheit verlangt, betrifft Unternehmensanwendungen mit Berührungspunkten zur Cloud Die Cloud hat die Benutzerfreundlichkeit durch den Zugang von überall her massiv verbessert. Gut aufgebaute, moderne Cloud-basierte Schnittstellen uns eine tolle UX gegeben. Jedoch wirkt sich die Cloud auch stark auf die Sicherheit aus, da sie Angriffsfläche vergrössert hat – sozusagen bis „über die Wolken“ hinaus.
Wenn internetbasierte Datenkommunikation ins Spiel kommt, wird’s mit der Sicherheit komplizierter. Das kann zu strikteren und „abgeriegelten“ Interfaces mit komplizierten Zugangskontrollen führen. Auch hier kann Single Sign-on oder sein Cousin, die Föderation, zur Hilfe eilen, um nahtlose Authentisierung zwischen Cloud-Anwendungen zu ermöglichen.
Ähnlich kann SSO auch sicherstellen, dass durch BYOD-Technologie (Bring Your Own Device) erzielte Gewinne an Benutzerfreundlichkeit nicht zugleich auch Sicherheitslücken in Ihrer Organisiert öffnet. Angriffe auf Portale zu verhindern, die zum Web hin geöffnet sind, muss auch nicht zu einer schlechten UX führen. Der Einsatz von Background-Monitoring und –analyse kann bedeuten, dass Sie weiterhin über ein ausgesprochen nutzbares Interface verfügen und gleichzeitig das Backend sichern. Mit Web Application Firewalls lassen sich häufige Webangriffe wie XSS, SQL Injection und CSRF bewältigen, ohne die Benutzeroberfläche von webbasierten Anwendungen einzuschränken.
Die von United Security Providers angebotene Web Application Firewall (WAF) ist so konzipiert, dass Administratoren Sicherheitsprobleme einfacher entdecken und verhindern, dass aus Sicherheitsverstössen Sicherheitsereignisse werden. Mit unserem State of the Art Verwaltungskonsoleninterface, dem einfach dargestellten Monitoring sowie mit den Realtime-Analysemöglichkeiten können Webbedrohungen erkannt und beherrscht werden.
Das Compliance-Dilemma
Datenschutzgesetze und Bestimmungen können mühsam sein, und wir reagieren oft darauf, indem wir alles abriegeln, zuweilen bis wir es fast ganz abwürgen. Dinge scheinbar sicherer zu machen kann, wie bereits erwähnt, Auswirkungen auf die Benutzerfreundlichkeit haben. Wenn die Verwendung extrem komplex wird, weil auch extreme Sicherheit angestrebt wurde, dann wird es nicht benutzt. Es kann sogar Nutzer dazu verleiten, die Sicherheit zu umgehen, um es zu nutzen. Eine solche Situation kann zu schlechten Praktiken führen und dazu, dass Sie sich ausserhalb der Compliance-Vorgaben bewegen.
Manchmal kann das Problem gelöst werden, indem Nutzer sensibilisiert werden und verstehen, wie die Sicherheitsmassnahmen funktionieren. Doch oft sind es die Sicherheitsmassnahmen, die vielleicht die Produktivität einschränken und Arbeitsweisen schaffen, die in sich nicht sicher sind. Das richtige Gleichgewicht vermeidet versehentliche Compliance-Fehler. Darum legt USP SES so viel Gewicht auf das nahtlose und nutzbare Design der Verwaltungskonsole und auf die Lösungen, die damit realisiert werden können. Indem Administratoren ermutigt werden, Sicherheit korrekt anzuwenden, lassen sich Fehler verringern und gute Praxis fördern.
Sicherheit + Benutzerfreundlichkeit = gutes Design
USP SES umfasst eine State of the Art Web Application Firewall, Single Sign-on, Föderation in all ihren Aspekten, inklusive Autorisierungs- und Authentisierungsoptionen. Um einen Best-of-Breed-Ansatz bei der Sicherheitsinfrastruktur für Ihr Unternehmen anwenden zu können, setzen Sie auf ein ganzheitliches Sicherheitskonzept, das auch nutzbare Systeme für Administratoren und Anwender fördert, die diese Sicherheitseinstellungen nutzen.
Diese Balance ist machbar. Doch um diese zu erreichen, müssen die richtige Denkhaltung und die Werkzeuge zu gleichen Teilen berücksichtigt werden. Das hoch komplexe erweiterte Unternehmen muss die Komplexität des zugrundeliegenden Designs reduzieren. Das ist mit dem USP SES Ansatz möglich. Wenn wir alle Teile einer robusten Sicherheitsstrategie zusammenführen, können wir darangehen, die Benutzerfreundlichkeit der Authentisierung mittels SSO oder Föderation zu verbessern und jedoch auch die Sicherheit mit Zwei-Faktor-Mitteln zu erhöhen. Nimmt man dann noch die zusätzlichen Features der WAF-Komponenten wie Monitoring und Bedrohungsanalyse hinzu, dann erhalten Sie jenen ganzheitlichen Ansatz, der Ihrer Organisation die harmonische Balance zwischen Sicherheit und Benutzerfreundlichkeit.
Wenn im Endeffekt Ihre Sicherheit die Benutzerfreundlichkeit ernsthaft schwächt, dann ist es wahrscheinlich, dass falsch vorgegangen wurde. Und im für Sie im schlechtesten Fall geschieht sogar das Gegenteil: Das System, das Sie sichern wollten, wird weniger sicher– etwas, das sich heute niemand leisten kann. Und weil es uns gelungen ist, mit dem neuen USP Secure Entry Server® Sicherheit und Benutzerfreundlichkeit zu vereinen, sind wir uns sicher, dass unser Produkt auch Sie überzeugen wird.
Michael Liebi ist Gründer und nun als Board Member bei United Security Providers tätig.